当前位置：文档之家› 病毒原理

病毒原理

感染过程
是否在读写软盘？
是，则将目标盘的引导扇区读入内存, 对该盘进行判别是否传染了病毒；
当满足传染条件时, 则将病毒的全部或者一部分写入Boot区, 把正常的磁盘的引导区程序写入磁盘特写位置；返回正常的INT 13H中断服务处理程序, 完成了对目标盘的传染。
感染过程
引导型病毒的主要特点
VBS脚本病毒的网上传播
1）通过Email附件传播）通过附件传播
设置 Outlook对象 = 脚本引擎.创建对象("Outlook.Application") 设置 MAPI对象 = Outlook对象.获取名字空间("MAPI") For i=1 to MAPI对象.地址表.地址表的条目数 //两个for语句用来遍历整个地址簿设置地址对象 = MAPI对象.地址表(i) For j=1 To地址对象.地址栏目.地址栏目数设置邮件对象 = Outlook对象.创建项目(0) 设置地址入口＝地址对象.地址栏目(j) 邮件对象.收件人＝地址入口.邮件地址邮件对象.主题 = “你好！” 邮件对象.附件标题 = “好看的东东，请打开” 邮件对象.附件.增加(“test.jpg.vbs“) 邮件对象.发送邮件对象.发送后删除＝真 Next Next
VBS脚本病毒如何搜索文件
‘ 该函数主要用来寻找满足条件的文件，并生成对应文件的一个病毒副本 sub scan(folder_) 'scan函数定义， on error resume next '如果出现错误，直接跳过，防止弹出错误窗口 set folder_=fso.getfolder(folder_) set files=folder_.files ' 当前目录的所有文件集合 for each file in files ext=fso.GetExtensionName(file) '获取文件后缀 ext=lcase(ext) '后缀名转换成小写字母 if ext=“mp5” then ‘如果后缀名是mp5，则进行感染。 Wscript.echo (file) end if next set subfolders=folder_.subfolders for each subfolder in subfolders ‘搜索其他目录；递归调用scan( ) scan(subfolder) next end sub
引导型病毒是在安装操作系统之前进入内存，寄生对象又相对固定，因此该类型病毒基本上不得不采用减少操作系统所掌管的内存容量方法来驻留内存高端。而正常的系统引导过程一般是不减少系统内存的。引导型病毒需要把病毒传染给软盘，一般是通过修改INT 13H 的中断向量，而新INT 13H中断向量段址必定指向内存高端的病毒程序。引导型病毒感染硬盘时，必定驻留硬盘的主引导扇区或引导扇区，并且只驻留一次，因此引导型病毒一般都是在软盘启动过程中把病毒传染给硬盘的。
计算机病毒分析
彭国军 2003.3.29
将要介绍的几种病毒类型
DOS病毒
引导区病毒文件型病毒混合型病毒
Windows病毒
VBS脚本病毒宏病毒网页病毒 Win32 PE病毒
引导区病毒
什么是主引导记录？
硬盘的主引导记录在硬盘的0磁头0柱面1扇区。主引导记录由三部分组成：
主引导程序；四个分区表；主引导记录有效标志字。
混合型病毒
什么是混合型病毒？
所谓混合型病毒，就是指既可以感染引导区又可以感染文件的病毒。但是这种病毒绝对不是引导区病毒和文件型病毒的简单相加。文件型病毒大多采用INT 21H，但是引导型病毒是在引导阶段进行感染驻留，这时DOS系统还没有启动，因此混合型病毒此时无法采用21号中断。如何解决这个问题？
VBS脚本病毒的网上传播
2）通过局域网共享传播
在局域网中，用户之间为了方便文件交流，通常会设置共享目录，并且通常具有可写权限。病毒可以利用共享目录，进行病毒传播扩散。
通过感染htm asp、 jsp、 php等网页文件传 htm、 3 ）通过感染 htm 、 asp 、 jsp 、 php 等网页文件传播
VBS脚本病毒的弱点
1 ）绝大部分 VBS 脚本病毒运行的时候需要用到一个对象： FileSystemObject。 2）VBScript代码是通过Windows Script Host来解释执行的。 3）VBS脚本病毒的运行需要其关联程序Wscript.exe的支持。 4）通过网页传播的病毒需要ActiveX的支持。 5）通过Email传播的病毒需要OE的自动发送邮件功能支持，但是绝大部分病毒都是以Email为主要传播方式的。
VBS脚本病毒如何获得控制权
1)修改注册表项
windows 在启动的时候，会自动加载 HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion\Run项下的各键值所执向的程序。脚本病毒可以在此项下加入一个键值指向病毒程序，这样就可以保证每次机器启动的时候拿到控制权。vbs修改贮册表的方法比较简单，直接调用下面语句即可。 wsh.RegWrite(strName, anyValue [,strType])
MZ文件头格式偏移大小描述 00 2 bytes 02 2 bytes 04 2 bytes 06 08 0a 0c 0e 10 12 14 16 18 1a 2 bytes 2 bytes 2 bytes 2 bytes 2 bytes 2 bytes 2 bytes 2 bytes 2 bytes 2 bytes 2 bytes .EXE 文件类型标记：4d5ah 文件的最后一个扇区的字节数文件的总扇区数文件大小=（总扇区数-1）*512+最后一页字节数重定位项的个数 exe文件头的大小 (16 bytes*this value) 最小分配数(16 bytes*this value) 最大分配数(16 bytes*this value) 堆栈初始段址(SS) 堆栈初始指针(SP) 补码校验和初始代码段指针(IP) 初始代码段段址（CS）定位表的偏移地址覆盖号The overlay number make by link
EXE文件型病毒的感染
头寄生
EXE文件型病毒的感染
尾寄生
EXE文件型病毒的感染
插入寄生
EXE文件型病毒的感染
伴随型
EXE文件型病毒的感染
病毒感染的方式还有很多，譬如DIRII属于一种链接型链接型的病毒，链接型还有无入口点的病毒，没有任何美感的覆盖型病毒等。
病毒如何感染，一直是病毒研究的话题，这并不存在非常固定的模式。病毒作者完全可以任意发挥自己的想象。
VBS脚本病毒如何感染
VBS脚本病毒是直接通过自我复制来感染文件的病毒中的绝大部分代码都可以直接附加在其他同类程序的中间.
新欢乐时光病毒可以将自己的代码附加在.htm文件的尾部，并在顶部加入一条调用病毒代码的语句.
爱虫病毒则是直接生成一个文件的副本，将病毒代码拷入其中，并以原文件名作为病毒文件名的前缀，vbs作为后缀。
文件型病毒
什么是文件型病毒？
所有通过操作系统的文件系统进行感染的病毒都称作文件病毒。
我们将会介绍的两种病毒
COM文件型病毒 EXE文件型病毒
COM文件型病毒
COM文件被载入内存后的格式
COM文件型病毒
病毒要感COM文件一般采用两种方法：
加在文件尾部
COM文件型病毒
加在文件头部
EXE文件型病毒
4)desktop.ini和folder.htt互相配合 )desktop.ini和folder.htt互相配合
这两个文件可以用来配置活动桌面，也可以用来自定义文件夹。如果用户的目录中含有这两个文件，当用户进入该目录时，就会触发 folder.htt中的病毒代码。这是新欢乐时光病毒采用的一种比较有效的获取控制权的方法。
2）通过映射文件执行方式
譬如，新欢乐时光将dll的执行方式修改为wscript.exe。甚至可以将exe文件的映射指向病毒代码。
VBS脚本病毒如何获得控制权
3)欺骗用户，让用户自己执行欺骗用户，
这种方式其实和用户的心理有关。譬如，病毒在发送附件时，采用双后缀的文件名，由于默认情况下，后缀并不显示，举个例子，文件名为 beauty.jpg.vbs的vbs程序显示为beauty.jpg，这时用户往往会把它当成一张图片去点击。同样，对于用户自己磁盘中的文件，病毒在感染它们的时候，将原有文件的文件名作为前缀，vbs作为后缀产生一个病毒文件，并删除原来文件，这样，用户就有可能将这个vbs文件看作自己原来的文件运行。
如今，WWW服务已经变得非常普遍，病毒通过感染htm等文件，势必会导致所有访问过该网页的用户机器感染病毒。
VBS脚本病毒的网上传播
4）通过IRC聊天通道传播通过IRC聊天通道传播 IRC
随着即时聊天系统的普及和基于浏览的浏览逐渐成为交流的主要方式，这种方式病毒采用的机会相对比较小，譬如叛逃者病毒就采用了这种传播方式。
5）通过P2P共享工具进行传播通过P2P共享工具进行传播 P2P
病毒也可以通过现在广泛流行的KaZaA等点对点共享软件进行传播。病毒将病毒文件拷贝到KaZaA的默认共享目录中，这样，当其他用户访问这台机器时，就有可能下载该病毒文件并执行。这种传播方法可能会随着 KaZaA这种点对点共享工具的流行而发生作用。
DOS的正常启动过程
执行IBM 和IBM 两个隐含文件, 将装入内存；系统正常运行, DOS启动成功。
引导区病毒实际上就是先保存软盘的引导记录或者硬盘的主引导记录，然后用病毒程序替换原来的引导记录，这样，当系统引导时，便先执行病毒程序，然后将控制权转交给正常的引导程序。

e商务文档

病毒原理

相关文档推荐：