傳統(tǒng)計算機(jī)病毒的工作機(jī)制及發(fā)作表現(xiàn)計算機(jī)病毒的工作機(jī)制病毒的工作步驟分析 計算機(jī)病毒的引導(dǎo)機(jī)制 計算機(jī)病毒的傳染機(jī)制 計算機(jī)病毒的觸發(fā)機(jī)制 計算機(jī)病毒的破壞機(jī)制 計算機(jī)病毒的傳播機(jī)制計算機(jī)病毒發(fā)作前的表現(xiàn)計算機(jī)病毒發(fā)作時表現(xiàn)計算機(jī)病毒發(fā)作后的表現(xiàn)

2.1病毒的工作步驟分析計算機(jī)病毒的引導(dǎo)模塊 計算機(jī)病毒的感染模塊 計算機(jī)病毒的表現(xiàn)模塊從本質(zhì)上來看，病毒程序可以執(zhí)行其他程序所能執(zhí)行的一切功能。但是，與普通程序又不同的是病毒必須將自身附著在其他程序上。病毒程序所依附的其他程序稱為宿主程序。當(dāng)用戶運行宿主程序時，病毒程序被激活，并開始執(zhí)行。一旦病毒程序被執(zhí)行，它就能執(zhí)行一切意想不到的功能（如感染其他程序、刪除文件等）。從病毒程序的生命周期來看，它一般會經(jīng)歷4個階段：潛伏階段、傳染階段、觸發(fā)階段和發(fā)作階段。該過程如圖2-1所示。在潛伏階段，病毒程序處于休眠狀態(tài)，用戶根本感覺不到病毒的存在，但并非所有病毒均會經(jīng)歷潛伏階段。如果某些事件發(fā)生（如特定的日期、某個特定的程序被執(zhí)行等），病毒就會被激活，并從而進(jìn)入傳染階段。處于傳染階段的病毒，將感染其他程序——將自身程序復(fù)制到其他程序或者磁盤的某個區(qū)域上。經(jīng)過傳染階段，病毒程序已經(jīng)具備運行的條件，一旦病毒被激活，則進(jìn)入觸發(fā)階段。圖2-1病毒程序的生命周期圖2-2病毒程序的典型組成示意圖計算機(jī)病毒的引導(dǎo)模塊計算機(jī)病毒引導(dǎo)模塊主要實現(xiàn)將計算機(jī)病毒程序引入計算機(jī)內(nèi)存，并使得傳染和表現(xiàn)模塊處于活動狀態(tài)。引導(dǎo)模塊需要提供自保護(hù)功能，從而避免在內(nèi)存中的自身代碼不被覆蓋或清除。一旦引導(dǎo)模塊將計算機(jī)病毒程序引入內(nèi)存后，它還將為傳染模塊和表現(xiàn)模塊設(shè)置相應(yīng)的啟動條件，以便在適當(dāng)?shù)臅r候或者合適的條件下激活傳染模塊或者觸發(fā)表現(xiàn)模塊。計算機(jī)病毒的感染模塊計算機(jī)病毒的傳染模塊有兩個功能：其一是依據(jù)引導(dǎo)模塊設(shè)置的傳染條件，判斷當(dāng)前系統(tǒng)環(huán)境是否滿足傳染條件；其二是如果傳染條件滿足，則啟動傳染功能，將計算機(jī)病毒程序附加到其他宿主程序上。計算機(jī)病毒的表現(xiàn)模塊表現(xiàn)模塊功能也包括兩個部分：其一是根據(jù)引導(dǎo)模塊設(shè)置的觸發(fā)條件，判斷當(dāng)前系統(tǒng)環(huán)境是否滿足所需要的觸發(fā)條件；其二是一旦觸發(fā)條件滿足，則啟動計算機(jī)病毒程序，按照預(yù)定的計劃執(zhí)行（如刪除程序、盜取數(shù)據(jù)等）。BootingModel（）/*引導(dǎo)模塊*/{

將計算機(jī)病毒程序寄生于宿主程序中；啟動自保護(hù)功能；設(shè)置傳染條件；設(shè)置激活條件；加載計算機(jī)程序；計算機(jī)病毒程序隨宿主程序地運行進(jìn)入系統(tǒng)；}InfectingModel（）/*傳染模塊*/{

按照計算機(jī)病毒目標(biāo)實現(xiàn)傳染功能；}BehavingModel（）/*表現(xiàn)模塊*/{

按照計算機(jī)病毒目標(biāo)實現(xiàn)表現(xiàn)功能；}main（）/*計算機(jī)病毒主程序*/{BootingModel（）；

while（1）

{

尋找感染對象；

If（如果感染條件不滿足）

continue；

InfectingModel（）；

if（激活條件不滿足）

continue；

behavingModel（）；運行宿主程序；

if（計算機(jī)病毒程序需要退出）

exit（）；

}}2.2計算機(jī)病毒的引導(dǎo)機(jī)制計算機(jī)病毒的寄生對象 計算機(jī)病毒的寄生方式 計算機(jī)病毒的引導(dǎo)過程計算機(jī)病毒的寄生對象寄生在計算機(jī)硬盤的主引導(dǎo)扇區(qū)中寄生在計算機(jī)磁盤邏輯分析引導(dǎo)扇區(qū)中寄生在可執(zhí)行程序中計算機(jī)病毒的寄生方式計算機(jī)病毒的寄生方式有兩種：一種是采用替代法；另一種是采用鏈接法。這兩種寄生方式分別如圖2-3和圖2-4所示圖2-3替代法圖2-4鏈接法計算機(jī)病毒的引導(dǎo)過程計算機(jī)病毒的引導(dǎo)過程一般包括以下3方面。駐留內(nèi)存獲取系統(tǒng)控制權(quán)恢復(fù)系統(tǒng)功能2.3計算機(jī)病毒的傳染機(jī)制計算機(jī)病毒的傳染方式 計算機(jī)病毒的傳染過程 系統(tǒng)型計算機(jī)病毒傳染機(jī)理 文件型計算機(jī)病毒傳染機(jī)理計算機(jī)病毒的傳染方式一種方式是計算機(jī)病毒的被動傳染。用戶在復(fù)制磁盤或文件時，把一個計算機(jī)病毒由一個信息載體復(fù)制到另一個信息載體上。當(dāng)然，也可能通過網(wǎng)絡(luò)上的信息傳遞，把一個計算機(jī)病毒程序從一方傳遞到另一方。另外一種方式是計算機(jī)病毒的主動傳染。計算機(jī)病毒以計算機(jī)系統(tǒng)的運行以及計算機(jī)病毒程序處于激活狀態(tài)為先決條件。此外，按照計算機(jī)病毒傳染的時間性，其傳染方式也可分為立即傳染和伺機(jī)傳染。計算機(jī)病毒的傳染過程對于計算機(jī)病毒的被動傳染而言，其傳染過程是隨著復(fù)制磁盤或文件工作的進(jìn)行而進(jìn)行的。而對于計算機(jī)病毒的主動傳染而言，其傳染過程是：在系統(tǒng)運行時，計算機(jī)病毒通過計算機(jī)病毒載體即系統(tǒng)的外存儲器進(jìn)入系統(tǒng)的內(nèi)存儲器，常駐內(nèi)存，并在系統(tǒng)內(nèi)存中監(jiān)視系統(tǒng)的運行。發(fā)現(xiàn)被傳染的目標(biāo)（1）首先對運行的可執(zhí)行文件特定地址的標(biāo)識位信息進(jìn)行判斷是否已感染了計算機(jī)病毒。（2）當(dāng)條件滿足，利用INT13H將計算機(jī)病毒鏈接到可執(zhí)行文件的首部、尾部或中間，并存入空間大的磁盤中。（3）完成傳染后，繼續(xù)監(jiān)視系統(tǒng)的運行，試圖尋找新的攻擊目標(biāo)。操作系統(tǒng)型計算機(jī)病毒的傳染過程正常的計算機(jī)DOS啟動過程如下。已感染了計算機(jī)病毒系統(tǒng)的啟動過程如下。（1）將Boot區(qū)中的計算機(jī)病毒代碼首先讀入內(nèi)存的0000：7C00處。（2）計算機(jī)病毒將自身全部代碼讀入內(nèi)存的某一安全地區(qū)、常駐內(nèi)存，監(jiān)視系統(tǒng)的運行。（3）修改INT13H中斷服務(wù)處理程序的入口地址，使之指向計算機(jī)病毒控制模塊并執(zhí)行之。因為任何一種計算機(jī)病毒要感染軟盤或者硬盤，都離不開對磁盤的讀寫操作，修改INT13H中斷服務(wù)程序的入口地址是一項少不了的操作。（4）計算機(jī)病毒程序全部被讀入內(nèi)存后才讀入正常的Boot內(nèi)容到內(nèi)存的0000：7C00處，進(jìn)行正常的啟動過程。（5）計算機(jī)病毒程序伺機(jī)等待隨時準(zhǔn)備感染新的系統(tǒng)盤或非系統(tǒng)盤。如果發(fā)現(xiàn)有可攻擊的對象，計算機(jī)病毒還要進(jìn)行下列的工作。（1）將目標(biāo)盤的引導(dǎo)扇區(qū)讀入內(nèi)存，對該盤進(jìn)行判別是否傳染了計算機(jī)病毒。（2）當(dāng)滿足傳染條件時，則將計算機(jī)病毒的全部或者一部分寫入Boot區(qū)，把正常的磁盤的引導(dǎo)區(qū)程序?qū)懭氪疟P特寫位置。（3）返回正常的INT13H中斷服務(wù)處理程序，完成對目標(biāo)盤的傳染。系統(tǒng)型計算機(jī)病毒傳染機(jī)理系統(tǒng)型計算機(jī)病毒利用在開機(jī)引導(dǎo)時竊獲的INT13控制權(quán)，在整個計算機(jī)運行過程中隨時監(jiān)視軟盤操作情況，趁讀寫軟盤的時機(jī)讀出軟盤引導(dǎo)區(qū)，判斷軟盤是否染毒，如未感染就按計算機(jī)病毒的寄生方式把原引導(dǎo)區(qū)寫到軟盤另一位置，把計算機(jī)病毒寫入軟盤第一個扇區(qū)，從而完成對軟盤的傳染。染毒的軟盤在軟件交流中又會傳染其他計算機(jī)。文件型計算機(jī)病毒傳染機(jī)理當(dāng)它發(fā)現(xiàn)被傳染的目標(biāo)時，進(jìn)行如下操作。（1）首先對運行的可執(zhí)行文件特定地址的標(biāo)識位信息進(jìn)行判斷是否已感染了計算機(jī)病毒。（2）當(dāng)條件滿足，利用INT13H將計算機(jī)病毒鏈接到可執(zhí)行文件的首部、尾部或中間，并存入磁盤中。（3）完成傳染后，繼續(xù)監(jiān)視系統(tǒng)的運行，試圖尋找新的攻擊目標(biāo)。文件型計算機(jī)病毒通過與磁盤文件有關(guān)的操作進(jìn)行傳染，主要的傳染途徑如下。（1）加載執(zhí)行文件文件型計算機(jī)病毒駐內(nèi)存后，通過其所截獲的INT21中斷檢查每一個加載運行可執(zhí)行文件進(jìn)行傳染。傳染不到那些用戶沒有使用的文件。（2）列目錄過程一些計算機(jī)病毒編制者可能感到加載傳染方式每次傳染一個文件速度較慢，于是后來制造出通過列目錄傳染的計算機(jī)病毒。（3）創(chuàng)建文件過程2.4計算機(jī)病毒的觸發(fā)機(jī)制日期觸發(fā)時間觸發(fā)鍵盤觸發(fā)感染觸發(fā)啟動觸發(fā)訪問磁盤次數(shù)觸發(fā)調(diào)用中斷功能觸發(fā)CPU型號/主板型號觸發(fā)2.5計算機(jī)病毒的破壞機(jī)制破壞機(jī)制在設(shè)計原則、工作原理上與傳染機(jī)制基本相同。通過修改某一中斷向量入口地址（一般為時鐘中斷INT8H，或與時鐘中斷有關(guān)的其他中斷，如INT1CH），使該中斷向量指向計算機(jī)病毒程序的破壞模塊。當(dāng)系統(tǒng)或被加載的程序訪問該中斷向量時，計算機(jī)病毒破壞模塊被激活，在判斷設(shè)定條件滿足的情況下，對系統(tǒng)或磁盤上的文件進(jìn)行破壞活動，這種破壞活動不一定都是刪除磁盤文件，有的可能是顯示一串無用的提示信息2.6計算機(jī)病毒的傳播機(jī)制（1）計算機(jī)病毒直接從有盤站復(fù)制到服務(wù)器中。（2）計算機(jī)病毒先傳染工作站，在工作站內(nèi)存駐留，等運行網(wǎng)絡(luò)盤內(nèi)程序時再傳染給服務(wù)器。（3）計算機(jī)病毒先傳染工作站，在工作站內(nèi)存駐留，在計算機(jī)病毒運行時直接通過映像路徑傳染到服務(wù)器中。（4）如果遠(yuǎn)程工作站被計算機(jī)病毒侵入，計算機(jī)病毒也可以通過通信中數(shù)據(jù)交換進(jìn)入網(wǎng)絡(luò)服務(wù)器中。在網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)計算機(jī)病毒除了具有可傳播性、可執(zhí)行性、破壞性和可觸發(fā)性等計算機(jī)病毒的共性外，還具有一些新的特點。（1）感染速度快。（2）擴(kuò)散面廣2.7計算機(jī)病毒發(fā)作前的表現(xiàn)1計算機(jī)經(jīng)常性無緣無故地死機(jī) 2．操作系統(tǒng)無法正常啟動 3．運行速度異常 4．內(nèi)存不足的錯誤 5．打印、通信及主機(jī)接口發(fā)生異常 6．無意中要求對軟盤進(jìn)行寫操作 7．以前能正常運行的應(yīng)用程序經(jīng)常發(fā)生死機(jī)或者非法錯誤 8．系統(tǒng)文件的時間、日期和大小發(fā)生變化 9．宏病毒的表現(xiàn)現(xiàn)象 10．磁盤空間迅速減少 11．網(wǎng)絡(luò)驅(qū)動器卷或共享目錄無法調(diào)用 12．陌生人發(fā)來的電子郵件 13．自動鏈接到一些陌生的網(wǎng)站2.8計算機(jī)病毒發(fā)作時的表現(xiàn)1．顯示器屏幕異常 2．聲音異常 3．硬盤燈不斷閃爍 4．進(jìn)行游戲算法 5．Windows桌面圖標(biāo)發(fā)生變化 6．計算機(jī)突然死機(jī)或重啟 7．自動發(fā)送電子郵件 8．鼠標(biāo)、鍵盤失控 9．被感染系統(tǒng)被打開服務(wù)端口 10．反計算機(jī)病毒軟件無法正常工作2.9計算機(jī)病毒發(fā)作后的表現(xiàn)1．硬盤無法啟動，數(shù)據(jù)丟失 2．文件、文件目錄丟失或被破壞 3．?dāng)?shù)據(jù)密級異常 4．使部分可軟件升級主板的BIOS程序混亂 5．網(wǎng)絡(luò)癱瘓 6．其他異?，F(xiàn)象習(xí)題1．簡述通常情況下計算機(jī)病毒的工作步驟。2．分析計算機(jī)病毒的寄生對象。3．計算機(jī)病毒的寄生方式有哪幾種？它們的特點如何分別？4．分析計算機(jī)病毒的引導(dǎo)過程。5．分析計算機(jī)病毒的傳染方式。6．簡述計算機(jī)病毒的傳染過程。7．給出系統(tǒng)型和文件型計算機(jī)病毒