查殺病毒/電腦病毒傳染的一般過程
可執行檔感染病毒後又怎樣感染新的可執行檔?
可執行檔.COM或.EXE感染上了病毒, 例如黑色星期五病毒, 它駐入記憶體的條件是在執行被傳染的檔時進入記憶體的。 一旦進入記憶體,便開始監視系統的運行。當它發現被傳染的目標時, 進行如下操作:
(1)首先對運行的可執行檔特定位址的標識位元資訊進行判斷是否已感染了病毒;
(2)當條件滿足, 利用INT 13H將病毒鏈結到可執行檔的首部或尾部或中間, 並存大磁片中;
(3)完成傳染後, 繼續監視系統的運行, 試圖尋找新的攻擊目標。
作業系統型病毒是怎樣進行傳染的?
正常的PC DOS啟動過程是:
(1)加電開機後進入系統的檢測程式並執行該程式對系統的基本設備進行檢測;
(2)檢測正常後從系統盤0面0道1磁區即邏輯0磁區讀入Boot引導程式到記憶體的0000: 7C00處;
(3)轉入Boot執行之;
(4)Boot判斷是否為系統盤, 如果不是系統盤則提示;
non-system disk or disk error Replace and strike any key when ready
否則, 讀入IBM BIO.COM和IBM DOS.COM兩個隱含文件;
(5)執行IBM BIO.COM和IBM DOS.COM兩個隱含文件, 將COMMAND.COM裝入記憶體;
(6)系統正常運行, DOS啟動成功。
如果系統盤已感染了病毒, PC DOS的啟動將是另一番景象, 其過程為:
(1)將Boot區中病毒代碼首先讀入記憶體的0000: 7C00處;
(2)病毒將自身全部代碼讀入記憶體的某一安全地區、常駐記憶體, 監視系統的運行;
(3)修改INT 13H中斷服務處理程式的入口位址, 使之指向病毒控制模組並執行之。因為任何一種病毒要感染軟碟或者硬碟,都離不開對磁片的讀寫操作, 修改INT13H中斷服務程式的入口位址是一項少不了的操作;
(4)病毒程式全部被讀入記憶體後才讀入正常的Boot內容到記憶體的0000: 7C00處, 進行正常的啟動過程;
(5)病毒程式伺機等待隨時準備感染新的系統盤或非系統盤。
如果發現有可攻擊的物件, 病毒要進行下列的工作:
(1)將目標盤的引導磁區讀入記憶體, 對該盤進行判別是否傳染了病毒;
(2)當滿足傳染條件時, 則將病毒的全部或者一部分寫入Boot區, 把正常的磁片的引導區程式寫入磁片特寫位置;
(3)返回正常的INT 13H中斷服務處理程式, 完成了對目標盤的傳染。