計算機病毒分類之感染目標

2022-08-05 15:33:17 字數 2177 閱讀 5643

1---現在的病毒有很多種分類方式,不過依據病毒的感染目標可將病毒分為引導型病毒、檔案病毒以及混合型病毒。

2---引導型病毒,對於軟盤而言,在軟盤上一般有一個稱作dos boot section 區,該區是軟盤的引導區,其作用是尋找軟盤上的檔案io.sys和dos.sys檔案,

若都找到則成功引導軟盤啟動,否則提示"no  system disk"或其它錯誤;而對於硬碟而言,硬碟分為主引導區和從引導區,主引導區在0

0面0道1扇區,其作用是主載入程式的存放點以及分割槽表的存放點,主載入程式會查詢啟用區,然後從引導區存放在該區的1扇區,即1扇區為

dos boot disk。對於絕大數病毒而言,它感染的主要是硬碟的主引導扇區和軟盤的dos boot disk扇區。

引導型病毒入侵原理:

電腦開機-->載入bios程式-->bios程式將硬碟主引導區讀到記憶體0:7c00處,進而將控制權交給載入程式-->病毒將0:413

的內容減1k(bios在之前已經將記憶體大小讀到該地址處),這樣做使得系統以後訪問不到高1k的地址-->計算可用高段地址可用區,將病毒

移動到該處繼續執行-->修改系統中斷,將int13的地址指向病毒程式,而原來的int13地址儲存在病毒知道的某單元內-->當病毒所要

分析:優點:隱蔽性強,相容性強,只要編的好,是不容易發現的,通用於dos windows win95 作業系統.

缺點:很多,傳染速毒慢,一定要帶毒軟盤啟動才能傳到硬碟,防毒容易,只需改寫引導區即可,如: fdisk/mbr ,kv200/k. kv200能查出所有引導型病毒,底

板能對引導區防寫,所以現在純引導型病毒已很少了。

3-檔案型病毒

.com檔案:該型別的病毒是將病毒插在檔案的頭部或者尾部,檔案格式為

[病毒 jmp xxx][修改原檔案的前三個位元組]

原檔案--原檔案

原檔案--原檔案

[病毒]

.exe檔案:病毒一般將自己加在檔案的末端,並修改cs,ip的值指向病毒程式起始地址,並同時修改檔案長度ss,sp

exe 檔案比較複雜,每個exe檔案都有一個檔案頭,結構如下:

exe檔案頭資訊 

----------------------------------

├ 偏移量 ┤ 意義                ┤

---------------------------------

├00h-01h ┤mz'exe檔案標記       ┤

├02h-03h ┤檔案長度除512的餘數  ┤

├04h-05h ┤檔案長度除512的商    ┤

├06h-07h ┤重定位項的個數       ┤

├08h-09h ┤檔案頭除16的商       ┤

├0ah-0bh ┤程式執行所需最小段數 ┤

├0ch-0dh ┤程式執行所需最大段數 ┤

├oeh-0fh ┤堆疊段的段值 (ss)    ┤

├10h-11h ┤........sp           ┤

├12h-13h ┤檔案校驗和           ┤

├14h-15h ┤ip                   ┤

├16h-17h ┤cs                   ┤

├18h-19h ┤............         ┤

├1ah-1bh ┤............         ┤

├1ch-xxh ┤............         ┤ 

-------------------------------------

當dos載入exe檔案時,根據檔案頭資訊,調入一定長度的檔案,設定ss,sp從cs:ip 開始執行.病毒一般將自己加在檔案的末端,並修改cs,ip

的值指向

病毒起始地址,並修改檔案長度資訊和ss,sp.

4--混合型病毒:既能感染引導區,又能感染檔案的病毒。但並非簡單的將檔案型病毒和引導型病毒簡單的加在一起,其中有一個轉換過程,

這是最關鍵的。一般採取以下手法:檔案中的病毒執行時將病毒寫入引導區,這時很容易理解的。染毒硬碟啟動時,用引導型病毒的方

法駐留記憶體,但此時dos並未載入,無法修改int21,也就無法感染檔案,可以用這樣的辦法,修改int 8 ,儲存int 21目前的地址,用

int 8服務程式監測int 21的地址是否改變,若改變則說明dos已載入,則可修改int 21指向病毒傳染段。

注:參考51cto文章: