计算机病毒分析

1、计算机病毒分析 XXX 20XX.X.XX将要介绍的几种病毒类型DOS病毒引导区病毒文件型病毒混合型病毒Windows病毒VBS脚本病毒宏病毒网页病毒Win32 PE病毒引导区病毒什么是主引导记录？硬盘的主引导记录在硬盘的0磁头0柱面1扇区。主引导记录由三部分组成：主引导程序；四个分区表；主引导记录有效标志字。感染过程是否在读写软盘？是，则将目标盘的引导扇区读入内存, 对该盘进行判别是否传染了病毒；当满足传染条件时, 则将病毒的全部或者一部分写入Boot区, 把正常的磁盘的引导区程序写入磁盘特写位置；返回正常的INT 13H中断服务处理程序, 完成了对目标盘的传染。感染过程引导型病毒的主要特点

2、 引导型病毒是在安装操作系统之前进入内存，寄生对象又相对固定，因此该类型病毒基本上不得不采用减少操作系统所掌管的内存容量方法来驻留内存高端。而正常的系统引导过程一般是不减少系统内存的。引导型病毒需要把病毒传染给软盘，一般是通过修改INT 13H的中断向量，而新INT 13H中断向量段址必定指向内存高端的病毒程序。引导型病毒感染硬盘时，必定驻留硬盘的主引导扇区或引导扇区，并且只驻留一次，因此引导型病毒一般都是在软盘启动过程中把病毒传染给硬盘的。 文件型病毒什么是文件型病毒？所有通过操作系统的文件系统进行感染的病毒都称作文件病毒 。我们将会介绍的两种病毒COM文件型病毒EXE文件型病毒COM文件型

3、病毒COM文件被载入内存后的格式EXE文件型病毒MZ文件头格式偏移 大 小 描述00 2bytes .EXE文件类型标记：4d5ah02 2bytes 文件的最后一个扇区的字节数04 2bytes 文件的总扇区数 文件大小=（总扇区数-1）*512+最后一页字节数06 2bytes 重定位项的个数08 2bytesexe文件头的大小 (16bytes*thisvalue)0a2bytes最小分配数(16bytes*thisvalue)0c2bytes最大分配数(16bytes*thisvalue)0e2bytes堆栈初始段址(SS)102bytes堆栈初始指针(SP)122bytes补码校验和

4、142bytes初始代码段指针(IP)162bytes初始代码段段址（CS）182bytes定位表的偏移地址1a2bytes覆盖号Theoverlaynumbermakebylink混合型病毒什么是混合型病毒？所谓混合型病毒，就是指既可以感染引导区又可以感染文件的病毒。但是这种病毒绝对不是引导区病毒和文件型病毒的简单相加。文件型病毒大多采用INT 21H，但是引导型病毒是在引导阶段进行感染驻留，这时DOS系统还没有启动，因此混合型病毒此时无法采用21号中断。如何解决这个问题？宏病毒什么是宏病毒？宏病毒是使用宏语言编写的程序，可以在一些数据处理系统中运行（主要是微软的办公软件系统，字处理、电子数据表和其他Office程序中），存在于字处理文档、数据表格、数据库、演示文档等数据文件中，利用宏语言的功能将自己复制并且繁殖到其他数据文档里。 网页病毒我们这里所指的网页病毒是指在html文件中用于非法修改用户机器配置的html文件。有别于一般通过网页传染的病毒。 这种病毒严格意义上讲不属于病毒，它们只是网页恶意代码，这些代码主要用来修改用户的注册表。Win32 PE病毒什么是PE病毒？PE病毒是指所有感染Windows下PE文件格式文件的病毒。PE病毒大多数采用Win32汇编编写。PE病毒对于一个热衷于病毒技术的人来说，是必须掌