计算机病毒的工作机制

计算机病毒的工作机制计算机病毒的工作机制第1页第2章计算机病毒工作机制2.1计算机病毒工作步骤分析2.2计算机病毒引导机制2.3计算机病毒传染机制2.4计算机病毒触发机制2.5计算机病毒破坏机制2.6计算机病毒传输机制计算机病毒的工作机制第2页2.1计算机病毒工作步骤分析本质上看，病毒程序能够执行其它程序所能执行一切功效与普通程序又不一样是病毒必须将本身附着在其它程序上病毒程序所依附其它程序称为宿主程序当用户运行宿主程序时，病毒程序被激活，并开始执行一旦病毒程序被执行，它就能执行一切意想不到功效（如感染其它程序、删除文件等）计算机病毒的工作机制第3页2.1计算机病毒工作步骤分析从病毒生命周期来看，病毒普通经历4个阶段：1．潜伏阶段：病毒程序处于休眠状态。2．传染阶段：感染其它程序——将本身程序复制到其它程序或者磁盘某个区域3．触发阶段：病毒执行某种特定功效从而到达既定目标4．发作阶段：病毒为了既定目标而运行（如破坏文件、感染其它程序等）为了实现病毒生命周期转换，病毒程序必须含有对应功效模块：引导模块、感染模块、表现模块计算机病毒的工作机制第4页2.1计算机病毒工作步骤分析潜伏阶段传染阶段触发阶段发作阶段潜伏期结束传染结束触发条件在潜伏阶段，病毒程序处于休眠状态，用户根本感觉不到病毒存在，但并非全部病毒均会经历潜伏阶段。假如一些事件发生（如特定日期、某个特定程序被执行等），病毒就会被激活，并从而进入传染阶段。处于传染阶段病毒，将感染其它程序——将本身程序复制到其它程序或者磁盘某个区域上。经过传染阶段，病毒程序已经具备运行条件，一旦病毒被激活，则进入触发阶段计算机病毒的工作机制第5页2.1计算机病毒工作步骤分析动态静态引导模块病毒感染病毒破坏触发模块满足触发条件满足破坏条件携毒潜伏或消散携毒潜伏或消散满足满足不满足不满足计算机病毒的工作机制第6页2.1计算机病毒工作步骤分析病毒引导模块病毒传染模块病毒表现模块激活传染条件判断模块传染功效实现模块触发表现条件判断模块表现功效实现模块计算机病毒组成模块：引导模块感染模块感染条件判断模块传染功效实现模块表现模块表现条件判断模块表现功效实现模块计算机病毒的工作机制第7页2.1计算机病毒工作步骤分析计算机病毒组成模块：1．引导模块：实现将计算机病毒程序引入计算机内存，并使得传染和表现模块处于活动状态。引导模块必须具备功效：引导模块需要提供自我保护功效，防止在内存中本身代码不被覆盖或去除计算机病毒程序引入内存后为传染模块和表现模块设置对应开启条件，方便在适当时候或者适当条件下激活传染模块或者触发表现模块计算机病毒的工作机制第8页2.1计算机病毒工作步骤分析计算机病毒组成模块：1．引导模块2．感染模块：感染条件判断子模块：依据引导模块设置传染条件，判断当前系统环境是否满足传染条件传染功效实现子模块：假如传染条件满足，则开启传染功效，将计算机病毒程序附加在其它宿主程序上3．表现模块：计算机病毒的工作机制第9页2.1计算机病毒工作步骤分析计算机病毒组成模块：1．引导模块：2．感染模块：3．表现模块：表现条件判断子模块：依据引导模块设置触发条件，判断当前系统环境是否满足触发条件表现功效实现子模块：假如触发条件满足，则开启计算机病毒程序，按照预定计划执行计算机病毒程序经典组成伪代码描述：P21

计算机病毒的工作机制第10页2.1计算机病毒工作步骤分析计算机病毒程序经典组成伪代码描述：BootingModel（） /*引导模块*/{将计算机病毒程序寄生于宿主程序中；开启自保护功效；设置传染条件；设置激活条件；加载计算机程序；计算机病毒程序随宿主程序地运行进入系统；}计算机病毒的工作机制第11页2.1计算机病毒工作步骤分析计算机病毒程序经典组成伪代码描述：InfectingModel（） /*传染模块*/{按照计算机病毒目标实现传染功效；}BehavingModel（） /*表现模块*/{按照计算机病毒目标实现表现功效；}计算机病毒的工作机制第12页2.1计算机病毒工作步骤分析计算机病毒程序经典组成伪代码描述：main()

/*计算机病毒主程序*/{ BootingModel()；while(1){ 寻找感染对象； if(假如感染条件不满足)continue； InfectingModel()； if

(激活条件不满足)continue； behavingModel()； 运行宿主程序； if(计算机病毒程序需要退出)exit()；}}计算机病毒的工作机制第13页2.2计算机病毒引导机制2.2.1计算机病毒寄生对象：1．寄生在计算机硬盘主引导扇区中2．寄生在计算机磁盘逻辑分区引导扇区中3．寄生在可执行程序中计算机病毒的工作机制第14页2.2计算机病毒引导机制2.2.2计算机病毒寄生方式替换法：指计算机病毒程序用自己个别或全部指令代码，替换磁盘引导扇区或文件中全部或个别内容。 ——寄生在磁盘引导扇区病毒链接法：指计算机病毒程序将本身代码作为正常程序一个别与原有正常程序链接在一起，链接位置可能在正常程序首部、尾部或中间。 ——寄生在可执行程序中病毒

计算机病毒的工作机制第15页2.2计算机病毒引导机制2.2.2计算机病毒寄生方式替换法剩下宿主程序宿主程序病毒程序

病毒程序

宿主程序

链接在头部宿主程序

病毒程序

链接在尾部宿主程序

宿主程序

病毒程序

链接在中间计算机病毒的工作机制第16页2.2计算机病毒引导机制2.2.3计算机病毒引导过程1．驻留内存计算机病毒若要发挥其破坏作用，普通要驻留内存。要开辟内存空间或覆盖系统占用个别内存空间。2．获取系统控制权必须使用相关代码取代或扩充系统原有功效，并窃取系统控制权。之后隐蔽自己，伺机进行传染和破坏。3．恢复系统功效病毒为隐蔽自己，驻留内存后要恢复系统，使系统不出现异常表现。

计算机病毒的工作机制第17页2.2计算机病毒引导机制2.2.3计算机病毒引导过程引导区病毒引导过程搬迁系统引导程序→替换为病毒引导程序开启时→病毒引导模块→加载传染、破坏和触发模块到内存→使用常驻内存技术转向系统引导程序→引导系统文件型病毒引导过程修改入口指令→替换为跳转到病毒模块指令执行时→跳转到病毒引导模块→病毒引导模块→加载传染、破坏和触发模块到内存→使用常驻技术转向程序正常执行指令→执行程序计算机病毒的工作机制第18页2.3计算机病毒传染机制2.3.1计算机病毒传染方式计算机病毒传染：指计算机病毒程序由一个信息载体传输到另一个信息载体，或由一个系统传输到另一个系统过程计算机病毒传输方式：被动传染：用户在复制磁盘或文件时，把一个计算机病毒由一个信息载体复制到另一个信息载体，也可能经过网络传输主动传染：在计算机病毒处于激活状态下，只要传染条件满足，计算机病毒能主动将病毒本身传染给另一个载体或系统计算机病毒的工作机制第19页2.3计算机病毒传染机制2.3.1计算机病毒传染方式计算机病毒传染：指计算机病毒程序由一个信息载体传输到另一个信息载体，或由一个系统传输到另一个系统过程。按照病毒传染时间性分为：马上传染：计算机病毒在被执行瞬间，抢在宿主程序执行之前，马上感染磁盘上其它程序，然后再执行宿主程序伺机传染：计算机病毒驻留内存后当满足传染条件时传染磁盘上程序计算机病毒的工作机制第20页2.3计算机病毒传染机制2.3.2计算机病毒传染过程被动传染：伴随复制磁盘或文件工作进行而进行。主动传染：

1.在系统运行时，计算机病毒经过计算机病毒载体，即系统外存放器进入系统内存放器，常驻内存，并在系统内存中监视系统运行；

2.病毒程序引导模块，修改中止向量入口地址，使之指向病毒程序传染模块；

3.一旦系统执行磁盘读写操作或系统功效调用，病毒传染模块就被激活，当传染条件满足时，利用INT13H将病毒本身传染给被读写磁盘或被加载程序。计算机病毒的工作机制第21页2.3计算机病毒传染机制2.3.2计算机病毒传染过程文件型病毒传染机理系统（程序）运行各种模块进入内存按各种传染方式传染操作系统型计算机病毒传染过程（P26）计算机病毒的工作机制第22页2.3计算机病毒传染机制2.3.3系统型计算机病毒传染机理系统型计算机病毒针对软硬盘不一样特点采取不一样传染方式：系统型计算机病毒对软盘传染：利用在开机引导时窃取INT13H控制权，系统运行过程中随时监视软盘操作情况，在系统读写软盘时读出磁盘引导区，若未感染病毒就按病毒寄生方式将原引导区写到磁盘另一位置，将病毒写入磁盘第一扇区，从而完成传染。系统型计算机病毒对硬盘传染：经过第一次使用带毒软盘进行，详细步骤与软盘传染相同，读出引导区判断后写入计算机病毒。

计算机病毒的工作机制第23页2.3计算机病毒传染机制2.3.4文件型计算机病毒传染机理文件型计算机病毒传染过程：

1．依据可执行程序文件特点地址标识符信息，判断是否已感染病毒

2．条件满足时，利用INT13H将病毒链接到可执行程序文件首部、尾部或中间；

3．完成传染后，继续监视系统运行，试图寻找新攻击目标。文件型计算机病毒传染路径：

1．加载执行文件：经过截获INT21中止检验每一个加载运行可执行文件进行传染。每次只传染一个文件，不会感染用户为执行文件。

2．列目录过程：在用户列硬盘目录时，病毒检验每个文件扩展名，对可执行文件进行传染。

3．创建文件过程：在创建文件过程中，病毒将其附加在新文件上计算机病毒的工作机制第24页2.4计算机病毒触发机制可触发性：是计算机病毒攻击性和潜伏性之间调整杠杆，可控制病毒感染和破坏频度，兼顾杀伤力和潜伏性。当前常见病毒触发条件种类：1．日期触发2．时间触发3．键盘触发4．感染触发5．开启触发6．访问磁盘次数触发7．调用中止功效触发8．CPU型号/主板型号触发计算机病毒的工作机制第25页2.5计算机病毒破坏机制经过修改某一中止向量入口地址实现，使中止向量入口地址指向病毒破坏模块，当系统或被加载程序访问该中止向量时，病毒破坏模块被激活，满足一定条件时实施破坏活动。

计算机病毒的工作机制第26页2.6计算机病毒传输机制计算机病毒传输方式：计算机病毒直接从有盘站复制到服务器中计算机病毒先传染工作站，在工作站内存驻留，等运行网