6.2 病毒机制与组成结构

最新推荐文章于 2022-05-06 19:09:12 发布

robur

最新推荐文章于 2022-05-06 19:09:12 发布

阅读量2.4k

点赞数

分类专栏： NCSE学习笔记第1册文章标签：网络服务器工作杀毒软件磁盘解密

本文链接：https://blog.csdn.net/robur/article/details/1589138

版权

NCSE学习笔记第1册专栏收录该内容

60 篇文章 4 订阅

订阅专栏

6.2.1 计算机病毒的结构

计算机病毒在结构上一般分为3个功能模块：
感染：病毒传播的途径或方式
载荷：除了自我复制以外的所有动作
触发：是否在此时传送载荷的例程

如果被定义为病毒，只有感染机制是强制性存在的。但是在某些情况下，病毒程序本身的传播可能被描述为有效载荷，如果有的病毒对在何种情况下造成感染有明确的选择，就可以称为感染机制实质上并入了触发机制。

感染机制
病毒结构中首要且唯一必须的部分是感染机制，它是一种能让病毒繁殖的代码，也是病毒之所以成为病毒的原因。（这句话太强了！！）如果其中的代码积极搜索条件适合的程序，这种搜索是主动的。再比如宏病毒，只在保存时感染文件，那么这种搜索是被动的。
在目标找到后，很有可能还要做出额外的决定。实际上，一些病毒为避免被发现而减缓感染速度，另一方面，快速感染可以在尽可能短的时间内感染尽可能多的文件。

触发机制
病毒的第二个主要构成是有效载荷触发机制。病毒的触发机制不是其必要部分，一个只有触发机制和有效载荷而没有复制机制的病毒不能被成为真正的病毒，它可能是一个Trojan。

有效载荷机制
有触发机制的病毒通常也包含有效载荷。从一条简单的信息到格式化硬盘、把一份带毒EMail邮寄给地址簿上的受害者，都可以成为有效载荷。
一般，有效载荷越大，病毒也就越容易被发现。虽然如此，但是有效载荷并不能成为判断病毒的唯一标识。很多成功的病毒都难以引起人的注意，直到杀毒软件警告发现问题。
一个成功的病毒的作用效果通常是较小的，许多病毒对系统本身的映像甚至没有流行感冒对人体的影响大，但是它们会给系统的拥有者带来心理上的影响。

6.2.2 计算机病毒的四大机制

计算机病毒的引导机制
1.计算机病毒的寄生对象
计算机病毒为了进行自身的主动传播，必须使自身寄生在可以获得执行权的寄生对象上。就目前出现的各种计算机病毒来开，其寄生对象有两种：一种是磁盘引导区；另一种则是可执行文件。它们都有获得执行权的能力，病毒寄生在上面，可以在一定条件下获得执行权，从而进入计算机系统，施行破坏活动。

2.计算机病毒的寄生方式
计算机病毒的寄生方式有两种：替代发和链接法。所谓替代法，是指病毒用自身代码替代引导区或程序的全部内容。所谓链接法，是指病毒将自身代码作为一部分与原油正常程序链接到一起。引导区病毒一般采用替代法，可执行文件病毒一般采用链接法。

3.计算机病毒的引导过程
计算机病毒的引导过程一般包括三个方面：
1）驻留内存：病毒要发挥其破坏作用，一般要驻留内存，必须开辟内存空间，或者覆盖系统占用的部分内存空间。但有的病毒不需要驻留内存。
2）窃取系统控制权：病毒驻留内存后，使用有关部分取代或扩展系统功能，并窃取系统的控制权，等待时机进行感染和破坏。
3）恢复系统功能：病毒为了隐蔽自己，还要恢复系统功能，使系统不会死机，只有这样才能等待时机进行感染和破坏。有的病毒在加载时还会进行动态反跟踪和自解密。

计算机病毒的传染机制
1.计算机病毒的传染方式
所谓传染，是指计算机病毒由一个载体传播到另一个载体，由一个系统进入另一个系统的过程。区分被动式传染（依靠复制和保存）和主动式传染（主动感染其他文件）。
2.计算机病毒的传染过程
计算机病毒的传染方式基本可以分为两大类：一是立即传染，病毒执行的瞬间感染其他程序；二是驻留内存，然后伺机传染。
3.系统型病毒传染机理
系统型病毒在开机时窃取INT 13控制权，在整个计算机运行过程中监视软盘操作情况，趁读写软盘的时读出软盘引导区，并判断是否感染，如未感染就按病毒的寄生方式把原引导区写到软盘的另一位置，把病毒自身写入软盘的第一扇区，完成感染。手传染的软盘在使用过充中，会传染其他计算机。对硬盘的感染类似与软盘。
4.文件型病毒的传染机理
加载可执行文件时感染，通过截取INT 21中断，判断加载的可执行文件是否被感染
列目录过程传染，可以迅速传染一个子目录下的所有可执行文件
创建文件过程传染。

计算机病毒的破坏机制
计算机病毒在设计破坏机制上基本相同，通过截取修改某一中断入口地址，使该中断指向病毒程序的破坏模块。这样的，当系统被加载或者程序访问该中断，病毒破坏模块被激活。计算机病毒的破坏能力和形式不尽相同。

计算机病毒的触发机制
感染、潜伏、可触发、破坏是病毒的基本特征。目前病毒采用的触发机制有以下几种：
日期触发、时间触发、键盘触发、感染触发、启动触发、访问磁盘数触发、调用中断功能触发、CPU/主板型号检测

6.2.3 蠕虫病毒

蠕虫（Worm）病毒通过分布式网络来扩散特定的或错误的信息，进而造成网络服务器遭到拒绝，并发生死锁。
蠕虫病毒一般有一个主程序和一个引导程序两部分组成。主程序一旦在计算机中得到建立，就会搜索与当前主机联网的其他主机，尝试使用系统的缺陷在远程机器上建立引导程序。
蠕虫病毒能够常驻于以太或多台计算机，并有自动重定位能力。假如它检测到网路中哪台机器没有被占用，就把自身的拷贝发送到那台机器。每个程序都能把自身的拷贝重定向到位于另一台机器上，并且能识别出它自己占用的机器。

蠕虫病毒的新特性：
1.传染方式多
蠕虫病毒入侵网络的主要途径是通过工作站传播到服务器硬盘中，再由服务器的共享目录传播到其他的工作站。
2.传染速度快
在单机上，病毒只能通过移动存储设备从一台计算机传染到另一台计算机，而网络中病毒可以借助高速电缆，迅速传播。
3.清除难度大
仅对工作站进行杀毒并不能彻底解决局域网蠕虫病毒的问题。
4.破坏性强
蠕虫病毒将直接影响网络的状态，轻则速度降低，影响工作效率，重则造成网络系统的瘫痪，破坏服务器系统资源，使多年的工作毁于一旦。