病毒的工作原理
1.计算机病毒的生命周期
计算机病毒的产生过程分为:程序设计,传播,潜伏,触发,运行,实行攻击。计算机病毒从生成开始到完全根除结束也存在一个生命周期。
(1)开发期即计算机的编写调试期。在几年前,制造一个病毒需要丰富的计算机编程知识。但是如今有一点计算机编程知识的人的都可以制造一个病毒。通常计算机病毒是由一些误人歧途、试图传播计算机病毒和破坏计算机的个人或组织制造的。
(2)传染期
传染分主动传染和被动传染。一个计算机病毒编写出来以后,病毒的编写者通常要将其传播出去。常用的办法是用其感染一个流行的程序,并再将其放人BBS站点上、校园网或其他大型组织的网络中被动等待。一旦该病毒被激活,就可以实施主动传染,感染其他符合条件的相关程序或文件。
(3)潜伏期
潜伏分为静态潜伏和动态潜伏。静态潜伏期的病毒处于休眠状态,病毒通过文件拷贝被动复制。一个设
计良好的病毒可以在它活化前长期内被复制。动态潜伏是指病毒被激活后,病毒利用相关技术与策略,竭力隐藏自己。潜伏性给了病毒充裕的传播时间。这时病毒的危害在于暗中占据存储空问。
陈意涵 奋斗(4)发作期乐山公安局通报击案详情
带有破坏机制的病毒会在遇至某一特定条件时发作,一旦遇上某种条件,比如某个日期或出现了用户采取的某个特定的行为,病毒就被触发,并实施破坏行为。
(5)发现期
当一个病毒被检测到并被隔离出来后,它被送到计算机安全协会或反病毒厂家,在那里病毒被通报和描述给反病毒研究工作者。
(6)同化期
在这一阶段,反病毒开发人员修改他们的软件以使其可以检测到新发现的病毒。这段时间的长短取决于开发人员的素质和病毒的类型。
(7)消亡期
若是所有用户安装了最新版的杀毒软件,那么任何病毒都将会被清除。这样就没有什么病毒可以广泛地传播了,但有一些病毒在消失之前有一个很长的消亡期。至今,还没有哪种病毒已经完全消失,但是某些病毒已经在很长时间里不再是一个重要的威胁了。
2.计算机病毒的基本环节
计算机病毒有自己的生命周期,实际上,计算机病毒要完成一次完整的传播破坏过程,必须经过“分发拷贝、潜伏繁殖、破坏表现”几个环节,任何一个环节都可以抑制病毒的传播、蔓延,或者清除病毒。与这几个环节相关的概念有:
(1)传染源。病毒总是要潜伏或寄生在某些媒介上,如存储器、文件等。一旦其染上病毒就会成为新的传染源。
(2)传播途径。病毒传播的途径由其工作的环境决定,可能是计算机网络,也可能是可移动的存储介质。
·(3)传染。病毒的传染是病毒性能的一个重要标志。在传染环节中,病毒复制一个自身副本到传染对象中去。
(4)病毒激活。它是指将病毒装入内存,并设置触发条件,一旦机会成熟,病毒就开始发作,进行自我
复制和破坏活动等。
(5)病毒触发。计算机病毒一旦被激活,立刻就发生作用。触发的条件是多样化的,可以是内部时钟、系统的日期、用户标识符,也可能是系统的一次通信等
(6)病毒表现。表现是病毒的主要目的之一,有时在屏幕显示出来,有时则表现为破坏系统数据。可以这样说,凡是软件技术能够涉及的地方,都在其表现范围内。
3.计算机病毒的逻辑结构
计算机病毒是以现代计算机网络为环境而存在并发展的,即计算机系统软、硬件环境决定了计算机病毒的结构,而这种结构是能够充分利用系统资源进行活动的最合理体现。计算机病毒一般由感染标志(病毒签名)、引导模块、感染模块和破坏(表现)模块4个部分组成。有时也把破坏(表现)模块中的触发条件判断部分作为一个单独的模块,称为触发计算机病毒的这几个基本模块,既有分工又有合作,它们相互依靠、彼此协调。引导模块是传染模块、破坏(表现)模块的基础;破坏(表现)模块依赖传染模块扩大攻击范围;传染模块是计算机病毒的核心。但有些病毒并没有引导模块,如Vienna病毒,这类病毒利用操作系统的加载机制瞬间动态地执行感染和破坏(表现)模块;而Brain病毒只有感染标志、引导模块、感染模块,没有破坏(表现)模块,这正是某些病毒不具备表现性的原因所在,但是,没有表现性却增强了这类病毒的隐蔽性。
(1)感染标志
有的病毒有一个感染标志,又称病毒签名,但不是所有的病毒都有感染标志。病毒程序感染宿主程序时,就把感染标志写入宿主程序,作为该程序已被感染的标记(某些病毒将感染标志写入注册表或其他位置,标记当前系统已被感染)。感染标志是一些数字或字符串,它们以ASCII码方式存放在程序里。病毒在感染程序之前,一般要对感染对象进行搜索,查看其是否带有感染标志,如果有,说明其已被感染,就不再进行感染;如果没有,病毒就感染该程序。当然,也有病毒反复感染同一程序。
感染标志不仅被病毒用来决定是否实施感染,还被病毒用来实施欺骗。例如,当4096病毒常驻内存后,用DIR命令查看目录,全部染毒文件的长度和时间都是感染以前的正常值,而当内存中没有该病毒时,才会发现被感染文件长度已增长了4096B。因为4096病毒每感染一个文件,便在其文件目录里做了记号。执行DIR命令时,病毒先于系统去查看目录,它能识别哪些文件已感染4096病毒,哪些没有对染毒文件先进行某种处理而后显示正常值来欺骗用户。
不同病毒的感染标志的位置、内容都不同。巴基斯坦病毒的感染标志在引导扇区的04H 处,内容为1234H;病毒在主引导扇区或引导扇区的OH处,内容为EA0500CO07;耶路撒冷病毒在染毒文件尾部,内容是“MSODS”。
杀毒软件可以将感染标志作为病毒的特征码之一,但若仅以此作为判断某文件已感染某病毒的唯一特
征码容易误报、误杀。例如,CIH病毒的特征码之一是“CIH”,但不能断定一个内容为“CIH”的文本文件已经感染了CIH病毒。
也可以利用病毒根据感染标志是否进行感染这一特性,人为、主动地在文件中添加感染标志,从而在某种程度上达到病毒免疫的目的。
(2)引导模块
染毒程序运行时,首先运行的是病毒的引导模块。引导模块的基本动作是:
①检查运行的环境,如确定操作系统类型、内存容量、现行区段、磁盘设置、显示器类
杨幂 胸型等参数。
②将病毒引入内存,使病毒处于动态,并保护内存中的病毒代码不被覆盖。
③设置病毒的激活条件和触发条件,使病毒处于可激活状态,以便病毒被激活后根据满足条件调用感染模块或破坏(表现)模块。
女装 品牌(3)感染模块
感染模块是病毒实施感染动作的部分,负责实现病毒的感染机制。感染模块的主要功能如下:
①寻感染目标。
②检查目标中是否存在感染标志或设定的感染条件是否满足。
③如果没有感染标志或条件满足,进行感染,将病毒代码放入宿主程序。
无论是文件型病毒还是引导型病毒,其感染过程总的来说是相似的,分为3步:进驻内存、判断感染条件、实施感染。感染条件控制病毒的感染动作和感染的频率:若频繁感染,容易让用户发觉;苛刻的感染条件,又让病毒放弃了众多传播机会。
(4)破坏(表现)模块
破坏模块负责实施病毒的破坏动作,其内部是实现病毒编写者预定破坏动作的代码。病毒的破坏力取决于破坏模块,有些病毒只干扰显示,占用系统资源或发出奇怪声音、显示奇怪图像,而另一些病毒不仅表现出上述外观特性,还破坏数据、摧毁系统。病毒在实施破坏时,或破坏得手之后,用户往往能感觉到“我的计算机中毒了”。正因为病毒的破坏模块导致各种异常现象,因此,该模块又被称为病毒的表现模块。
幼儿小班教学计划
计算机病毒的破坏现象和表现症状因具体病毒而异。计算机病毒的破坏行为和破坏程度,取决于病毒编写者的主观愿望和技术能力。是否执行破坏模块,取决于预定的触发条件是否满足。触发条件控制病毒的破坏动作和病毒破坏的频率,使病毒在隐蔽的状态下实施感染。病毒的触发条件多种多样,例如,特定日期触发、特定时间触发、发现特定程序触发,以及感染的次数、特定中断调用的次数、特定键盘按键输入等,都可以作为触发条件。
4.计算机病毒的工作原理
病毒是一个程序,它通过想办法在正常程序运行之前运行,并处于特权状态。这段程序代码一旦进入计算机并得以执行,就会对计算机的某些资源进行监视和控制,会自动搜寻其他符合传染条件的程序或存储介质,并将自身代码插入其中,达到自我繁殖的目的。只要一台计算机染毒,病毒就可能在这台计算机上迅速扩散,甚至殃及与此计算机进行数据交换的其他计算机。
(1)DOS病毒的原理
现代计算机虽然有严密的保护措施,但它总得允许开发人员修改、更新系统,允许用户编写自己的程序,这就给设计精巧的病毒提供了入侵的机会。另外,计算机中既没有地址越界保护,也没有特权指令,一个程序如果取得了控制权,它可以对系统程序或其他用户程序进行任意的修改。
正常的程序由用户调用,再由系统分配资源。病毒具有正常程序的一切特性,它隐藏在正常程序中,当用户调用正常程序时获得系统的控制权,并先于正常程序执行。病毒通常寄生在正常程序中或潜伏在磁盘较隐蔽的地方,目的是不让用户发现它的存在。寄生在存储媒介上的病毒存在着某种激活机制,被激活的病毒能够把自己的病毒程序复制到别的存储媒介上以实现传染的目的。
一个病毒程序可以通过引导含有病毒的系统或执行含有病毒的程序获得对计算机系统的控制权。获得控制权后,它可以传染、发作,或把自己安装在系统中。安装好的病毒可以通过某种条件再次获得控制权。
如系统从硬盘引导,主引导记录先被装入内存并执行,然后由主引导程序装入活动分区中B0()T引导记录(一般是DOS引导程序)。最后,再由DOS引导程序装入DOS操作系统。因此,如果这些引导记录中有病毒程序,该程序便首先获得控制权。但由于这时DOS还没有安装,病毒程序只能调用ROMBIOS的功能,以扇区为单位进行磁盘操作,无法将病毒程序传染到文件上。引导记录中的病毒程序必须将自己驻留内存,以后才有可能再次获得控制权。由于DOS装入时还要进行初始化工作,病毒程序只能将自己驻留内存高端。它修改由ROM自检程序填写的内存最高可用内存地址保留一定空间给自己使用,并修改INT13H 中断向量,指向病毒程序的某个入口,然后装入正常的引导记录引导DOs。以后,每次调用INT13H进行磁盘操作,病毒程序便再次获得控制权。获得控制权的病毒程序设法寻适合感染的磁盘,把自己复制到磁盘的引导扇区,完成传染功能。
为了满足隐蔽性要求,病毒程序都比较短小,并主动减少对宿主重复感染的可能性。病毒程序一般都是通过某个标记检查宿主是否已被感染,因此,这个标记可以人为地加在宿主中以获得免疫。此外,修改DOS并驻留内存的病毒一般给DOS增加了检查感染的功能。一个病毒程序获得控制权时,如果发现系统已感染过同种病毒,自己则不驻留内存,以免很快将内存耗尽或使系统速度下降太多而被人发现。
(2)Windows病毒的原理
Win32中的可执行文件,如.EXE,.DLL,.OCX等都是PE(PortableExecutable)格式文件。.真正的病毒技术在PE病毒中才会得到真正的体现。PE病毒是所有病毒中数量极多、破坏极大、技巧性最强的一类病毒。PE病毒基本上需要具有重定位、截获API函数地址、搜索感染目标文件、内存文件映射、实施感染等功能。小学生科学知识
①重定位。编写正常的程序时是不需要关心变量的位置的,因为源程序在编译的时候,变量(常量)在内存中的位置都被计算好了。程序装入内存时,系统不会为它重定位。编程时需要用到变量(常量)的时候直接用变量名访问,编译后通过偏移地址访问。
病毒程序也要用到变量,当病毒感染HOST程序后,由于其依附到不同HOST程序中的位置不尽相同,病毒随着HOST装入内存后,病毒中的各个变量(常量)在内存中的位置自然也会随着发生变化。这
样,病毒对变量的引用不再准确,势必导致病毒无法正常运行。因此,病毒就非常有必要对病毒代码中的所有变量(常量)进行重新定位。
②获取API函数的地址。Win32下的系统功能调用不是通过中断实现,而是通过调用动态链接库中的API函数实现的(直接使用VxD服务的除外)。PE病毒也需要调用API函数实现某些功能,但是普通的PE程序里面只有一个导入函数节,记录了代码节中所用到的API 函数在DLL中的真实地址。这样,调用API函数时就可以通过该导人函数节到相应API 的真正执行地址。但是,对于PE病毒来说,它只有代码节,并不存在导入函数节,所以病毒就无法像普通PE程序那样直接调用相关的API函数,而应该先出这些API函数在相应DLL中的地址。
③搜索感染目标文件通常使用API函数来实现,如FindFirstFile,FindNextFile,FindCode 等。
④内存映射文件提供一组独立的函数,使应用程序能够通过内存指针像访问内存一样对磁盘上的文件进行访问。这组内存映射文件函数将磁盘上的文件全部或部分映射到进程虚拟地址空间的某个位置,以后对文件内容的访问就如同在该地址区域内直接对内存访问一样简单。这样,对文件中数据的操作便是直接对内存进行操作,大大提高了访问的速度,对病毒减少对资源的占用是非常重要的。
⑤PE病毒常见的感染其他文件的方法是在文件中添加一个新节,然后往该新节中添加病毒代码和病毒执行后返回HOST程序代码,并修改文件头中代码开始执行位置指向新添加的病毒节的代码入口,以
便程序运行后先执行病毒代码。
发布评论