jack1984yw
|
分享:
▼
x1
|
[資訊教學] [轉]電腦病毒的引導機制
一,電腦病毒的引導機制
1.電腦病毒的寄生物件 電腦病毒實際上是一種特殊的程式,是一種程式必然要存儲在磁片上,但是病毒程式為了進行自身的主動傳播, 必須使自身寄生在可以獲取執行權的寄生物件上。就目前出現的各種電腦病毒來看,其寄生物件有兩種,一種是寄 生在磁片引導磁區;另一種是寄生在可執行檔(.EXE或.COM)中。這是由於不論是磁片引導磁區還是可執行檔, 它們都有獲取執行權的可能,這樣病毒程式寄生在它們的上面,就可以在一定條件下獲得執行權,從而使病毒得以進 入電腦系統,並處於啟動狀態,然後進行病毒的動態傳播和破壞活動。 2.電腦病毒的寄生方式 電腦病毒的寄生方式有兩種,一種是採用替代法;另一種是採用鏈結法,所謂替代法是指病毒程式用自己的部 分或全部指令代碼,替代磁片引導磁區或檔中的全部或部分內容。所謂鏈結法則是指病毒程式將自身代碼作為正常 程式的一部分與原有正常程式鏈結在一起,病毒鏈結的位置可能在正常程式的首部、尾部或中間,寄生在磁片引導扇 區的病毒一般採取替代法,而寄生在可執行檔中的病毒一般採用鏈結法。 3.電腦病毒的引導過程 電腦病毒的引導過程一般包括以下三方面。 (1)駐留記憶體 病毒若要發揮其破壞作用,一般要駐留記憶體。為此就必須開闢所用記憶體空間或覆蓋系統佔用的部分記憶體空間。有 的病毒不駐留記憶體。 (2)竊取系統控制權 在病毒程式駐留記憶體後,必須使有關部分取代或擴充系統的原有功能,並竊取系統的控制權。此後病毒程式依據 其設計思想,隱蔽自己,等待時機,在條件成熟時,再進行傳染和破壞。 (3)恢復系統功能 病毒為隱蔽自己,駐留記憶體後還要恢復系統,使系統不會死機,只有這樣才能等待時機成熟後,進行感染和破壞 的目的。 有的病毒在載入之前進行動態反跟蹤和病毒體解密。 對於寄生在磁片引導磁區的病毒來說,病毒引導程式佔有了原系統引導程式的位置,並把原系統引導程式搬移到 一個特定的地方。這樣系統一啟動,病毒引導模組就會自動地裝人記憶體並獲得執行權,然後該引導程式負責將病毒程 序的傳染模組和發作模組裝人記憶體的適當位置,並採取常駐記憶體技術以保證這兩個模組不會被覆蓋,接著對該兩個模 塊設定某種啟動方式,使之在適當的時候獲得執行權。處理完這些工作後,病毒引導模組將系統引導模組裝人記憶體, 使系統在帶毒狀態下運行。 對於寄生在可執行檔中的病毒來說,病毒程式一般通過修改原有可執行檔,使該檔一執行首先轉入病毒程 序引導模組,該引導模組也完成把病毒程式的其他兩個模組駐留記憶體及初始化的工作,然後把執行權交給執行檔, 使系統及執行檔在帶毒的狀態下運行。
二,電腦病毒的傳染機制
1.電腦病毒的傳染方式 所謂傳染是指電腦病毒由一個載體傳播到另一個載體,由一個系統進入另一個系統的過程。這種載體一般為磁 盤或磁帶,它是電腦病毒賴以生存和進行傳染的媒介。但是,只有載體還不足以使病毒得到傳播。促成病毒的傳染 還有一個先決條件,可分為兩種情況,或者叫做兩種方式。 其中一種情況是,用戶在進行拷貝磁片或檔時,把一個病毒由一個載體複製到另一個載體上。或者是通過網路 上的資訊傳遞,把一個病毒程式從一方傳遞到另一方。這種傳染方式叫做電腦病毒的被動傳染。 另外一種情況是,電腦病毒是以電腦系統的運行以及病毒程式處於啟動狀態為先決條件。在病毒處於啟動的 狀態下,只要傳染條件滿足,病毒程式能主動地把病毒自身傳染給另一個載體或另一個系統。這種傳染方式叫做計算 機病毒的主動傳染。 2.電腦病毒的傳染過程 對於病毒的被動傳染而言,其傳染過程是隨著拷貝磁片或檔工作的進行而進行的,而對於電腦病毒的主動傳 染而言,其傳染過程是這樣的:在系統運行時,病毒通過病毒載體即系統的外記憶體進入系統的內記憶體,常駐記憶體, 並在系統記憶體中監視系統的運行。在病毒引導模組將病毒傳染模組駐留記憶體的過程中,通常還要修改系統中斷向量入 口位址(例如INT 13H或INT 21H),使該中斷向量指向病毒程式傳染模組。這樣,一旦系統執行磁片讀寫操作或系統 功能調用,病毒傳染模組就被啟動,傳染模組在判斷傳染條件滿足的條件下, 利用系統INT 13H讀寫磁片中斷把病毒 自身傳染給被讀寫的磁片或被載入的程式,也就是實施病毒的傳染,然後再轉移到原中斷服務程式執行原有的操作。 電腦病毒的傳染方式基本可分為兩大類,一是立即傳染,即病毒在被執行到的瞬間,搶在宿主程序開始執行前, 立即感染磁片上的其他程式,然後再執行宿主程序;二是駐留記憶體並伺機傳染,記憶體中的病毒檢查當前系統環境,在 執行一個程式或D1R等操作時傳染磁片上的程式,駐留在系統記憶體中的病毒程式在宿主程序運行結束後, 仍可活動, 直至關閉電腦。 3.系統型病毒傳染機理 電腦軟硬碟的配置和使用情況是不同的。軟碟容量小,可以方便地移動交換使用,在電腦運行過程中可能多 次更換軟碟;硬碟作為固定設備安裝在電腦內部使用,大多數電腦配備一隻硬碟。系統型病毒針對軟硬碟的不同 特點採用了不同的傳染方式。 系統型病毒利用在開機引導時竊獲的INT 13控制權,在整個電腦運行過程中隨時監視軟碟操作情況, 趁讀寫 軟碟的時機讀出軟碟引導區,判斷軟碟是否染毒,如未感染就按病毒的寄生方式把原引導區寫到軟碟另一位置,把病 毒寫入軟碟第一個磁區,從而完成對軟碟的傳染。染毒的軟碟在軟體交流中又會傳染其他電腦。由於在每個讀寫階 段病毒都要讀引導區,既影響微機工作效率,又容易因驅動器頻繁尋道而造成物理損傷。 系統型病毒對硬碟的傳染往往是在電腦上第一次使用帶毒軟碟進行的,具體步驟與軟碟傳染相似,也是讀出引 導區判斷後寫入病毒。 4.檔型病毒傳染機理 當執行被傳染的.COM或.EXE可執行檔時,病毒駐人記憶體。一旦病毒駐人記憶體,便開始監視系統的運行。當它發 現被傳染的目標時,進行如下操作: (1)首先對運行的可執行檔特定位址的標識位元資訊進行判斷是否已感染了病毒; (2)當條件滿足,利用INT 13H將病毒鏈結到可執行檔的首部或尾部或中間,並存入磁片中; (3)完成傳染後,繼續監視系統的運行,試圖尋找新的攻擊目標。 檔型病毒通過與磁片檔有關的操作進行傳染,主要傳染途徑有: (1)載入執行檔 檔型病毒駐記憶體後,通過其所截獲的INT 21中斷檢查每一個載入運行可執行檔進行傳染。 載入傳染方式每次傳染一個檔,即用戶準備運行的那個檔,傳染不到那些用戶沒有使用的檔。 (2)列目錄過程 一些病毒編制者可能感到載入傳染方式每次傳染一個檔速度較慢,不夠過癮,於是後來造出通過列目錄傳染的 病毒。 在用戶列硬碟目錄的時候,病毒檢查每一個檔的副檔名,如果是可執行檔就調用病毒的傳染模組進行傳染。 這樣病毒可以一次傳染硬碟一個於目錄下的全部可執行檔。DIR是最常用的DOS命令,每次傳染的檔又多,所以病 毒的擴散速度很快,往往在短時間內傳遍整個硬碟。 對於軟碟而言,由於讀寫速度比硬碟慢得多,如果一次傳染多個檔所費時間較長,容易被用戶發現,所以病毒 “忍痛”放棄了一些傳染機會,採用列一次目錄只傳染一個檔的方式。 (3)創建檔過程 創建檔是DOS內部的一項操作,功能是在磁片上建立一個新檔。 已經發現利用創建檔過程把病毒附加到新 檔上去的病毒,這種傳染方式更為隱蔽狡猾。因為載入傳染和列目錄傳染都是病毒感染磁片上原有的檔,細心的 用戶往往會發現文件染毒前後長度的變化,從而暴露病毒的蹤跡。而創建檔的傳染手段卻造成了新檔生來帶毒的 奇觀。好在一般用戶很少去創建一個可執行檔,但經常使用各種編譯、連接工具的電腦專業工作者應該注意檔 型病毒發展的這一動向,特別在商品軟體最後生成階段嚴防此類病毒。
三,電腦病毒的破壞機制
破壞機制在設計原則、工作原理上與傳染機制基本相同。它也是通過修改某一中斷向量人口位址(一般為時鐘中 斷INT 8H,或與時鐘中斷有關的其他中斷,如INT 1CH),使該中斷向量指向病毒程式的破壞模組。這樣, 當系統或 被載入的程式訪問該中斷向量時,病毒破壞模組被啟動,在判斷設定條件滿足的情況下,對系統或磁片上的檔進行 破壞活動,這種破壞活動不一定都是刪除磁片檔,有的可能是顯示一串元用的提示資訊,例如,在用感染了“大麻 病毒”的系統盤進行啟動時,螢幕上會出現“Your PC is now Stoned!”。有的病毒在發作時,會干擾系統或用戶的 正常工作,例如“小球”病毒在發作時,螢幕上會出現一個上下來回滾動的小球。而有的病毒,一旦發作,則會造成 系統死機或刪除磁片檔。例如,“黑色星期五”病毒在啟動狀態下,只要判斷當天既是13號又是星期五,則病毒程 序的破壞模組即把當前感染該病毒的程式從磁片上刪除。 電腦病毒的破壞行為體現了病毒的殺傷力。病毒破壞行為的激烈程度取決於病毒作者的主觀願望和他所具有的 技術能量。數以萬計、不斷發展擴張的病毒,其破壞行為千奇百怪,不可能窮舉其破壞行為,難以做全面的描述。病 毒破壞目標和攻擊部位主要是:系統資料區、檔、記憶體、系統運行、運行速度、磁片、螢幕顯示、鍵盤、喇叭、打 印機、CMOS、主板等。
四,電腦病毒的觸發機制 感染、潛伏、可觸發、破壞是病毒的基本特性。感染使病毒得以傳播,破壞性體現了病毒的殺傷能力。廣範圍感染, 眾多病毒的破壞行為可能給用戶以重創。但是,感染和破壞行為總是使系統或多或少地出現異常。頻繁的感染和破壞會 使病毒暴露,而不破壞、不感染又會使病毒失去殺傷力。可觸發性是病毒的攻擊性和潛伏性之間的調整杠杆,可以控制 病毒感染和破壞的頻度,兼顧殺傷力和潛伏性。 過於苛刻的觸發條件,可能使病毒有好的潛伏性,但不易傳播,只具低殺傷力。而過於寬鬆的觸發條件將導致病毒 頻繁感染與破壞,容易暴露,導致用戶做反病毒處理,也不能有大的殺傷力。 電腦病毒在傳染和發作之前,往往要判斷某些特定條件是否滿足,滿足則傳染或發作,否則不傳染或不發作或只 傳染不發作,這個條件就是電腦病毒的觸發條件。 實際上病毒採用的觸發條件花樣繁多,從中可以看出病毒作者對系統的瞭解程度及其豐富的想像力和創造力。 目前病毒採用的觸發條件主要有以下幾種: 1.日期觸發:許多病毒採用日期做觸發條件。日期觸發大體包括:特定日期觸發、月份觸發、 前半年後半年觸發 等。 2.時間觸發:時間觸發包括特定的時間觸發、染毒後累計工作時間觸發、檔最後寫入時間觸發等。 3.鍵盤觸發:有些病毒監視用戶的擊鍵動作,當發現病毒預定的鍵人時,病毒被啟動,進行某些特定操作。 鍵盤 觸發包括擊鍵次數觸發、組合鍵觸發、熱啟動觸發等。 4.感染觸發:許多病毒的感染需要某些條件觸發, 而且相當數量的病毒又以與感染有關的資訊反過來作為破壞行 為的觸發條件,稱為感染觸發。它包括:運行感染檔個數觸發、感染序數觸發、感染磁片數觸發、感染失敗觸發等。 5.啟動觸發:病毒對機器的啟動次數計數,並將此值作為觸發條件稱為啟動觸發。 6.訪問磁片次數觸發:病毒對磁片I/O訪問的次數進行計數,以預定次數做觸發條件叫訪問磁片次數觸發。 7.調用中斷功能觸發:病毒對中斷調用次數計數,以預定次數做觸發條件。 8.CPU型號/主板型號觸發:病毒能識別運行環境的CPU型號/主板型號,以預定CPU型號/主板型號做觸發條件, 這 種病毒的觸發方式奇特罕見。 被電腦病毒使用的觸發條件是多種多樣的,而且往往不只是使用上面所述的某一個條件,而是使用由多個條件組 合起來的觸發條件。大多數病毒的組合觸發條件是基於時間的,再輔以讀、寫盤操作,按鍵操作以及其他條件。如“侵 略者”病毒的激發時間是開機後機器運行時間和病毒傳染個數成某個比例時,恰好按CTRL+ALT+DEL組合鍵試圖重新啟 動系統則病毒發作。 病毒中有關觸發機制的編碼是其敏感部分。剖析病毒時,如果搞清病毒的觸發機制,可以修改此部分代碼,使病毒 失效,就可以產生沒有潛伏性的極為外露的病毒樣本,供反病毒研究使用。 三類病毒原理 一,引導型病毒原理 病毒能感染的只有可執行代碼,在電腦中可執行代碼只有引導程式和可執行檔, 當然,還有一類特殊的病毒,如WORD巨集病毒,當然宏也是可 執行代碼。病毒感染BIOS 也是有可能的,不過並無太大意義,因為,現在的FLASHROM的BIOS都是可以防寫的, 再說,萬一出事,用無毒的再寫一遍即可。所以,一般將病毒分為引導型,檔型,或 是混合型。 想要瞭解引導型病毒的原理,首先要瞭解引導區的結構。軟碟只有一個引導區,稱 為DOS BOOT SECTER ,只要軟碟已格式化,就已存在。其作用為查找盤上有無IO.SYS DOS.SYS,若有則引導,若無則顯示‘NO SYSTEM DISK...’等信息。硬碟有兩個引導區, 在0面0道1磁區的稱為主引導區,內有主引導程式和分區表,主引導程式查找啟動分區, 該分區的第一個磁區即為DOS BOOT SECTER。絕大多數病毒感染硬碟主引導磁區和軟碟 DOS引導磁區。下面給出基本引導病毒的原理圖: 帶毒硬碟引導------>BIOS將硬碟主引導區讀到記憶體0:7C00處控制權轉到主引導程式(這是千古不變的)(病毒)-------->將0:413單元的值減少1K或nK------->計算可用記憶體高段位址將病毒移到高段繼續執行-------->修改INT13位址,指向病毒傳染段,將原INT13位址保存在某一單元------>病毒任務完成,將原引導區調 入0:7C00執行------>機器正常引導帶毒軟碟引導----->判斷硬碟是否有毒,若無毒則傳染------>以下同上(傳染時將病毒寫入主引導磁區,將原引導程式存入某一磁區) 以上是引導型病毒的基本框圖,不論是最古老,還是最新的,萬變不離其中.只不過在各細節個人的技巧不同罷了. 駐留記憶體:一般採取修改0:413位址的方法,因為引導時,DOS還未載入 這是唯一的方法,但有很大的缺點,啟動後用MEM查看發現常規記憶體的總量 少於640K,不夠隱蔽,當然有辦法解決,可以修改INT 8,檢測INT 21是否 建立,若建立則可採用DOS功能駐留記憶體.詳細見檔型病毒. 隱形技術:當病毒駐留時,讀寫引導區均對原引導區操作,就好象 沒有病毒一樣. 加密技術:一般加密分區表,使無毒盤啟動,無法讀取硬碟. 引導型病毒的優點:隱蔽性強,相容性強,只要編的好,是不容易發現 的,通用於DOS WINDOWS WIN95 作業系統. 缺點:很多,傳染速毒慢,一定要帶毒軟碟啟動才能傳到硬碟,殺毒 容易,只需改寫引導區即可.如: fdisk/mbr ,kv300,rav能查出 所有引導型病毒,底板能對引導區防寫,所以現在純引導型病毒已 很少了. 以上是引導型病毒的基本框圖,不論是最古老,還是最新的,萬變不離 其中.只不過在各細節個人的技巧不同罷了.
二,檔型病毒原理
要瞭解檔型病毒的原理,首先要瞭解檔的結構.COM 檔比較簡單, 病毒要感染COM檔有兩種方法,一種是將病毒加在COM前部,一種是加在檔尾部,見下圖: A B -------- --------------- |-病毒 | |JMP XXXX:XXXX| (原文件的前3位元組被修改) -------- --------------- |原文件| ├ 原程式 ┤ -------- -------------- ├ 病毒 ┤ -------------- EXE 檔比較複雜,每個EXE檔都有一個檔頭,結構如下: EXE檔頭資訊 ----------------------------------- ├ 偏移量 ┤ 意義 ┤ ├00h-01h ┤MZ'EXE檔標記 ┤ ├2h-03h ┤文件長度除512的餘數 ┤ ├04h-05h ┤...............商 ┤ ├06h-07h ┤重定位項的個數 ┤ ├08h-09h ┤文件頭除16的商 ┤ ├0ah-0bh ┤程式運行所需最小段 數 ┤ ├0ch-0dh ┤..............大..... ┤ ├oeh-0fh ┤堆疊段的段值 (SS) ┤ ├10h-11h ┤........sp ┤ ├12h-13h ┤文件校驗和 ┤ ├14h-15h ┤IP ┤ ├16h-17h ┤CS ┤ ├18h-19h ┤............ ┤ ├1ah-1bh ┤............ ┤ ├1ch ┤............ ┤ ----------------------------------- 當DOS載入EXE檔時,根據檔頭資訊,調入一定長度的文件,設置SS,SP 從CS:IP 開始執行.病毒一般將自己加在檔的末端,並修改CS,IP的值指向病毒起始位址,並修改檔長度資訊和SS,SP. 三,混合型病毒原理 所謂混合型,即既能感染引導區,又能感染檔的病毒。但並非簡單 的將檔型病毒和引導型病毒簡單的加在一起,其中有一個轉換過程, 這是最關鍵的。一般採取以下手法:檔中的病毒執行時將病毒寫入引導 區,這時很容易理解的。染毒硬碟啟動時,用引導型病毒的方法駐留記憶體, 但此時DOS並未載入,無法修改INT21,也就無法感染檔,可以用這樣的 辦法,修改INT 8 ,保存INT 21目前的位址,用INT 8服務程式監測INT 21 的位址是否改變,若改變則說明DOS已載入,則可修改INT 21指向病毒傳染 段。以上是混合型病毒關鍵之處。
病毒隱藏技術
任何病毒都希望在被感染的電腦中隱藏起來不被發現,而這也是定義一個病毒行為的主要方面之一,因為病毒都只 有在不被發現的情況下,才能實施其破壞行為。為了達到這個目的,許多最新發現的病毒使用了各種不同的技術來躲避反 病毒軟體的檢驗。而這種技術與最新的反病毒軟體所使用的技術相似(本來就相同,大家是兄弟,病毒與殺毒軟體,彼此 彼此)。 這次我們將討論一些病毒所使用的最基本的隱藏技術,以後還將討論一些較新較複雜的技術。 一個最常用最知名的技術被稱為“秘密行動”法,這個技術的關鍵就是把病毒留下的有可能被立即發現的痕跡掩蓋掉。 這些痕跡包括被感染檔莫名其妙增大或是檔建立時間的改變等。由於它們太明顯,很容易被用戶發現,所以很多病毒 的製造者都會使用一種技術來截取從磁片上讀取檔的服務程式,通過這種技術就能使得已被改動過的檔大小和創建時 間看上去與改動前一樣,這樣就能騙過使用者使他們放鬆警惕。 在“秘密行動”法問世以後,由於常駐記憶體反病毒軟體的出現,一種名為“鑽隧道”的方法又被開發了出來。 常駐記憶體反病毒軟體能防止病毒對電腦的破壞,它們能阻止病毒向磁片的引導區和其他敏感區寫入資料,以及實施 對應用程式的修改和格式化硬碟等破壞活動。而“鑽隧道”法能直接取得並使用為系統服務的原始記憶體位址,由此繞開常 駐記憶體的反病毒篩檢程式,這樣病毒感染檔的時候就不會被反病毒軟體發現。 通過以上的論述,也許大家就能瞭解安裝集成了最新技術的反病毒軟體的重要性,像熊貓軟體這樣的優秀反病毒軟體 都應是保護你電腦免受使用了最新技術的病毒侵害的有力武器。
當前電腦病毒的最新特點
當前電腦病毒的最新特點是: 1.由於目前病毒感染的途徑較多、來源管道廣,一旦發現病毒往往難以尋根究底,難以找到病毒的真正來源。 2.由於目前作業系統龐大,Windows、Win95環境下,由於運行時要調用很多的檔或動態連結程式庫,這樣給病毒 取樣帶來困難。 3.隨著Internet的發展,Windows時代的到來,光碟的大量使用,壓縮檔應用越來越廣泛。 壓縮檔為病毒 的傳染提供了一種新的載體。 4.一旦發生破壞,恢復工作量大,作業系統安裝麻煩,即使作業系統重新安裝,由於配置檔被病毒破壞,軟 件仍將不能正常運行。 5.網路已成為病毒傳播的主要途徑。在網路環境下,病毒傳播擴散快,單機防殺病毒產品已經難以徹底清除網 絡病毒,必須有適用於局域網、廣域網的全方位防殺病毒產品。 6.病毒手段更加“毒辣”,為對抗電腦反病毒技術而出現一些病毒新技術。 7.盲目使用未經嚴格測試的殺毒產品往往會產生負面效應。一些殺病毒產品由於對病毒分析不透徹,倉促應戰 造成染毒檔被殺壞。
中斷與電腦病毒 1.中斷基本概念 什麼是中斷?先打個比方。當一個經理正處理檔時,電話鈴響了(中斷請求),不得不在檔上做一個記號(返 回位址),暫停工作,去接電話(中斷),並指示“按第二方案辦”(調中斷服務程式),然後,再靜下心來(恢復中 斷前狀態),接著處理檔……。電腦科學家觀察了類似實例,“外師物化,內得心源”,借用了這些思想、處理方 式和名稱,研製了一系列中斷服務程式及其調度系統。 中斷是CPU處理外部突發事件的一個重要技術。它能使CPU在運行過程中對外部事件發出的中斷請求及時地進行處理, 處理完成後又立即返回中斷點,繼續進行CPU原來的工作。引起中斷的原因或者說發出中斷請求的來源叫做中斷源。 根據 中斷源的不同,可以把中斷分為硬體中斷和軟體中斷兩大類,而硬體中斷又可以分為外部中斷和內部中斷兩類。 外部中斷一般是指由電腦週邊發出的中斷請求,如:鍵盤中斷、印表機中斷、計時器中斷等。外部中斷是可以屏 蔽的中斷,也就是說,利用中斷控制器可以遮罩這些外部設備的中斷請求。 內部中斷是指因硬體出錯(如突然掉電、奇偶校驗錯等)或運算出錯(除數為零、運算溢出、單步中斷等)所引起 的中斷。內部中斷是不可遮罩的中斷。 軟體中斷其實並不是真正的中斷,它們只是可被調用執行的一般程式。例如:ROMBIOS 中的各種外部設備管理中斷 服務程式(鍵盤管理中斷、顯示器管理中斷、印表機管理中斷等),以及DOS的系統功能調用(INT 21H)等都是軟體中 斷。 CPU為了處理併發的中斷請求,規定了中斷的優先權/中斷優先權由高到低的順序是: (1)除法錯、溢出中斷、軟體中斷 (2)不可遮罩中斷 (3)可遮罩中斷 (4)單步中斷。 2.中斷與電腦病毒 電腦作業系統是開放的,用戶可以修改擴充作業系統,在電腦上實現新的功能。修改作業系統的主要方式之一 是擴充中斷功能。 電腦提供很多中斷,合理合法地修改中斷會給電腦增加非常有用的新功能。如INT 10H是螢幕顯示中斷, 原只能顯示西文,而在各種漢字系統中都可以通過修改1NT 10H使電腦能夠顯示中文。另一方面, 電腦病毒則篡改中斷 為其達到傳染、激發等目的服務,與病毒有關的重要中斷有: INT 08H和INT 1CH定時中斷,每秒調用18.2次,有些病毒利用它們的記時判斷激發條件。 INT 09H鍵盤輸入中斷,病毒用於監視用戶擊鍵情況。 INT 10H螢幕輸入輸出中斷,一些病毒用於在螢幕上顯示字元圖形表現自己。 INT 13H磁片輸入輸出中斷,引導型病毒用於傳染病毒和格式化磁片。 INT 21H DOS功能調用,包含了DOS的大部分功能,已發現的絕大多數檔型病毒修改INT 21H中斷, 因此也成為防 病毒的重點監視部位。 INT 24H DOS的嚴重錯誤處理中斷,檔型病毒常進行修改,以防止傳染防寫磁片時被發現。 中斷副程式的人口位址存放在電腦記憶體的最低端,病毒竊取和修改中斷的人口位址獲得中斷的控制權,在中斷服 務過程中插入病毒的“私貨”。 總之,中斷可以被用戶程式所修改,從而使得中斷服務程式被用戶指定的程式所替代。這樣雖然大大地方便了用戶, 但也給電腦病毒製造者以可乘之機。病毒正是通過修改中斷以使該中斷指向病毒自身來進行發作和傳染的。
此文章被評分,最近評分記錄財富:50 (by upside) | 理由: 感謝提供 參考資料 數位男女因你而豐富 | |
|
|
|