文件型电脑病毒介绍

要了解文件型病毒的原理,首先要了解文件的结构.COM 文件比较简单, 病毒要感染COM文件有两种 方法 ,一种是将病毒加在COM前部,一种是加在文件尾部，下面由我给你做出详细的文件型电脑病毒介绍!希望对你有帮助!见下图:

文件型电脑病毒介绍：

A B

-------- ---------------

|-病毒 | |JMP XXXX:XXXX| (原文件的前3字节被修改)

-------- ---------------

|原文件| ├ 原程序 ┤

-------- --------------

├ 病毒 ┤

--------------

EXE 文件比较复杂,每个EXE文件都有一个文件头,结构如下:

EXE文件头信息

-------------------------------------

├偏移量┤ 意义 ┤

├00h-01h ┤MZ'EXE文件标记 ┤

├2h-03h ┤文件长度除512的余数 ┤

├04h-05h ┤...............商 ┤

├06h-07h ┤重定位项的个数 ┤

├08h-09h ┤文件头除16的商 ┤

├0ah-0bh ┤程序运行所需最小段 数 ┤

├0ch-0dh ┤..............大..... ┤

├oeh-0fh ┤堆栈段的段值 (SS) ┤

├10h-11h ┤........sp ┤

├12h-13h ┤文件校验和 ┤

├14h-15h ┤IP ┤

├16h-17h ┤CS ┤

├18h-19h ┤............ ┤

├1ah-1bh ┤............ ┤

├1ch ┤............ ┤

------------------------------------

当DOS加载EXE文件时,根据文件头信息,调入一定长度的文件,设置SS,SP 从CS:IP 开始执行.病毒一般将自己加在文件的末端,并修改CS,IP的值指向病毒起始地址,并修改文件长度信息和SS,SP。

文件型电脑病毒介绍基本原理：

当被感染程序执行之后，病毒会立刻(入口点被改成病毒代码)或者在随后的某个时间("无入口点病毒")获得控制权，获得控制权后，病毒通常会进行下面的 *** 作(某个具体的病毒不一定进行了所有这些 *** 作， *** 作的顺序也很可能不一样):

· 内存驻留的病毒首先检查系统可用内存，查看内存中是否已经有病毒代码存在，如果没有将病毒代码装入内存中。非内存驻留病毒会在这个时候进行感染，查找当前目录、根目录或者环境变量PATH中包含的目录，发现可以被感染的可执行文件就进行感染。

环境变量:首先在DOS *** 作系统 下出现，是由 *** 作系统保存，对所有程序都一样的一些定义的值，比如说环境变量PATH是执行程序时搜索的路径列表，环境变量PROMPT是执行DOS命令时的提示信息。在视窗 *** 作系统下也有环境变量，但是除了搜索路径以外的视窗 *** 作系统的环境变量基本上在DOS框里面才会用到。

· 执行病毒的一些其他功能，比如说破坏功能，显示信息或者病毒精心制作的动画等等，对于驻留内存的病毒来说，执行这些功能的时间可以是开始执行的时候，也可以是满足某个条件的时候，比如说定时或者当天的日期是13号恰好又是星期五等等。为了实现这种定时的发作，病毒往往会修改系统的时钟中断，以便在合适的时候激活。

· 完成这些工作之后，将控制权交回被感染的程序。为了保证原来程序的正确执行，寄生病毒在执行被感染程序的之前，会把原来的程序还原，伴随病毒会直接调用原来的程序，覆盖病毒和其他一些破坏性感染的病毒会把控制权交回DOS *** 作系统。

分类: 电脑/网络 >>反病毒

解析:

杀毒软件的任务是实时监控和扫描磁盘。部分杀毒软件通过在系统添加驱动程序的方式，进驻系统，并且随 *** 作系统启动。大部分的杀毒软件还具有防火墙功能。

杀毒软件的实时监控方式因软件而异。有的杀毒软件，是通过在内存里划分一部分空间，将电脑里流过内存的数据与杀毒软件自身所带的病毒库（包含病毒定义）的特征码相比较，以判断是否为病毒。另一些杀毒软件则在所划分到的内存空间里面，虚拟执行系统或用户提交的程序，根据其行为或结果作出判断。

而扫描磁盘的方式，则和上面提到的实时监控的第一种工作方式一样，只是在这里，杀毒软件将会将磁盘上所有的文件（或者用户自定义的扫描范围内的文件）做一次检查。

另外，杀毒软件的设计还涉及很多其他方面的技术。

脱壳技术，即是对压缩文件和封装好的文件作分析检查的技术。

自身保护技术，避免病毒程序杀死自身进程。

修复技术，对被病毒损坏的文件进行修复的技术。

可以利用杀毒软件的自定义杀毒进行扫描，检查是否带有病毒。

*** 作步骤：

下载安装一款杀毒软件，比如：百度杀毒，金山毒霸，360杀毒等等；

打开杀毒软件，选择“自定义杀毒”

选择要检查的EXE文件并确定即可自动进行扫描，如有病毒会有提示，并且按照提示进行处理即可。

---