首页 理论教育 文件型病毒工作原理解析

文件型病毒工作原理解析

时间:2023-10-21 理论教育 版权反馈
【摘要】:文件型病毒专门攻击扩展名是.com、.exe、.sys和.dll等的可执行文件。因为它感染的是可执行文件,所以它要迟于引导型病毒发生。下面以著名的黑色星期五病毒为例为说明它的工作原理。完成对EXE文件头控制信息的修改后,传染程序移动文件指针到病毒程序存放处,最后将传染程序在内存中驻留的710H字节病毒存入位于文件结尾处的磁盘存储区,退出病毒传染程序。

文件型病毒工作原理解析

文件型病毒专门攻击扩展名是.com、.exe、.sys和.dll等的可执行文件。因为它感染的是可执行文件,所以它要迟于引导型病毒发生。它的加载、感染和破坏过程同引导型病毒一样。下面以著名的黑色星期五病毒为例为说明它的工作原理。黑色星期五病毒也叫耶路撒冷病毒,它能够使病毒文件增加1813个字节。它有两种破坏方式:一种是使计算机速度降低20%,另一种是删除可执行文件。

1.加载过程

当运行感染了黑色星期五病毒的可执行文件时,现有病毒将获得系统的控制权。病毒立即判断它是否已常驻内存,如果已经常驻内存,则把控制权交给可执行文件,进行正常操作;如果没有,则先把病毒调入内存,然后修改INT 21H中断向量,将其指向病毒程序所在的内存地址,并保存正常的INT 21H中断向量。

修改完毕后,病毒程序判断计算机日期是否是13日,随后再判断是否是星期五,若同时满足这两个条件则置某一特征单元(0EH)为1,否则为0。最后,调用DOS常驻内存功能把病毒体常驻内存,然后把控制权交给可执行文件,执行正常的程序操作。

2.传染过程

黑色星期五病毒加载之后,时刻等待机会准备去传染。它监视INT 21H中断,当用户执行INT 21H的4BH号(4BH号的功能为加载程序功能)功能时,病毒程序获得控制权,它先判断0EH单元的值,如为0则进行感染,若为l则运行发作程序段。

黑色星期五病毒感染扩展名为.com和.exe的可执行文件的机制稍有不同。传染前者时它首先申请64KB内存,若申请成功,则将病毒程序传送到该内存区的前端;其次将原有文件读入内存,紧接病毒程序存放,同时病毒标志“MsDos”追加到原程序尾;最后将这3部分内容统一存盘,并退出病毒传染程序。感染后者时比较复杂,首先修改文件头信息,过程如下:

(1)将文件头控制信息读入自内存4FH开始的1CH个单元中;(www.xing528.com)

(2)将值1984H送入61H单元;

(3)将堆栈段和代码段的入口地址送43H~4AH单元保存;

(4)修改051H~054H单元值,使文件总长度增加710H~71FH中的某一段;

(5)修改5DH~60H和63H~64H值,使其指向程序中的病毒代码入口和其所新设堆栈入口;

(6)将修改后的文件控制头信息写回原文件。完成对EXE文件头控制信息的修改后,传染程序移动文件指针到病毒程序存放处,最后将传染程序在内存中驻留的710H字节病毒存入位于文件结尾处的磁盘存储区,退出病毒传染程序。

3.发作过程

如果0EH值为l,则修改文件属性,然后删除任何一个在计算机上运行的.com或.exe文件,退出发作程序,执行原4BH号功能调用。如果不为1,则病毒程序内部有一个计数器,它对系统调用INT 8H中断的次数进行计数,当计数值为0时,病毒会强迫计算机运行一段无用程序,使系统工作速度减慢。如果计数值为2,则病毒在屏幕上显示一个“长方块”的小窗口。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈