第3章 计算机病毒的逻辑结构与基本机制.ppt

,即静态和动态静态病毒,是指存在于辅助存储介质中的计算机病毒,一般不能执行病毒的破坏或表现功能,其传播只能通过文件下载(拷贝)实现因为静态病毒尚未被加载、尚未进入内存,不可能获取系统的执行权限病毒之所以处于静态,有两种可能没有用户启动该病毒或运行感染了该病毒的文件该病毒存在于不可执行它的系统中当病毒完成初始引导,进入内存后,便处于动态。动态病毒本身处于运行状态,通过截流盗用系统中断等方式监视系统运行状态或窃取系统控制权。病毒的主动传染和破坏作用,都是动态病毒的“杰作”,称为病毒的启动。实际上,病毒的启动过程就是病毒的首次激活过程内存中的动态病毒又有两种状态:可激活态和激活态。当内存中的病毒代码能够被系统的正常运行机制所执行时,动态病毒就处于可激活态一般而言,动态病毒都是可激活的系统正在执行病毒代码时,动态病毒就处于激活态病毒处于激活态时,不一定进行传染和破坏;但进行传染和破坏时,——失活态一般情况下不会出现这种状态,它的出现一般是由于用户对病毒的干预(用杀毒软件或手工方法)处于失活态的病毒不可能进行传染或破坏,它与静态病毒的不同仅在于病毒代码在内存中,但得不到执行如果用户把中断向量表恢复成正确值,修改中断向量表的动态病毒就失活了病毒能由激活态转变为失活态,也就是可激活态病毒的可触发性被破坏,处于激活态的病毒一般不会自己转变为失活态,失活态的出现必定是有外在干预对于处于不同状态的病毒,应采用不同的分析、,必须经过以下几个环节:分发拷贝阶段潜伏繁殖阶段破坏表现阶段在任何一个环节(阶段)都可以抑制病毒的传播、蔓延,或者清除病毒我们应当尽可能地在病毒进行破坏性攻击之前切断病毒传染源、(假设从A盘启动):\:VirusREM时机成熟时(子程序)c:,准备冒名顶替COPYa:\:\REM自我复制,开始繁殖ECHOHelloWord!REM病毒发作,表现症状:No_VirusREM正常程序入口a:REM转回A盘ECHOONREM打开命令回显/AUTOREM执行正常程序PAUSEREM暂停,,即计算机系统的软、硬件环境决定了计算机病毒的结构,而这种结构是能够充分利用系统资源进行活动的最合理体现有时也把破坏表现模块中触发条件判断部分作为一个单独的模块,,又称病毒签名,但不是所有的病毒都有感染标志感染标志是一些数字或字符串,它们以ASCII码方式存放在宿主程序程序里病毒在感染程序之前,一般要查看其是否带有感染标志感染标志不仅被病毒用来决定是否实施感染,还被病毒用来实施欺骗不同病毒的感染标志的位置、内容都不同杀毒软件可以将感染标志作为病毒的特征码之一也可以利用病毒根据感染标志是否进行感染这一特性,人为地、主动在文件中添加感染标志,