毕业论文论文范文课程设计实践报告法律论文英语论文教学论文医学论文农学论文艺术论文行政论文管理论文计算机安全
您现在的位置: 毕业论文 >> 计算机安全 >> 正文

文件型病毒

更新时间:2009-12-27:  来源:毕业论文
文件型病毒
文件型病毒与引导区型病毒工作的方式是完全不同的, 在各种PC机病毒中, 文件型病毒占的数目最大,传播得广,采用的技巧 也多。文件型病毒是对源文件进行修改,使其成为新的文件。文件型病毒分两类:一种是将病毒加在COM前部,一种是加在文件尾部。
文件型病毒传染的对象主要是.COM和.EXE文件。
文件型病毒原理
要了解文件型病毒的原理,首先要了解文件的结构.COM 文件比较简单, 病毒要感染COM文件有两种方法,一种是将病毒加在COM前部,一种是加在
文件尾部,见下图:
A B
-------- ---------------
|-病毒 | |JMP XXXX:XXXX| (原文件的前3字节被修改)
-------- ---------------
|原文件| ├ 原程序┤
-------- --------------
├ 病毒┤
--------------
EXE 文件比较复杂,每个EXE文件都有一个文件头,结构如下:
EXE文件头信息
-----------------------------------
├ 偏移量 ┤ 意义┤
├00h-01h ┤MZ'EXE文件标记┤
├2h-03h ┤文件长度除512的余数┤
├04h-05h ┤...............商┤
├06h-07h ┤重定位项的个数┤
├08h-09h ┤文件头除16的商┤
├0ah-0bh ┤程序运行所需最小段数┤
├0ch-0dh ┤..............大..... ┤
├oeh-0fh ┤堆栈段的段值 (SS) ┤
├10h-11h ┤........sp ┤
├12h-13h ┤文件校验和┤
├14h-15h ┤IP ┤
├16h-17h ┤CS ┤
├18h-19h ┤............ ┤
├1ah-1bh ┤............ ┤
├1ch ┤............ ┤
-----------------------------------
当DOS加载EXE文件时,根据文件头信息,调入一定长度的文件,设置SS,SP 从CS:IP 开始执行.病毒一般将自己加在文件的末端,并修改CS,IP的值指向病毒起始地址,并修改文件长度信息和SS,SP。
文件型病毒寄生在其他文件中,常常通过对它们的编码加密或使用其他技术来隐藏自己。文件型病毒劫夺用来启动主程序的可执行命令,用作它自身的运行命令。同时还经常将控制权还给主程序,以伪装您的计算机系统正常运行。
一旦运行被感染了病毒的程序文件,病毒便被激发,执行大量的操作,并进行自我复制,同时附着在您系统其他可执行文件上伪装自身,并留下标记,以后不再重复感染。
类别:病毒与可疑文件
文件型病毒下载如图片无法显示或论文不完整,请联系qq752018766
设为首页 | 联系站长 | 友情链接 | 网站地图 |

copyright©lwfree.cn 六维论文网 严禁转载
如果本毕业论文网损害了您的利益或者侵犯了您的权利,请及时联系,我们一定会及时改正。