广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 2329 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
jack1984yw
数位造型
个人文章 个人相簿 个人日记 个人地图
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x95 鲜花 x150
分享: 转寄此文章 Facebook Plurk Twitter 版主评分 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x1
[资讯教学] [转]电脑病毒的引导机制
一,电脑病毒的引导机制

1.电脑病毒的寄生物件
电脑病毒实际上是一种特殊的程式,是一种程式必然要存储在磁片上,但是病毒程式为了进行自身的主动传播,
必须使自身寄生在可以获取执行权的寄生物件上。就目前出现的各种电脑病毒来看,其寄生物件有两种,一种是寄
生在磁片引导磁区;另一种是寄生在可执行档(.EXE或.COM)中。这是由于不论是磁片引导磁区还是可执行档,
它们都有获取执行权的可能,这样病毒程式寄生在它们的上面,就可以在一定条件下获得执行权,从而使病毒得以进
入电脑系统,并处于启动状态,然后进行病毒的动态传播和破坏活动。 2.电脑病毒的寄生方式
电脑病毒的寄生方式有两种,一种是采用替代法;另一种是采用链结法,所谓替代法是指病毒程式用自己的部
分或全部指令代码,替代磁片引导磁区或档中的全部或部分内容。所谓链结法则是指病毒程式将自身代码作为正常
程式的一部分与原有正常程式链结在一起,病毒链结的位置可能在正常程式的首部、尾部或中间,寄生在磁片引导扇
区的病毒一般采取替代法,而寄生在可执行档中的病毒一般采用链结法。
3.电脑病毒的引导过程
电脑病毒的引导过程一般包括以下三方面。
(1)驻留记忆体
病毒若要发挥其破坏作用,一般要驻留记忆体。为此就必须开辟所用记忆体空间或覆盖系统占用的部分记忆体空间。有
的病毒不驻留记忆体。
(2)窃取系统控制权
在病毒程式驻留记忆体后,必须使有关部分取代或扩充系统的原有功能,并窃取系统的控制权。此后病毒程式依据
其设计思想,隐蔽自己,等待时机,在条件成熟时,再进行传染和破坏。
(3)恢复系统功能
病毒为隐蔽自己,驻留记忆体后还要恢复系统,使系统不会死机,只有这样才能等待时机成熟后,进行感染和破坏
的目的。
有的病毒在载入之前进行动态反跟踪和病毒体解密。
对于寄生在磁片引导磁区的病毒来说,病毒引导程式占有了原系统引导程式的位置,并把原系统引导程式搬移到
一个特定的地方。这样系统一启动,病毒引导模组就会自动地装人记忆体并获得执行权,然后该引导程式负责将病毒程
序的传染模组和发作模组装人记忆体的适当位置,并采取常驻记忆体技术以保证这两个模组不会被覆盖,接着对该两个模
块设定某种启动方式,使之在适当的时候获得执行权。处理完这些工作后,病毒引导模组将系统引导模组装人记忆体,
使系统在带毒状态下运行。
对于寄生在可执行档中的病毒来说,病毒程式一般通过修改原有可执行档,使该档一执行首先转入病毒程
序引导模组,该引导模组也完成把病毒程式的其他两个模组驻留记忆体及初始化的工作,然后把执行权交给执行档,
使系统及执行档在带毒的状态下运行。

二,电脑病毒的传染机制

1.电脑病毒的传染方式
所谓传染是指电脑病毒由一个载体传播到另一个载体,由一个系统进入另一个系统的过程。这种载体一般为磁
盘或磁带,它是电脑病毒赖以生存和进行传染的媒介。但是,只有载体还不足以使病毒得到传播。促成病毒的传染
还有一个先决条件,可分为两种情况,或者叫做两种方式。
其中一种情况是,用户在进行拷贝磁片或档时,把一个病毒由一个载体复制到另一个载体上。或者是通过网路
上的资讯传递,把一个病毒程式从一方传递到另一方。这种传染方式叫做电脑病毒的被动传染。
另外一种情况是,电脑病毒是以电脑系统的运行以及病毒程式处于启动状态为先决条件。在病毒处于启动的
状态下,只要传染条件满足,病毒程式能主动地把病毒自身传染给另一个载体或另一个系统。这种传染方式叫做计算
机病毒的主动传染。
2.电脑病毒的传染过程
对于病毒的被动传染而言,其传染过程是随着拷贝磁片或档工作的进行而进行的,而对于电脑病毒的主动传
染而言,其传染过程是这样的:在系统运行时,病毒通过病毒载体即系统的外记忆体进入系统的内记忆体,常驻记忆体,
并在系统记忆体中监视系统的运行。在病毒引导模组将病毒传染模组驻留记忆体的过程中,通常还要修改系统中断向量入
口位址(例如INT 13H或INT 21H),使该中断向量指向病毒程式传染模组。这样,一旦系统执行磁片读写操作或系统
功能调用,病毒传染模组就被启动,传染模组在判断传染条件满足的条件下, 利用系统INT 13H读写磁片中断把病毒
自身传染给被读写的磁片或被载入的程式,也就是实施病毒的传染,然后再转移到原中断服务程式执行原有的操作。
电脑病毒的传染方式基本可分为两大类,一是立即传染,即病毒在被执行到的瞬间,抢在宿主程序开始执行前,
立即感染磁片上的其他程式,然后再执行宿主程序;二是驻留记忆体并伺机传染,记忆体中的病毒检查当前系统环境,在
执行一个程式或D1R等操作时传染磁片上的程式,驻留在系统记忆体中的病毒程式在宿主程序运行结束后, 仍可活动,
直至关闭电脑。
3.系统型病毒传染机理
电脑软硬碟的配置和使用情况是不同的。软碟容量小,可以方便地移动交换使用,在电脑运行过程中可能多
次更换软碟;硬碟作为固定设备安装在电脑内部使用,大多数电脑配备一只硬碟。系统型病毒针对软硬碟的不同
特点采用了不同的传染方式。
系统型病毒利用在开机引导时窃获的INT 13控制权,在整个电脑运行过程中随时监视软碟操作情况, 趁读写
软碟的时机读出软碟引导区,判断软碟是否染毒,如未感染就按病毒的寄生方式把原引导区写到软碟另一位置,把病
毒写入软碟第一个磁区,从而完成对软碟的传染。染毒的软碟在软体交流中又会传染其他电脑。由于在每个读写阶
段病毒都要读引导区,既影响微机工作效率,又容易因驱动器频繁寻道而造成物理损伤。
系统型病毒对硬碟的传染往往是在电脑上第一次使用带毒软碟进行的,具体步骤与软碟传染相似,也是读出引
导区判断后写入病毒。
4.档型病毒传染机理
当执行被传染的.COM或.EXE可执行档时,病毒驻人记忆体。一旦病毒驻人记忆体,便开始监视系统的运行。当它发
现被传染的目标时,进行如下操作:
(1)首先对运行的可执行档特定位址的标识位元资讯进行判断是否已感染了病毒;
(2)当条件满足,利用INT 13H将病毒链结到可执行档的首部或尾部或中间,并存入磁片中;
(3)完成传染后,继续监视系统的运行,试图寻找新的攻击目标。
档型病毒通过与磁片档有关的操作进行传染,主要传染途径有:
(1)载入执行档
档型病毒驻记忆体后,通过其所截获的INT 21中断检查每一个载入运行可执行档进行传染。
载入传染方式每次传染一个档,即用户准备运行的那个档,传染不到那些用户没有使用的档。
(2)列目录过程
一些病毒编制者可能感到载入传染方式每次传染一个档速度较慢,不够过瘾,于是后来造出通过列目录传染的
病毒。
在用户列硬碟目录的时候,病毒检查每一个档的副档名,如果是可执行档就调用病毒的传染模组进行传染。
这样病毒可以一次传染硬碟一个于目录下的全部可执行档。DIR是最常用的DOS命令,每次传染的档又多,所以病
毒的扩散速度很快,往往在短时间内传遍整个硬碟。
对于软碟而言,由于读写速度比硬碟慢得多,如果一次传染多个档所费时间较长,容易被用户发现,所以病毒
“忍痛”放弃了一些传染机会,采用列一次目录只传染一个档的方式。
(3)创建档过程
创建档是DOS内部的一项操作,功能是在磁片上建立一个新档。 已经发现利用创建档过程把病毒附加到新
档上去的病毒,这种传染方式更为隐蔽狡猾。因为载入传染和列目录传染都是病毒感染磁片上原有的档,细心的
用户往往会发现文件染毒前后长度的变化,从而暴露病毒的踪迹。而创建档的传染手段却造成了新档生来带毒的
奇观。好在一般用户很少去创建一个可执行档,但经常使用各种编译、连接工具的电脑专业工作者应该注意档
型病毒发展的这一动向,特别在商品软体最后生成阶段严防此类病毒。

三,电脑病毒的破坏机制

破坏机制在设计原则、工作原理上与传染机制基本相同。它也是通过修改某一中断向量人口位址(一般为时钟中
断INT 8H,或与时钟中断有关的其他中断,如INT 1CH),使该中断向量指向病毒程式的破坏模组。这样, 当系统或
被载入的程式访问该中断向量时,病毒破坏模组被启动,在判断设定条件满足的情况下,对系统或磁片上的档进行
破坏活动,这种破坏活动不一定都是删除磁片档,有的可能是显示一串元用的提示资讯,例如,在用感染了“大麻
病毒”的系统盘进行启动时,萤幕上会出现“Your PC is now Stoned!”。有的病毒在发作时,会干扰系统或用户的
正常工作,例如“小球”病毒在发作时,萤幕上会出现一个上下来回滚动的小球。而有的病毒,一旦发作,则会造成
系统死机或删除磁片档。例如,“黑色星期五”病毒在启动状态下,只要判断当天既是13号又是星期五,则病毒程
序的破坏模组即把当前感染该病毒的程式从磁片上删除。
电脑病毒的破坏行为体现了病毒的杀伤力。病毒破坏行为的激烈程度取决于病毒作者的主观愿望和他所具有的
技术能量。数以万计、不断发展扩张的病毒,其破坏行为千奇百怪,不可能穷举其破坏行为,难以做全面的描述。病
毒破坏目标和攻击部位主要是:系统资料区、档、记忆体、系统运行、运行速度、磁片、萤幕显示、键盘、喇叭、打
印机、CMOS、主板等。

四,电脑病毒的触发机制
感染、潜伏、可触发、破坏是病毒的基本特性。感染使病毒得以传播,破坏性体现了病毒的杀伤能力。广范围感染,
众多病毒的破坏行为可能给用户以重创。但是,感染和破坏行为总是使系统或多或少地出现异常。频繁的感染和破坏会
使病毒暴露,而不破坏、不感染又会使病毒失去杀伤力。可触发性是病毒的攻击性和潜伏性之间的调整杠杆,可以控制
病毒感染和破坏的频度,兼顾杀伤力和潜伏性。
过于苛刻的触发条件,可能使病毒有好的潜伏性,但不易传播,只具低杀伤力。而过于宽松的触发条件将导致病毒
频繁感染与破坏,容易暴露,导致用户做反病毒处理,也不能有大的杀伤力。
电脑病毒在传染和发作之前,往往要判断某些特定条件是否满足,满足则传染或发作,否则不传染或不发作或只
传染不发作,这个条件就是电脑病毒的触发条件。
实际上病毒采用的触发条件花样繁多,从中可以看出病毒作者对系统的了解程度及其丰富的想像力和创造力。
目前病毒采用的触发条件主要有以下几种:
1.日期触发:许多病毒采用日期做触发条件。日期触发大体包括:特定日期触发、月份触发、 前半年后半年触发
等。
2.时间触发:时间触发包括特定的时间触发、染毒后累计工作时间触发、档最后写入时间触发等。
3.键盘触发:有些病毒监视用户的击键动作,当发现病毒预定的键人时,病毒被启动,进行某些特定操作。 键盘
触发包括击键次数触发、组合键触发、热启动触发等。
4.感染触发:许多病毒的感染需要某些条件触发, 而且相当数量的病毒又以与感染有关的资讯反过来作为破坏行
为的触发条件,称为感染触发。它包括:运行感染档个数触发、感染序数触发、感染磁片数触发、感染失败触发等。
5.启动触发:病毒对机器的启动次数计数,并将此值作为触发条件称为启动触发。
6.访问磁片次数触发:病毒对磁片I/O访问的次数进行计数,以预定次数做触发条件叫访问磁片次数触发。
7.调用中断功能触发:病毒对中断调用次数计数,以预定次数做触发条件。
8.CPU型号/主板型号触发:病毒能识别运行环境的CPU型号/主板型号,以预定CPU型号/主板型号做触发条件, 这
种病毒的触发方式奇特罕见。
被电脑病毒使用的触发条件是多种多样的,而且往往不只是使用上面所述的某一个条件,而是使用由多个条件组
合起来的触发条件。大多数病毒的组合触发条件是基于时间的,再辅以读、写盘操作,按键操作以及其他条件。如“侵
略者”病毒的激发时间是开机后机器运行时间和病毒传染个数成某个比例时,恰好按CTRL+ALT+DEL组合键试图重新启
动系统则病毒发作。
病毒中有关触发机制的编码是其敏感部分。剖析病毒时,如果搞清病毒的触发机制,可以修改此部分代码,使病毒
失效,就可以产生没有潜伏性的极为外露的病毒样本,供反病毒研究使用。

三类病毒原理
一,引导型病毒原理
病毒能感染的只有可执行代码,在电脑中可执行代码只有引导程式和可执行档, 当然,还有一类特殊的病毒,如WORD巨集病毒,当然宏也是可 执行代码。病毒感染BIOS 也是有可能的,不过并无太大意义,因为,现在的FLASHROM的BIOS都是可以防写的, 再说,万一出事,用无毒的再写一遍即可。所以,一般将病毒分为引导型,档型,或 是混合型。
  想要了解引导型病毒的原理,首先要了解引导区的结构。软碟只有一个引导区,称 为DOS BOOT SECTER ,只要软碟已格式化,就已存在。其作用为查找盘上有无IO.SYS DOS.SYS,若有则引导,若无则显示‘NO SYSTEM DISK...’等信息。硬碟有两个引导区, 在0面0道1磁区的称为主引导区,内有主引导程式和分区表,主引导程式查找启动分区, 该分区的第一个磁区即为DOS BOOT SECTER。绝大多数病毒感染硬碟主引导磁区和软碟 DOS引导磁区。下面给出基本引导病毒的原理图:
带毒硬碟引导------>BIOS将硬碟主引导区读到记忆体0:7C00处控制权转到主引导程式(这是千古不变的)(病毒)-------->将0:413单元的值减少1K或nK------->计算可用记忆体高段位址将病毒移到高段继续执行-------->修改INT13位址,指向病毒传染段,将原INT13位址保存在某一单元------>病毒任务完成,将原引导区调 入0:7C00执行------>机器正常引导带毒软碟引导----->判断硬碟是否有毒,若无毒则传染------>以下同上(传染时将病毒写入主引导磁区,将原引导程式存入某一磁区)
以上是引导型病毒的基本框图,不论是最古老,还是最新的,万变不离其中.只不过在各细节个人的技巧不同罢了.   
驻留记忆体:一般采取修改0:413位址的方法,因为引导时,DOS还未载入 这是唯一的方法,但有很大的缺点,启动后用MEM查看发现常规记忆体的总量 少于640K,不够隐蔽,当然有办法解决,可以修改INT 8,检测INT 21是否 建立,若建立则可采用DOS功能驻留记忆体.详细见档型病毒.   
隐形技术:当病毒驻留时,读写引导区均对原引导区操作,就好象 没有病毒一样.   
加密技术:一般加密分区表,使无毒盘启动,无法读取硬碟.      
引导型病毒的优点:隐蔽性强,相容性强,只要编的好,是不容易发现 的,通用于DOS WINDOWS WIN95 作业系统.
缺点:很多,传染速毒慢,一定要带毒软碟启动才能传到硬碟,杀毒 容易,只需改写引导区即可.如: fdisk/mbr ,kv300,rav能查出 所有引导型病毒,底板能对引导区防写,所以现在纯引导型病毒已 很少了.
 以上是引导型病毒的基本框图,不论是最古老,还是最新的,万变不离 其中.只不过在各细节个人的技巧不同罢了.

二,档型病毒原理

要了解档型病毒的原理,首先要了解档的结构.COM 档比较简单, 病毒要感染COM档有两种方法,一种是将病毒加在COM前部,一种是加在档尾部,见下图:
  A         B
--------     ---------------
|-病毒 |     |JMP XXXX:XXXX| (原文件的前3位元组被修改)
--------     ---------------
|原文件|     ├  原程式  ┤
--------     --------------
          ├   病毒  ┤
        --------------
EXE 档比较复杂,每个EXE档都有一个档头,结构如下:
        EXE档头资讯          
-----------------------------------
├ 偏移量 ┤   意义       ┤
├00h-01h ┤MZ'EXE档标记    ┤
├2h-03h ┤文件长度除512的余数  ┤
├04h-05h ┤...............商   ┤
├06h-07h ┤重定位项的个数    ┤
├08h-09h ┤文件头除16的商    ┤
├0ah-0bh ┤程式运行所需最小段 数 ┤
├0ch-0dh ┤..............大..... ┤
├oeh-0fh ┤堆叠段的段值 (SS)   ┤
├10h-11h ┤........sp      ┤
├12h-13h ┤文件校验和      ┤
├14h-15h ┤IP          ┤
├16h-17h ┤CS          ┤
├18h-19h ┤............     ┤
├1ah-1bh ┤............     ┤
├1ch   ┤............     ┤ 
-----------------------------------
当DOS载入EXE档时,根据档头资讯,调入一定长度的文件,设置SS,SP 从CS:IP 开始执行.病毒一般将自己加在档的末端,并修改CS,IP的值指向病毒起始位址,并修改档长度资讯和SS,SP.
三,混合型病毒原理
所谓混合型,即既能感染引导区,又能感染档的病毒。但并非简单 的将档型病毒和引导型病毒简单的加在一起,其中有一个转换过程, 这是最关键的。一般采取以下手法:档中的病毒执行时将病毒写入引导 区,这时很容易理解的。染毒硬碟启动时,用引导型病毒的方法驻留记忆体, 但此时DOS并未载入,无法修改INT21,也就无法感染档,可以用这样的 办法,修改INT 8 ,保存INT 21目前的位址,用INT 8服务程式监测INT 21 的位址是否改变,若改变则说明DOS已载入,则可修改INT 21指向病毒传染 段。以上是混合型病毒关键之处。


病毒隐藏技术


任何病毒都希望在被感染的电脑中隐藏起来不被发现,而这也是定义一个病毒行为的主要方面之一,因为病毒都只
有在不被发现的情况下,才能实施其破坏行为。为了达到这个目的,许多最新发现的病毒使用了各种不同的技术来躲避反
病毒软体的检验。而这种技术与最新的反病毒软体所使用的技术相似(本来就相同,大家是兄弟,病毒与杀毒软体,彼此
彼此)。
  这次我们将讨论一些病毒所使用的最基本的隐藏技术,以后还将讨论一些较新较复杂的技术。
  一个最常用最知名的技术被称为“秘密行动”法,这个技术的关键就是把病毒留下的有可能被立即发现的痕迹掩盖掉。
这些痕迹包括被感染档莫名其妙增大或是档建立时间的改变等。由于它们太明显,很容易被用户发现,所以很多病毒
的制造者都会使用一种技术来截取从磁片上读取档的服务程式,通过这种技术就能使得已被改动过的档大小和创建时
间看上去与改动前一样,这样就能骗过使用者使他们放松警惕。
  在“秘密行动”法问世以后,由于常驻记忆体反病毒软体的出现,一种名为“钻隧道”的方法又被开发了出来。
  常驻记忆体反病毒软体能防止病毒对电脑的破坏,它们能阻止病毒向磁片的引导区和其他敏感区写入资料,以及实施
对应用程式的修改和格式化硬碟等破坏活动。而“钻隧道”法能直接取得并使用为系统服务的原始记忆体位址,由此绕开常
驻记忆体的反病毒筛检程式,这样病毒感染档的时候就不会被反病毒软体发现。
  通过以上的论述,也许大家就能了解安装集成了最新技术的反病毒软体的重要性,像熊猫软体这样的优秀反病毒软体
都应是保护你电脑免受使用了最新技术的病毒侵害的有力武器。
  

当前电脑病毒的最新特点

当前电脑病毒的最新特点是:
1.由于目前病毒感染的途径较多、来源管道广,一旦发现病毒往往难以寻根究底,难以找到病毒的真正来源。
2.由于目前作业系统庞大,Windows、Win95环境下,由于运行时要调用很多的档或动态连结程式库,这样给病毒
取样带来困难。
3.随着Internet的发展,Windows时代的到来,光碟的大量使用,压缩档应用越来越广泛。 压缩档为病毒
的传染提供了一种新的载体。
4.一旦发生破坏,恢复工作量大,作业系统安装麻烦,即使作业系统重新安装,由于配置档被病毒破坏,软
件仍将不能正常运行。
5.网路已成为病毒传播的主要途径。在网路环境下,病毒传播扩散快,单机防杀病毒产品已经难以彻底清除网
络病毒,必须有适用于局域网、广域网的全方位防杀病毒产品。
6.病毒手段更加“毒辣”,为对抗电脑反病毒技术而出现一些病毒新技术。
7.盲目使用未经严格测试的杀毒产品往往会产生负面效应。一些杀病毒产品由于对病毒分析不透彻,仓促应战
造成染毒档被杀坏。


中断与电脑病毒
1.中断基本概念
什么是中断?先打个比方。当一个经理正处理档时,电话铃响了(中断请求),不得不在档上做一个记号(返
回位址),暂停工作,去接电话(中断),并指示“按第二方案办”(调中断服务程式),然后,再静下心来(恢复中
断前状态),接着处理档……。电脑科学家观察了类似实例,“外师物化,内得心源”,借用了这些思想、处理方
式和名称,研制了一系列中断服务程式及其调度系统。
中断是CPU处理外部突发事件的一个重要技术。它能使CPU在运行过程中对外部事件发出的中断请求及时地进行处理,
处理完成后又立即返回中断点,继续进行CPU原来的工作。引起中断的原因或者说发出中断请求的来源叫做中断源。 根据
中断源的不同,可以把中断分为硬体中断和软体中断两大类,而硬体中断又可以分为外部中断和内部中断两类。
外部中断一般是指由电脑周边发出的中断请求,如:键盘中断、印表机中断、计时器中断等。外部中断是可以屏
蔽的中断,也就是说,利用中断控制器可以遮罩这些外部设备的中断请求。
内部中断是指因硬体出错(如突然掉电、奇偶校验错等)或运算出错(除数为零、运算溢出、单步中断等)所引起
的中断。内部中断是不可遮罩的中断。
软体中断其实并不是真正的中断,它们只是可被调用执行的一般程式。例如:ROMBIOS 中的各种外部设备管理中断
服务程式(键盘管理中断、显示器管理中断、印表机管理中断等),以及DOS的系统功能调用(INT 21H)等都是软体中
断。
CPU为了处理并发的中断请求,规定了中断的优先权/中断优先权由高到低的顺序是:
(1)除法错、溢出中断、软体中断
(2)不可遮罩中断
(3)可遮罩中断
(4)单步中断。
2.中断与电脑病毒
电脑作业系统是开放的,用户可以修改扩充作业系统,在电脑上实现新的功能。修改作业系统的主要方式之一
是扩充中断功能。
电脑提供很多中断,合理合法地修改中断会给电脑增加非常有用的新功能。如INT 10H是萤幕显示中断, 原只能显示西文,而在各种汉字系统中都可以通过修改1NT 10H使电脑能够显示中文。另一方面, 电脑病毒则篡改中断
为其达到传染、激发等目的服务,与病毒有关的重要中断有:
INT 08H和INT 1CH定时中断,每秒调用18.2次,有些病毒利用它们的记时判断激发条件。
INT 09H键盘输入中断,病毒用于监视用户击键情况。
INT 10H萤幕输入输出中断,一些病毒用于在萤幕上显示字元图形表现自己。
INT 13H磁片输入输出中断,引导型病毒用于传染病毒和格式化磁片。
INT 21H DOS功能调用,包含了DOS的大部分功能,已发现的绝大多数档型病毒修改INT 21H中断, 因此也成为防
病毒的重点监视部位。
INT 24H DOS的严重错误处理中断,档型病毒常进行修改,以防止传染防写磁片时被发现。
中断副程式的人口位址存放在电脑记忆体的最低端,病毒窃取和修改中断的人口位址获得中断的控制权,在中断服
务过程中插入病毒的“私货”。
总之,中断可以被用户程式所修改,从而使得中断服务程式被用户指定的程式所替代。这样虽然大大地方便了用户,
但也给电脑病毒制造者以可乘之机。病毒正是通过修改中断以使该中断指向病毒自身来进行发作和传染的。

此文章被评分,最近评分记录
财富:50 (by upside) | 理由: 感谢提供 参考资料 数位男女因你而丰富



献花 x0 回到顶端 [楼 主] From:台湾 | Posted:2007-12-04 22:32 |
mjchen23 手机
个人头像
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x0 鲜花 x139
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

很不错的参考资料喔

让我对病毒原理有更深了解啰 表情


╰○︿′
︿) 凡走过必留下痕迹~我大力的踩


ㄧ○︿
     ....快闪!!
√ ﹀
           
     
献花 x0 回到顶端 [1 楼] From:台湾 | Posted:2007-12-10 22:41 |
jhjh10403
个人头像
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x0 鲜花 x9
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

感谢版大的资讯
让我更了解病毒是怎么执行的~!


献花 x0 回到顶端 [2 楼] From:台湾 | Posted:2007-12-12 19:02 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.080322 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言