自我复制,自动传播,破坏性,寄生性。
自我复制是有条件限制的。
发作同样是有条件限制的。
没有自动传播,其感染能力就减弱。传播是利用网络。不是人工邮件的传播方式。
寄生性:一般寄生在宿主程序上。以前一定要是可运行的程序。或者是DLL,也相当于代码段,相当于将标准的函数代码已经编译成可运行代码。
这种可运行代码,是WINDOWS可运行的、可识别的,是按照WINDOWS对程序管理系统的要求,进行了编译的。
IE现在的版本,可以,而且经常下载小程序,附着在IE上。应该是完成一些特定的计算功能。
对IE和网络的病毒攻击,利用了这一点。
利用IE的漏洞,则似乎可以不经用户的许可,可以自动完成病毒的感染和传播。
由于IE是面向INTERNET的窗口,对它的分析和攻击,是最主要的攻击方式之一。想象在INTERNET上设置一个网站,作为“密罐”的现象。
那么,试着对IE进行简单的、概括的分析和界定……
1、它通过网页处理的协议,和服务器通信,获取资源,修改服务器数据。
2、有丰富的协议处理机机制。
3、协议处理具有过程性、迁延性、散播性。容易被分析和攻击。
4、有类似“容器”的效果,面向扩展,允许下载和安装新型的智能小程序,处理一些IE未能、未方便实现,而将来需要的应用,从而强化利用网络的功能。
5、一般IE看作B/S系统的组成部分,是面向INTERNET甚至其它网络的界面,它具有计算智能,是很自然、很容易想到的事,绝不仅仅是一个简单的浏览器,点击网页那么简单。
6、由于用户系统发展程度的差异性、层次性、时延性,不光是IE有不同的版本,甚至WINDOWS等操作系统也是有不同的版本的。
这样既有好处,也有坏处。同一性和特殊性的关系问题。
试分析之。大部分是同样的运行系统,存在一点击破,全面崩溃的问题。网络攻击显然的特性是瞬时性、猝发性、巨量性、不定时性。不知道何时敌人会全力一击,并观察运行系统的反应和反应流程。
如果是不同的运行系统,由于存在着差异性,至少收集运行系统的信息就需要时间。

如果是我,如果要对INTERNET上的资源管理和控制手段进行分析,对IE进行分析是必然的。
IE对本地网页读取,是基本步骤吧。
其中,最主要的是对协议处理机进行分析,它是一个变换过程。对它的分析,是一个黑盒子。它是应用层的(也可能结合多层),对TCP/IP协议处理机的联系应该很紧密。
TCP/IP协议处理机在WINDOWS上,是一个可安装拆卸的组件。
对端IE就直接显示数据到屏幕了,直接对计算机用户。
IE界面系统和本身系统中,最主要的是超链接机制。它能读取网页,到INTERNET上读取。同时通过编写脚本类的小程序,利用VM虚拟机,具有一定的讦算能力。
回到病毒问题,这些角度由于有计算能力,就会有病毒需要的基本寄生环境条件吧。

要设计病毒,对计算机本地文件目录结构,网络文件目录结构,文件结构必须完全掌握。对WINDOWS访问这些资源的方式是同样的要求。
对程序从调入到运行,到中间结果处理,到存储,这些机制,必须掌握。
对文件和目录,以及网络资源的读写机制,要非常了解。
病毒发作时,直接修改文件,也有技巧。象变种病毒。象没有特征代码。
病毒程序分作哪几部分呢?
1、搜索代码段。搜索和识别那些可供感染的程序文件,进程,还有一些网络应用。
2、定位宿主程序的机制。
3、复制机制。
4、TSR驻留内存,TEMPERARY STATE RESIDENT。
5、保护机制。不被轻易发觉。
6、网络传播机制。
7、破坏机制和发作机制。破坏资源,控制资源,非法获取资源。

可以分析具备上述条件的最基础的病毒需要多少代码量。或者上述7部分每部分的代码量。