第十章计算机恶意程序与病毒7
第三节 计算机病毒的预防 第十章计算机恶意程序与病毒 转移到病毒程序执行: MOV SI, 0413 ; 指向0:0413字节 XOR DI, DI ; DS:SI=0:0413 MOV DS, DI ; 0:0413中内容为0280 DEC WORD PTR [SI];减去1K字节 LODSW ; 将027F取到 AX中 MOV CL, 06 ; CL=06 SHL AX, CL ; 左移6位=9FC0 PUSH AX ; 压入返回段地址9FC0 PUSH DI ; 压入返回位移量0000 RETF ; 转移到9FC0:0000地址 第十章计算机恶意程序与病毒 0面0道1扇区 MBS 1面0道1扇区 DBS MBS:Main Boot Sector 主引导扇区 DBS:DOS Boot Secotor 次引导扇区 FAT FAT Root (系统保留扇区 62个) 病毒藏身之地 Data 第十章计算机恶意程序与病毒 读MBS引导扇区:(用程序读) MOV AX, 0201 ; 读一个扇区 MOV BX, 1000 ; 读入缓冲区地址1000 MOV CX, 0001 ; 读第一扇区 MOV DX; 0080 ; 读C盘0面 INT 13 ; 读盘操作 INT 3 ; 执行终止 要读63个扇区则用023F,要写入一个扇区则用0301,读A盘为00,B盘为01,C盘为80,D盘为81,类推…... 第十章计算机恶意程序与病毒 读DBS引导扇区:(用程序读) MOV AX, 0201 ; 读一个扇区 MOV BX, 1000 ; 读入缓冲区地址1000 MOV CX, 0001 ; 读第一扇区 MOV DX; 0180 ; 读C盘1面 INT 13 ; 读盘操作 INT 3 ; 执行终止 读DBS引导扇区:(用命令读) -L1000 2 0 1 注意:A盘为0,B盘为1,C盘为2,D盘为3,以此类推……. 第十章计算机恶意程序与病毒 四、计算机病毒的感染机制 1.重复感染 计算机病毒的重复感染是指同一种病毒连续感染,在病毒载体上形成连续重复的病毒体驻留或者对驻留区域进行重复覆盖。 正常文件 第一次感染 第二次感染 第 n 次感染 病毒 第十章计算机恶意程序与病毒 2.交叉感染 计算机病毒的交叉感染是指同一系列(但不同种)病毒或者不同类型病毒的重复感染或者连续感染,感染的病毒种类在两种以上。 正常文件 第一次感染 交叉感染 多次交叉感染 病毒B 病毒A 病毒A 病毒A 病毒B 病毒A 病毒B 病毒N 必须采取循环扫描检测! 第十章计算机恶意程序与病毒 3.破坏性感染 病毒在感染过程中对正常的系统程序、结构、参数和文件进行了覆盖,当病毒程序被清除后,会产生恢复错误,甚至不能恢复。(引导型病毒多有此类情况) 正常扇区 病毒扇区 覆盖 病毒体 病毒体 第十章计算机恶意程序与病毒 五、计算机病毒的变异机制 1.计算机病毒的变异性 变异病毒:也称变种病毒,利用某种病毒程序,添加新的功能、感染对象和破坏目标,修改特征码或者感染标志,破坏检测。 第十章计算机恶意程序与病毒 五、计算机病毒的变异机制 2.计算机病毒的伪装性 伪装性:病毒施放者在病毒程序中故意嵌入明显的某种已知病毒的程序代码(假特征码),以欺骗反病毒软件,造成检测判断错误,从而造成清除错误。 第十章计算机恶意程序与病毒 五、计算机病毒的变异机制 3.计算机病毒的多形性 改变病毒程序、加密变换、分段加密技术等避开反病毒软件检测。 新购置的计算机中是可能携带有病毒。 建议: 对新购置的计算机系统用检测病毒软件检查是否有已知病毒,用人工检测方法检查是否有未知病毒。在确保没有病毒之后,再使用计算机。 2. 新购置的硬盘或出厂时已格式化的软盘中可能有病毒。 建议: 对硬盘可以进行检测或进行低级格式化。对硬盘只做DOS的FORMAT格式化不能去除主引导区(分区表扇区)病毒。对软盘做DOS的FORMAT格
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
