计算机病毒原理与防范 教学课件 作者 秦志光 张凤荔 1第2章.pptVIP

第2章 计算机病毒的工作机制 计算机病毒原理与防范 秦志光, 张凤荔 第2章 计算机病毒的工作机制 病毒的工作步骤分析 计算机病毒的引导机制 计算机病毒的传染机制 计算机病毒的触发机制 计算机病毒的破坏机制 计算机病毒的传播机制 2.1病毒的工作步骤分析 计算机病毒的引导模块 计算机病毒的感染模块 计算机病毒的表现模块 从本质上来看，病毒程序可以执行其他程序所能执行的一切功能。但是，与普通程序又不同的是病毒必须将自身附着在其他程序上。病毒程序所依附的其他程序称为宿主程序。当用户运行宿主程序时，病毒程序被激活，并开始执行。一旦病毒程序被执行，它就能执行一切意想不到的功能（如感染其他程序、删除文件等）。 从病毒程序的生命周期来看，它一般会经历4个阶段：潜伏阶段、传染阶段、触发阶段和发作阶段。该过程如图2-1所示。 在潜伏阶段，病毒程序处于休眠状态，用户根本感觉不到病毒的存在，但并非所有病毒均会经历潜伏阶段。 如果某些事件发生（如特定的日期、某个特定的程序被执行等），病毒就会被激活，并从而进入传染阶段。 处于传染阶段的病毒，将感染其他程序——将自身程序复制到其他程序或者磁盘的某个区域上。经过传染阶段，病毒程序已经具备运行的条件，一旦病毒被激活，则进入触发阶段。 计算机病毒的引导模块 计算机病毒引导模块主要实现将计算机病毒程序引入计算机内存，并使得传染和表现模块处于活动状态。 引导模块需要提供自保护功能，从而避免在内存中的自身代码不被覆盖或清除。 一旦引导模块将计算机病毒程序引入内存后，它还将为传染模块和表现模块设置相应的启动条件，以便在适当的时候或者合适的条件下激活传染模块或者触发表现模块。 计算机病毒的感染模块 计算机病毒的传染模块有两个功能： 其一是依据引导模块设置的传染条件，判断当前系统环境是否满足传染条件； 其二是如果传染条件满足，则启动传染功能，将计算机病毒程序附加到其他宿主程序上。 计算机病毒的表现模块 表现模块功能也包括两个部分： 其一是根据引导模块设置的触发条件，判断当前系统环境是否满足所需要的触发条件； 其二是一旦触发条件满足，则启动计算机病毒程序，按照预定的计划执行（如删除程序、盗取数据等）。 BootingModel（）/* 引导模块*/ { 将计算机病毒程序寄生于宿主程序中； 启动自保护功能； 设置传染条件； 设置激活条件； 加载计算机程序； 计算机病毒程序随宿主程序地运行进入系统； } InfectingModel（） /* 传染模块*/ { 按照计算机病毒目标实现传染功能； } BehavingModel（） /*表现模块*/ { 按照计算机病毒目标实现表现功能； } main（） /*计算机病毒主程序*/ { BootingModel（）； while（1） { 寻找感染对象； If （如果感染条件不满足） continue； InfectingModel（）； if （激活条件不满足） continue； behavingModel（）； 运行宿主程序； if （计算机病毒程序需要退出） exit（）； } } 2.2 计算机病毒的引导机制 计算机病毒的寄生对象 计算机病毒的寄生方式 计算机病毒的引导过程 计算机病毒的寄生对象 寄生在计算机硬盘的主引导扇区中 寄生在计算机磁盘逻辑分析引导扇区中 寄生在可执行程序中 计算机病毒的寄生方式 计算机病毒的寄生方式有两种： 一种是采用替代法； 另一种是采用链接法。 这两种寄生方式分别如图2-3和图2-4所示 计算机病毒的引导过程 计算机病毒的引导过程一般包括以下3方面。 驻留内存 获取系统控制权 恢复系统功能 2.3 计算机病毒的传染机制 计算机病毒的传染方式 计算机病毒的传染过程 系统型计算机病毒传染机理 文件型计算机病毒传染机理 计算机病毒的传染方式 一种方式是计算机病毒的被动传染。用户在复制磁盘或文件时，把一个计算机病毒由一个信息载体复制到另一个信息载体上。当然，也可能通过网络上的信息传递，把一个计算机病毒程序从一方传递到另一方。 另外一种方式是计算机病毒的主动传染。计算机病毒以计算机系统的运行以及计算机病毒程序处于激活状态为先决条件。 此外，按照计算机病毒传染的时间性，其传染方式也可分为立即传染和伺机传染。 计算机病毒的传染过程 对于计算机病毒的被动传染而言，其传染过程是随着复制磁盘或文件工作的进行而进行的。 而对于计算机病毒的主动传染而言，其传染过程是：在系统运行时，计算机病毒通过计算机病毒载体即系统的外存储器进入系统的内存储器，常驻内存，并在系统内存中监视系统的运行。 发现被传染的目