RSS订阅
当前位置:小MRY > 文件 > 正文

病毒如何感染文件|病毒对pe文件的感染方式

  • 爽歪热 发布于 2023-06-09
  • 阅读(33)

🔞优艺视频福利 ❤ 微信登录


Ⅰ 文件型病毒传染的主要对象是什么类文件

文件型病毒传染的对象主要是.COM和.EXE文件。

所有通过操作系统的文件系统进行感染的病毒都称作文件病毒,所以这是一类数目非常巨大的病毒。理论上可以制造这样一个病毒,该病毒可以感染基本上所有操作系统的可执行文件。

文件病毒可以感染所有标准的DOS可执行文件:包括批处理文件、DOS下的可加载驱动程序(.SYS)文件以及普通的COM/EXE可执行文件。

当然还有感染所有视窗操作系统可执行文件的病毒,可感染文件的种类包括:视窗3.X版本,视窗9X版本,视窗NT和视窗2000版本下的可执行文件,后缀名是EXE、DLL或者VXD、SYS。

(1)病毒如何感染文件扩展阅读:

文件型病毒的原理:携滑

当被感染程序执行之后,病毒会立刻(入口点被改成病毒代码)或者在随后的某个时间(“无入口点病毒”)获得控制权。

获得控制权后,病毒通常会进行下面的操作(某个具体的病毒不一定进行了所耐棚有这些操作,操作的顺序也很可能不一样):内存驻留的病毒首先检查系统可用内存,查看内存中是否已经有病毒代码存在,如果没有将病毒代码装入内存中。

非内存驻留病毒会在辩亩腊这个时候进行感染,查找当前目录、根目录或者环境变量PATH中包含的目录,发现可以被感染的可执行文件就进行感染。

参考资料来源:网络-文件型病毒

Ⅱ 病毒对pe文件的感染方式

病毒对pe文件的感染方式:传统感染。

该类病技术性,病毒编写者通常需要对PE文件格式有比较深入的了解。该类病毒感染的原理是将病毒代码写入到目标宿主程序体内,修改目标宿主程序的文件头或者部分程序代码,使得宿主程序在运行时可以调用病毒代码的执行。

捆绑式感染

这类计算首坦友机病毒在感染宿主程序时,会信猜使自身整体直接或者进行压缩之后放入到目标宿主程序之中,或者者槐将自身代码覆盖到目标宿主程序最前面,同时将目标宿主程序直接或者进行压缩后保存在病毒程序之后。这样,当目标宿主程序运行时,实际上执行的是计算机病毒程序,为了保证目标程序也可以正常执行,该类计算机病毒会将原始目标程序解压释放然后执行。

Ⅲ 病毒是如何感染文件的

在系统运行时,病毒通过病毒载体即系统的外存储器进入系统的内存储器,常驻内存。该病毒在系统内存中监视系统旦友的运行,当它发现有攻击的目标存在并满足条件时,便从内存中将自身存入被攻击的目标,从而将病毒进行传播。而病毒利用系统INT13H读写磁盘的中断又将其写入系统的外存储器软盘或硬盘中,再感染其他系统。可执行文件感染病毒后又怎样感染新的可执行文件?可执行文件.COM或.EXE感染上了病毒,例如黑色星期五病毒,它驻入内存的条件是在执行被传染的文件时进入内存的。一旦进入内存,便开始监模喊槐视系统的运行。当它发现被传染的目标时,进行如下操作:(1)首先对运行的可执行文件特定地址的标识位信息进行判断是否已感染了病毒;(2)当条件满足,利用INT13H将病毒链接到可执行文件的首部或尾部或中间,并存大磁盘中;(3)完成传染后,继续监视系统的运行,试图寻找新的攻击目标。操作系统型病毒是怎样进行传染的?正常的PCDOS启动过程是:(1)加电开机后进入系统的检测程序并执行该程序对系统的基本设备进行检测;(2)检测正常后从系统盘0面0道1扇区即逻辑0扇区读入Boot引导程序到内存的0000:7C00处;(3)转入Boot执行之;(4)Boot判断是否为系统盘,如果不是系统盘则提示;non-systemdiskordiskerrorReplaceandstrikeanykeywhenready否则,读入IBMBIO.COM和IBMDOS.COM两个隐含文件;(5)执行IBMBIO.COM和IBMDOS.COM两个隐含文件,将COMMAND.COM装入内存;(6)系统正常运行,DOS启动成功。如果系统盘已感染了病毒,PCDOS的启动将是另一番景象,其过程为:(1)将Boot区中病毒代码首先读入内存的0000:7C00处;(2)病毒将自身全部代码读入内存的某一安全地区、常驻内存,监视系统的运行;(3)修改INT13H中断服务处理程序的入口地址,使之指向病毒控制模块并执行之。因为任何一种病毒要感染软盘或者硬盘,都离不开对磁盘的读写操作,修改INT13H中断服务程序的入口地址是一项少不了的操作;(4)病毒程序全部被读入内存后才读入正常的Boot内容到内存的0000:7C00处,进行正常的启动过程;(5)病毒程序伺机等待随时准备感染新的系统盘或非系统盘。如果发现有可攻击的对象,病毒要进行下列的工作:(1)将目标盘的引导扇区读入内存,对该盘进行判别是否传染了病毒;(2)当满足传染条件时,则将病毒的全部或者一部分写入Boot区,把正常的磁盘的引导区程序写入磁盘特写位置;(3)返回正常的INT13H中断服务处理程渗掘序,完成了对目标盘的传染http://www.skyhosting.com.cn/frontend/hosting/Detail.aspx?Proct=2


赞 (0)

相关推荐

随便看看

热门标签

最新文章