计算机病毒的引导机制
一、计算机病毒的寄生对象
计算机病毒实际上是一种特殊的程序,是一种程序必然要存 储在磁盘上,但是病毒程序为了进行自身的主动传播,必须使自
身寄生在可以获取执行权的寄生对象上。就目前出现的各种计算 机病毒来看,其寄生对象有两种,一种是寄生在磁盘引导扇区; 另一种是寄生在可执行文件(.EXE或.COM)中。这是由于不论是
磁盘引导扇区还是可执行文件,它们都有获取执行权的可能,这 样病毒程序寄生在它们的上面,就可以在一定条件下获得执行权 ,从而使病毒得以进入计算机系统,并处于激活状态,然后进行病毒的动态传播和破坏活动。
二、计算机病毒的寄生方式
计算机病毒的寄生方式有两种,一种是采用替代法;另一种是采用链接法,所谓替代法是指病毒程序用自己的部分或全部指
令代码,替代磁盘引导扇区或文件中的全部或部分内容。所谓链 接法则是指病毒程序将自身代码作为正常程序的一部分与原有正 常程序链接在一起,病毒链接的位置可能在正常程序的首部、尾
部或中间,寄生在磁盘引导扇区的病毒一般采取替代法,而寄生在可执行文件中的病毒一般采用链接法。
三、计算机病毒的引导过程
计算机病毒的引导过程一般包括以下三方面。
(1)驻留内存
病毒若要发挥其破坏作用,一般要驻留内存。为此就必须开 辟所用内存空间或覆盖系统占用的部分内存空间。有的病毒不驻
留内存。
(2)窃取系统控制权
在病毒程序驻留内存后,必须使有关部分取代或扩充系统的 原有功能,并窃取系统的控制权。此后病毒程序依据其设计思想
,隐蔽自己,等待时机,在条件成熟时,再进行传染和破坏。
(3)恢复系统功能
病毒为隐蔽自己,驻留内存后还要恢复系统,使系统不会死 机,只有这样才能等待时机成熟后,进行感染和破坏的目的。
有的病毒在加载之前进行动态反跟踪和病毒体解密。
对于寄生在磁盘引导扇区的病毒来说,病毒引导程序占有了 原系统引导程序的位置,并把原系统引导程序搬移到一个特定的
地方。这样系统一启动,病毒引导模块就会自动地装人内存并获 得执行权,然后该引导程序负责将病毒程序的传染模块和发作模 块装人内存的适当位置,并采取常驻内存技术以保证这两个模块
不会被覆盖,接着对该两个模块设定某种激活方式,使之在适当 的时候获得执行权。处理完这些工作后,病毒引导模块将系统引 导模块装人内存,使系统在带毒状态下运行。
对于寄生在可执行文件中的病毒来说,病毒程序一般通过修 改原有可执行文件,使该文件一执行首先转入病毒程序引导模块
,该引导模块也完成把病毒程序的其他两个模块驻留内存及初始 化的工作,然后把执行权交给执行文件,使系统及执行文件在带 毒的状态下运行.