计算机病毒程序的机理

１计算机病毒程序模型和机理 计算机病毒程序按寄生方式来分，可分为三大类：引导型病毒、文件型病毒、复合型病毒。引导型病毒是寄生在操作系统中，文件型病毒是寄生在可执行文件中，复合型病毒则是将引导型病毒和文件型病毒结合在一起，它既感染文件，又感染引导区。但不管怎     

一种新的DOS病毒——新世纪病毒

最近笔者在学校机房中又发现一种新的DOS病毒,这种病毒用现有的反病毒软件如CPAV,KILL,SCAN等都查不出来,因病毒代码内写有“the new sentry of computer”的字样,故称其为新世纪病毒,这可能是我国又一国产病毒。一、病毒的破坏作用新世纪病毒既是文件型病毒,又是引导区病毒,即病毒既感染可执行文件(COM,EXE),又将自己覆盖在硬盘的主引导扇区,成为BOOT型病毒,该病毒原长为3K字节,感染文件时,对COM型文件直接写在文件尾,对EXE型文件则将3K以上的字节写在文件尾,对传染条件来说,该病毒只要驻留于内存中,则传染是无条件的:你运行一个文件,它感染一个文件,除非磁盘是写保护的,该病毒感染后的EXE文件     

713病毒的分析与清除

近来,本校流行一种新的病毒,用cpav、scan、kill(各种版本)、duchv、ve多种消毒软件均不能正确检测与消除.这种病毒具有系统引导型病毒和外壳型病毒的特点,不但感染硬盘主引导,而且感染EXE文件及COM文件.由于此病毒发作时间为7月13日,因此暂且把命它名为713病毒.下面先对其进行分析,再给出消除方法.一、病毒的引入机制1.可执行文件中病毒的引入     

清除1099病毒及其变形的方法

“1099”病毒是近年来流行的一种文件型病毒。激发时，将会随机性地改写硬盘，故有的资料称之为“随机格式化病毒”，被改写的硬盘中，文件数据全部丢失，所以是一种“恶性病毒”。1099病毒的感染能力很强，在运行了一个染毒文件后，它就驻留内存，然后在DIR命令下，每列一次目录时，就感染当前目录下的一个可执行文件，先感染．EXE文件，再感染．COM文件。一旦COMMAND．COM文件被感染，则每次开机后它就驻留内存，伺机继续感染其它的可执行文件。研究此病毒可以用如下方法：先把一个无毒的．EXE文件或者．COM文件以．CMP文件复…     

FLIP病毒的变种——FLIP-2153B

最近,我们发现了兼有文件引导型和系统引导型病毒特点的FLIP病毒的变种FLIP-2153B。其特点是:在带毒文件中,距文件尾部48H处的病毒特征字节是0EB9,在被感染硬盘的主引导扇区,距首部第28字节处的病毒特征字节是5959。病毒从已被感染的可执行文件进入系统时,硬盘立即被感染,但是系统内存不减少;从系统引导过程中进入系统时,系统内存则减少3KB的空间。国家安全局编制的病毒检测软件ScAN 3.1版和查毒软件CPAV能发现位于硬盘主引导扇区的病毒,却不能发现被感染文件中的病毒。病毒编制者修改了病毒的特征字节和部分病毒程序主要是为了逃避查毒软件的检测。     

“金蝉脱壳”—让软件自动反病毒

反病毒软件CPAV以及被CPAV免疫过的文件苦自身被非法改变，一旦运行就会报警。KV系列反病毒软件具有自我修复的功能，如KV100FIX。这种特性给人很深的印象。用C语言编写一小段程序，也可以达到这个效果。病毒或者感染BOOT区和分区表，或者感染可执行文件，此外也有“多功能”的病毒。感染可执行文件的病毒泛称为文件型病毒，当它感染可执行文件后，很可能使可执行文件长度增加（但在系统有毒的情况下，很多病毒可使染毒文件在DIR时长度没有变化）。因此若在自已编写的软件中事先置入最后的可执行文件的长度，让软件在运行时首先检…     

警惕!尚未达到发作条件的“东方红”病毒

最近在微机中出现了一种传染性很强的病毒,它在发作时会不停地演奏乐曲“东方红”,暂且称之为“东方红”病毒,它至今还未达到发作条件。现就其表现形式及特点、传染的原理和病毒的检测、消除作些介绍,以便广大计算机用户对染上这种病毒的计算机采取相应的措施。 一、“东方红”病毒的表现形式及特点 这种病毒在1994年及1994年后的每逢9月9日和12月26日发作,发作时会不停地演奏乐曲“东方红”,因为它的发作条件比较特殊,并且用高版本的消毒软件也无法检测出来,所以病毒具有较大的隐蔽性。这种病毒只感染可执行文件,染毒后的文件会加长1465个字节。染上病毒后计算机运行速度减慢,硬盘操作次数增加,有时还会使一些较大的可执行文件运行死机,造成永久性破坏。但它不感染系统引导区,属于文件型病毒。     

蠕虫病毒的防治秘笈

蠕虫病毒由来已久,历史上第一个扰乱Internet的病毒——莫里斯小球——就是一只寄生在Unix主机平台上的蠕虫病毒。蠕虫病毒虽然历史久远,但是随着个人电脑(PC)的迅速普及和微软的迅速崛起,病毒作乱的舞台转移到了DOS、Windows平台上,病毒的类型也以感染可执行文件的PE病毒,感染Word、Excel文件的宏毒为主。作为国内的广大电脑使用者,大多数是从个人电脑(PC)+Windows操作系统开始进入互联网世界的,因此电脑病毒的概念也主要是通过上面的两种病毒类型建立起来的。 在目前已知的几万种病毒中,引导型病毒(Boot Virus)、可执行文件     

一种既不增加文件长度又不破坏主引导区的两栖型病毒—451病毒

最近,笔者发现了一种既不增加文件长度,又不破坏硬盘主引导区的两栖型病毒,由于病毒主体长451字节,故取名为451病毒.用KV200来查感染上451病毒的硬盘,KV200只报告在DOS引导区发现病毒,具体病毒的名字叫不出来,而对硬盘中感染上451病毒的文件,KV200则毫无察觉.用SCAN111及SCAN117来清查感染上451病毒的硬盘,报告结果是硬盘DOS引导区有GENB病毒和一些EXE文件有BFD病毒,但这些版本相应的CLEAN,却报告感染上BFD病毒的EXE文件不能安全地清除病毒,只能删除带毒的文件,因此笔者认为SCAN软件作为     

浅谈病毒程序对两种计算机资源的依赖性

计算机病毒一般可分为两种类型:引导型病毒和文件型病毒,少数病毒介于两者之间,称为综合性病毒。引导型病毒程序的编制原理基本相同,都是通过修改硬盘0柱0头1扇区中的主引导程序或DOS分区中的分区引导程序来实现的。目前比较有效的防治方法是事先保存主引导扇区和分区引导区的内容,当发现引导型病毒时杀除后再予恢复,消毒过程简单可靠。而真正有威胁的文件型病毒则具有隐蔽性好、传播速度快、破坏性强、不易察觉等特点,因此对文件型病毒程序的检查、对抗和清除很难实现。有感于此,笔者将自己分析病毒特性的体验介绍给广大同行,以求共同商榷。     

预测未来病毒

病毒一般分为引导区引导的病毒、文件传染的病毒和复合型传染的病毒(既传染文件又传染引导区)三类,本文不讨论只感染主引导区的病毒,而只讨论感染文件的病毒(只感染运行文件或既感染运行文件又感染引导区)感染文件的方法,根据病毒传染运行文件的方法,提出了一种预测未来的传染运行文件病毒的方法,这就是许多病毒卡所声称的能     

一种通用的硬盘分区及软件的防病毒方法

DOS作为一种开放的操作系统,给用户的使用提供了很大的便利,但同时也给病毒提供了活动的条件。如何保护自己的数据免受侵害,一直为许多人所关注。分析一下受感染的情况不难发现:被感染者多为应用软件,如DOS,WPS,C~( )等的可执行文件,而用户自己的程序多为ASCII文件,不至于被感染,即使被感染了,只要重新编译,又可以得到干净的可执行文件。而现在的应用软件越来越大,被感染了以后如果没有有效的杀毒软件,那么就只能重新安装,因此花费很多的时间。所以我们的着眼点应该放在保护系统和应用软件上。 我们知道,一个硬盘可以有4个分区。根据这一点我们可以将软件分类存放在各分区上。假设第一个物理盘上有C∶和D∶两个逻辑盘,从分区信息表上可以知道C∶的结束磁道号。于是我们可以修改INT13H,如发现有程序试图对小于C∶盘结束磁道号的区域进行写操作,则不     

CIH病毒

CIH 是一种可怕的电脑病毒 CIH 病毒属文件型病毒.它主要感染 Windows95/98下的可执行文件,目前的版本不感染 DOS 以及 WIN 3.X 下的可执行文件,并且在 Win NT中无效。CIH 是怎样产生的呢?CIH 病毒是台湾的一名电脑编程高手陈盈豪的“杰作”。他从大学一年级开始就痴迷上了电脑,每天都要上网,下载最热门的软件、游戏 CIH 病毒完全是他一人设计的、他一共设计了五个版本 CIH 病毒,其中 V1.0、V1.1 两个版本没有流出去。而危害世界各国的病毒是 V1.2版。病毒发作的时间之所以定在4月26日,因为那是他的高中座号.也是他的绰号。CIH 病毒感染速度十分之快.所以也十分可怕。一旦运行了感染了 CIH 病毒的程序。它就会伺机感染其它文件,CIH 的感染长度为1K 左右,它会找到程序空闲的空间而插入其程序代码。发作时,会破坏硬盘数据,改变 BIOS 的程序,导致无法启动计算机。     

和病毒不能开这个小小的玩笑

《电脑》杂志94年第9期《和病毒开个小小的玩笑》一文中指出,病毒根据其破坏的性质和特点,可以分为几个种类,但无论那种类型的病毒都只感染扩展名为.COM和.EXE的文件.这种说法大绝对了,以病毒的引导方式划分.病毒可分为文件型、引导型和复合型三种,且不说引导型和复合型病毒,对文件型病毒来说,也不是只感染.COM和.EXE文件,对于别的扩展名文件也感染,例如覆盖文件.OVL等.     

Netware 4.1网络病毒的清除方法

病毒是计算机的大敌，对于网络来说则更是令网络管理者头痛的事情，因为一旦某工作站上出现病毒，就很容易传给网络，一旦网络感染病毒，则可能对网络产生严重破坏，此时必须尽快消除病毒。下面对Netware4．1网络的病毒清除加以分析说明。一、Netware4．1感染病毒后的特征网络感染病毒后，出现一些异常现象，如用户不能编辑自己的注册文本，己感染病毒的工作站用户登录上网时注册文本不起作用（与LOGIN．EXE感染病毒有关，该文件包含默认注册文本），使用清除病毒软件扫描网络盘后，发现网络感染De－Hard／HDZ文件型病毒，进行杀处理…     

警惕Format—1999病毒

Format 1999是近期较流行的一种恶性病毒,这种病毒发作起来就象破坏机器一样,会把整个硬盘的数据毁掉,本文就来揭示Format 1999病毒可憎的真面目.一、病毒的基本特征Format 1999病毒传染EXE和COM可执行文件,每个被感染的文件增长3184到3214个字节不等.对于一个文件型病毒来说,3K的长度算是比较大的规模了,在这3K字节中,Format 1999病毒不仅在驻留方式有其独特之外,它还花了大量功夫在它的破坏作用上,它在不同的条件下采用两种不同的破坏方式,发作时毫不掩饰自己的行动,并声称自己为“变态杀人狂(amuck)”.Format 1999病毒在系统查找匹配文件时会修改被感染文件的长度值,使得用DIR命令列目录时无法发现文件长度的变化,另外病毒把每试图     

检查文件型病毒的简单方法

绝大多数计算机文件型病毒有一个共同的特点,就是将自身附着在可执行文件上,靠运行用户程序使病毒程序先运行这样,染毒的程序代码变长。我们可以根据可执行文件的大小来发现文件型病毒。首先,在文件未染毒时将各子目录的可执行文件大小进行备份,存入一名为DIR.DIR的文件中。这可由下面内容的批命令MAKE.BAT完成。     

防毒知识百科大全：常见电脑病毒分类

引导区病毒:这类病毒隐藏在硬盘或软盘的引导区,当计算机从感染了引导区病毒的硬盘或软盘启动,或当计算机从受感染的软盘中读取数据时,引导区病毒就开始发作。一旦它们将自己拷贝到机器的内存中,马上就会感染其他磁盘的引导区,或通过网络传播到其他计算机上。文件型病毒:文件型病毒寄生在其他文件中,常常通过对它们的编码加密或使用其他技术来隐藏自己。文件型病毒劫夺用来启动主程序的可执行命令,用作它自身的运行命令。同时还经常将控制权还给主程序,伪装计算机系统正常运行。一旦运行被感染了病毒的程序文件,病毒便被激发,执行大量的操作…     

STORYTELLER病毒的分析与防治

1 STORYTELLER病毒的特点最近在国内发现一种新的文件型病毒。该病毒对两类系统可执行文件进行传染。对COM型文件传染时,使文件长度增加1261字节;对EXE型文件传染时,由于是在文件的最末尾从一节的起点开始写病毒程序,所以文件长度增加的字节数为1261～1276。在病毒程序的尾部可以看到如下信息:     

KV300(X+)版问世

继CIH病毒后,又一种32位编程的变形病毒Marburg开始侵入中国。 WIN95/98系统下能传染的Marburg病毒是又一种32位编程方式的纯Win-dows病毒,原产于西方国家,感染Win-dows下有关可执行文件。当染毒文件在WIN95/98下被执行时,病毒先被执行,但