【正文】 為計(jì)算機(jī)病毒提供了新的發(fā)展空間，對(duì)未來病毒的預(yù)測(cè)更加困難，這就要求人們不斷提高對(duì)病毒的認(rèn)識(shí)，增強(qiáng)防范意識(shí)。特定操作可以是用戶按下某些特定鍵的組合，可以是執(zhí)行的命令，可以是對(duì)磁盤的讀寫。 (2) 利用病毒體自帶的計(jì)數(shù)器作為觸發(fā)器。計(jì)算機(jī)病毒的隱蔽性還表現(xiàn)在病毒代碼本身設(shè)計(jì)得非常短小，一般只有幾百到幾 K字節(jié)，非常便于隱藏到其它程序中或磁盤的某一特定區(qū)域內(nèi)。 4. 隱蔽性 不經(jīng)過程序代碼分析或計(jì)算機(jī)病毒代碼掃描，病毒程序與正常程序不易區(qū)別開。病毒為了完成感染、破壞系統(tǒng)的目的必然要取得系統(tǒng)的控制權(quán)，這是計(jì)算機(jī)病毒的另外一個(gè)重要特點(diǎn)。 在染毒的計(jì)算機(jī)上曾經(jīng)使用過的軟盤，很有可能已被計(jì)算機(jī)病毒感染，如果拿到其它機(jī)器上使用，病毒就會(huì)通過帶毒軟盤傳染這些機(jī)器。在一定條件下，病毒通過某種渠道從一個(gè)文件或一臺(tái)計(jì)算機(jī)傳染到另外沒有被感染的文件或計(jì)算機(jī)，輕則造成被感染的計(jì)算機(jī)數(shù)據(jù)破壞或工作失常，重則使計(jì)算機(jī)癱瘓。但是這類病毒的潛在破壞還是有的，它使內(nèi)存空間減少，占用磁盤空間，降低系統(tǒng)運(yùn)行效率，使某些程序不能運(yùn)行，它還與操作系統(tǒng)和應(yīng)用程序爭(zhēng)搶 CPU的控制權(quán)，嚴(yán)重時(shí)導(dǎo)致系統(tǒng)死機(jī)、網(wǎng)絡(luò)癱瘓。若按破壞性粗略分類，可以分為良性病毒和惡性病毒。編寫病毒的動(dòng)機(jī)一般有以下幾種情況：為了表現(xiàn)和證明自己；出于對(duì)上級(jí)的不滿；出于好奇的“惡作劇”；為了報(bào)復(fù)；為了紀(jì)念某一事件等等。這類病毒的主要特點(diǎn)是：它們一般不需要宿主程序，多數(shù)都能夠跨平臺(tái)，借助網(wǎng)絡(luò)迅速傳播，破壞系統(tǒng)數(shù)據(jù)；有一些能夠竊取使用者的重要數(shù)據(jù)資料，如個(gè)人的數(shù)據(jù)文件、網(wǎng)絡(luò)帳號(hào)密碼、信用卡信息等。在Excel和 AmiPro上出現(xiàn)的相同工作機(jī)制的病毒也歸為此類。 近一兩年流行的 CIH病毒就是一種專門感染W(wǎng)indows95/98程序文件的病毒。變體機(jī)就是增加解碼復(fù)雜程度的指令生成機(jī)。多形型病毒是一種綜合性病毒，它既能感染引導(dǎo)區(qū)又能感染程序區(qū)，多數(shù)具有解碼算法，一種病毒往往要兩段以上的子程序方能解除。批次型病毒是工作在 DOS下的和“海盜旗”病毒類似的一類病毒。 4. 伴隨、批次型階段 1992年，伴隨型病毒出現(xiàn)，它們利用 DOS加載文件的優(yōu)先順序進(jìn)行工作。同樣這類病毒容易查、解。 1989年引導(dǎo)型病毒發(fā)展為可以感染硬盤，典型的代表有“石頭 2”。 計(jì)算機(jī)病毒的發(fā)展經(jīng)歷了以下幾個(gè)階段： 1. DOS引導(dǎo)階段 1987年，計(jì)算機(jī)病毒主要是引導(dǎo)型病毒，具有代表性的是“小球”、“石頭”、 Azusa / HongKong / 2708病毒等。計(jì)算機(jī)病毒的流行引起人們的普遍關(guān)注，成為影響計(jì)算機(jī)安全運(yùn)行的一個(gè)重要因素?！安《尽币辉~是借用生物學(xué)中的病毒。通過分析研究計(jì)算機(jī)病毒，人們發(fā)現(xiàn)它在很多方面與生物病毒有著相似之處。 世界上第一例被證實(shí)的病毒是在 1983年。當(dāng)時(shí)計(jì)算機(jī)數(shù)量較少，功能簡(jiǎn)單，一般需要通過軟盤啟動(dòng)后使用。 2. DOS可執(zhí)行文件階段 1989年，可執(zhí)行文件型病毒出現(xiàn)，一般只傳染 .COM和 .EXE可執(zhí)行文件。 3. 混合型階段 1990年以后出現(xiàn)雙料病毒，既感染文件同時(shí)又感染引導(dǎo)記錄，也稱混合型病毒。具有代表性的是“金蟬”病毒，它感染 EXE文件時(shí)生成一個(gè)和 EXE同名的擴(kuò)展名為 COM的伴隨體； 它感染 COM文件時(shí)，將原來的 COM文件改為同名的 EXE文件，再產(chǎn)生一個(gè)原名的伴隨體，文件擴(kuò)展名為 .COM， 這樣，在 DOS加載文件時(shí)，病毒就取得控制權(quán)。 5. 多形型階段 1994年，隨著匯編語(yǔ)言編程技術(shù)的發(fā)展，實(shí)現(xiàn)同一功能可以用不同的方式來完成，這些方式的組合使一段看似隨機(jī)的代碼產(chǎn)生相同的運(yùn)算結(jié)果。 6. 生成器，變體機(jī)階段 1995年，在匯編語(yǔ)言中，一些數(shù)據(jù)的運(yùn)算放在不同的通用寄存器中，可運(yùn)算出同樣的結(jié)果，隨機(jī)插入一些空操作和無關(guān)指令，也不影響運(yùn)算的結(jié)果，這樣，一段解碼算法就可以由生成器生成。 7. 網(wǎng)絡(luò)，蠕蟲階段 1995年以后，隨著網(wǎng)絡(luò)的普及，病毒大量利用網(wǎng)絡(luò)進(jìn)行傳播，但只是以上幾代病毒的改進(jìn)。這種病毒使用Windows VXD（ 虛擬設(shè)備驅(qū)動(dòng)程序）技術(shù)，發(fā)作時(shí)不僅破壞硬盤數(shù)據(jù)，而且還對(duì)一些使用Flash ROM 芯片存儲(chǔ) BIOS程序的主板造成損壞。 10. 互聯(lián)網(wǎng)階段 1997年，隨著因特網(wǎng)的發(fā)展，各種病毒也開始利用因特網(wǎng)進(jìn)行傳播。網(wǎng)絡(luò)病毒的查殺具有更大的難度，而且容易復(fù)發(fā)。也有因?yàn)檎?、軍事、民族、宗教、專利等方面的需要而專門編寫的。惡性病毒是指在代碼中包含有損傷、破壞計(jì)算機(jī)系統(tǒng)的操作，在其傳染或發(fā)作時(shí)會(huì)對(duì)系統(tǒng)直接造成嚴(yán)重?fù)p壞。 2. 自我復(fù)制能力 自我復(fù)制也稱“再生”或“傳染”。病毒代碼就是靠這種機(jī)制大量傳播和擴(kuò)散的。如果計(jì)算機(jī)已經(jīng)連網(wǎng)，通過數(shù)據(jù)或程序共享，病毒就可以迅速傳染與之相連的計(jì)算機(jī)，若不加控制，就會(huì)在很短時(shí)間內(nèi)傳遍整個(gè)世界。 計(jì)算機(jī)病毒一經(jīng)在系統(tǒng)中運(yùn)行，病毒首先要做初始化工作，在內(nèi)存中找到一片安身之地，隨后將自身與系統(tǒng)軟件掛起鉤來執(zhí)行感染程序。 在沒有防護(hù)措施的情況下，計(jì)算機(jī)病毒程序取得系統(tǒng)控制權(quán)后，可以在很短的時(shí)間里大量傳染。隨著病毒編寫技巧的提高，病毒代碼本身還進(jìn)行加密或變形，使得對(duì)計(jì)算機(jī)病毒的查找和分析更困難，容易造成漏查或錯(cuò)殺。病毒利用計(jì)數(shù)器記錄某種事件發(fā)生的次數(shù)，一旦計(jì)數(shù)器達(dá)到設(shè)定值，就執(zhí)行破壞操作。被病毒使用的觸發(fā)條件多種多樣，而且往往是由多個(gè)條件的組合觸發(fā)。人為編制的病毒人類一定會(huì)戰(zhàn)勝它。根據(jù)有關(guān)病毒資料可以把病毒的破壞目標(biāo)和攻擊部位歸納如下： 1. 攻擊系統(tǒng)數(shù)據(jù)區(qū)。病毒對(duì)文件的攻擊方式很多，如刪除、改名、替換內(nèi)容、丟失簇、對(duì)文件加密等。病毒攻擊內(nèi)存的方式有大量占用、改變內(nèi)存總量、禁止分配和蠶食內(nèi)存。 5. 干擾鍵盤、喇叭或屏幕。 6. 攻擊 CMOS。 7. 干擾打印機(jī)。有時(shí)對(duì)一種病毒，不同的軟件會(huì)報(bào)出不同的名稱。無論多少種，病毒的數(shù)量仍在不斷增加。 引導(dǎo)型病毒利用軟盤的啟動(dòng)原理工作，修改系統(tǒng)啟動(dòng)扇區(qū)。 其特點(diǎn)是附著于正常程序文件中，成為程序文件的一個(gè)外殼或部件。 源碼型病毒較為少見，亦難以編寫、傳播。因此這類病毒只攻擊某些特定程序，針對(duì)性強(qiáng)。 外殼病毒將自身附在正常程序的開頭或結(jié)尾，相當(dāng)于給正常程序加了個(gè)外殼。 5. 網(wǎng)絡(luò)病毒指基于在網(wǎng)上運(yùn)行和傳播，影響和破壞網(wǎng)絡(luò)系統(tǒng)的病毒。 2. 傳染部分作用是將病毒代碼復(fù)制到目標(biāo)上去。大部分病毒都是在一定條件下才會(huì)觸發(fā)其表現(xiàn)部分的。引導(dǎo)記錄模塊由三部分組成：軟（硬）盤 I/O參數(shù)表、軟（硬）盤基數(shù)表、引導(dǎo)記錄塊。加載時(shí)該模塊以文件名 裝入內(nèi)存，系統(tǒng)啟動(dòng)成功后該程序消失。根據(jù)塊設(shè)備驅(qū)動(dòng)程序返回的磁盤參量，建立磁盤 I/O參數(shù)表以及設(shè)置缺省的磁盤扇區(qū)緩沖區(qū)等。 (4) SHELL模塊 即命令處理程序，它是用戶和操作系統(tǒng)的接口，任務(wù)是分析執(zhí)行用戶命令，包括從磁盤上加載程序到內(nèi)存運(yùn)行。所以計(jì)算機(jī)系統(tǒng)加電啟動(dòng)后，程序執(zhí)行的首地址總是 0FFFF0H， 和 DOS操作系統(tǒng)無關(guān)。在測(cè)試中，熱啟動(dòng)則不對(duì)存儲(chǔ)器測(cè)試。系統(tǒng)沒有安裝硬盤時(shí)，執(zhí)行該段程序。一旦自舉程序 INT 19H將其讀入內(nèi)存的指定區(qū)域，就把控制權(quán)轉(zhuǎn)交給它。 (3) 系統(tǒng)初始化程序第一階段 當(dāng) DOS 引導(dǎo)記錄執(zhí)行完畢，控制轉(zhuǎn)到隱含文件 碼。建立磁盤基數(shù)表之后，設(shè)置中斷向量，其中中斷向量 1H、 3H和 4H 分別表示單步、斷點(diǎn)和溢出中斷， 1BH 是處理鍵盤中斷（ CTRL + BREAK鍵），這些向量指示的原中斷均無實(shí)質(zhì)性內(nèi)容，現(xiàn)已由初始化程序設(shè)置了新的向量入口，以便指向由 DOS提供的中斷例程。 ② 對(duì)常駐的設(shè)備驅(qū)動(dòng)程序組成的設(shè)備進(jìn)行檢查，并調(diào)用每個(gè)驅(qū)動(dòng)程序的初始化功能。確定設(shè)備的狀態(tài)并返回所占用的內(nèi)存變量，然后將其連接到設(shè)備中。 ② 檢查自動(dòng)批處理文件 在，若存在則執(zhí)行其中每條命令，執(zhí)行完成后顯示 DOS提示符；若不存在，則顯示日期和時(shí)間提示，等待用戶輸入指定的日期和時(shí)間，然后出現(xiàn)系統(tǒng)提示符 A： 或 C： ， 表明 DOS啟動(dòng)成功，等待用戶輸入 DOS命令。 表長(zhǎng) 19字節(jié)，從引導(dǎo)扇區(qū)的 0字節(jié)偏移 0BH處開始，分別記錄每扇區(qū)字節(jié)數(shù)（ 2B）， 每簇的扇區(qū)數(shù)（ 1B） 保留扇區(qū)數(shù)（ 2B）， FAT表個(gè)數(shù)（ 1B）， 根目錄項(xiàng)數(shù)（ 2B）， 總扇區(qū)數(shù)（ 2B）， 介質(zhì)標(biāo)志（ 1B），每個(gè) FAT所占扇區(qū)數(shù)（ 2B）， 每道扇區(qū)數(shù)（ 2B）， 磁頭數(shù)（ 2B）， 隱藏扇區(qū)數(shù)（ 2B）。 DOS引導(dǎo)記錄塊的功能是檢查磁盤根目錄下是否存在兩個(gè)系統(tǒng)文件。 DOS 利用 FDT掌握磁盤上每個(gè)文件的路徑、屬性、文件分配、長(zhǎng)度、以及建立或修改的具體日期和時(shí)間。為了保險(xiǎn)起見， DOS系統(tǒng)在每張磁盤上生成兩個(gè)完全一樣的文件分配表， FAT記錄著文件所分配到的位置。 (1) COMMAND處理命令的過程 當(dāng) DOS系統(tǒng)啟動(dòng)或系統(tǒng)復(fù)位后，屏幕上出現(xiàn) DOS提示符表明，等待用戶輸入命令。 ③ 如果在搜索過程中，在指定目錄下未找到 .COM文件或 .EXE文件，再判斷是否為批文件。 ⑥ 當(dāng)一個(gè)外部命令執(zhí)行時(shí)，它幾乎控制系統(tǒng)的全部資源。 當(dāng)它被 EXEC子功能加載時(shí)，除了要設(shè)置程序前綴PSP外，還要依據(jù)一個(gè)“文件頭”指出的若干信息進(jìn)行段重定位，同時(shí)，對(duì)各個(gè)內(nèi)部寄存器也賦以初始化值，最后從 DOS系統(tǒng)中接過控制權(quán)執(zhí)行程序。 文件頭內(nèi)的重定位表里放著所有需要重定位的地址，除此之外，文件頭內(nèi)還有許多信息供 DOS在裝入過程中使用，通過這些信息可以直接或間接得到以下內(nèi)容： EXE文件標(biāo)志位，文件總長(zhǎng)度，所需內(nèi)存大小，堆棧起始地址等重要信息。 ③ 該程序必須預(yù)留 100H空間，且在位移 100H處是一條可執(zhí)行指令 。 COM文件的加載過程是這樣的。因此有必要對(duì) DOS的中斷系統(tǒng)做一個(gè)大概的了解。 DOS 的軟中斷包括幾大類，這些中斷可供系統(tǒng)和應(yīng)用程序調(diào)用。這樣， 256級(jí)中斷占用了 1KB空間，位置在內(nèi)存的最低端，即 0~3FFH。在這些中斷中，系統(tǒng)規(guī)定： 0~4號(hào)中斷是 CPU專用中斷； 8~0FH是 8級(jí)硬中斷； 5號(hào)中斷和 10H~1AH中斷是基本外部設(shè)備的 I/O驅(qū)動(dòng)程序和BIOS中調(diào)用的有關(guān)程序； 1BH、 1CH中斷由用戶設(shè)定； 1DH~1FH是三個(gè)數(shù)據(jù)區(qū)； 20H~3FH中斷由 DOS系統(tǒng)調(diào)用； 40H以后的中斷類型由用戶程序使用，其中一些中斷號(hào)被操作系統(tǒng)保留使用。該中斷的向量地址為 0000： 004CH~0000： 004FH。 ② INT 25H、 INT 26H磁盤邏輯扇區(qū)讀 /寫中斷，是專門用來對(duì)磁盤扇區(qū)進(jìn)行絕對(duì)讀 /寫操作的兩個(gè)中斷。 ④ INT 8H時(shí)鐘中斷是 ROMBIOS硬中斷，其向量地址為 0000： 0020H~0000： 0023H。中斷 65535次正好是 1小時(shí)，當(dāng)計(jì)滿 24小時(shí)后，時(shí)鐘數(shù)據(jù)被置 0重新計(jì)數(shù)。這些子程序通過設(shè)置 AH調(diào)用號(hào)來調(diào)用。病毒程序通過修改 INT 24H中斷向量設(shè)置新的錯(cuò)誤程序：如“黑色星期五”等病毒在向可執(zhí)行文件傳染病毒時(shí)，首先將系統(tǒng)的 INT 24H中斷屏蔽起來，不顯示此時(shí)的讀寫操作中的任何錯(cuò)誤信息，以使病毒的傳播過程隱蔽。 常見 DOS病毒分析 1. 引導(dǎo)記錄病毒 并不一定是只有可引導(dǎo)的磁盤才能傳播引導(dǎo)記錄病毒，所有軟盤在格式化期間都創(chuàng)建了引導(dǎo)記錄程序。只要計(jì)算機(jī)是開著的，病毒在內(nèi)存中就在活動(dòng)，就可以通過感染訪問計(jì)算機(jī)的軟盤來不斷傳播。在病毒把它自己放到硬盤上之后，又不可避免地感染其他的軟盤。在它定位磁盤后，BIOS就會(huì)把軟引導(dǎo)記錄裝入計(jì)算機(jī)內(nèi)存，并執(zhí)行自舉例程。大多數(shù)軟引導(dǎo)記錄病毒在引導(dǎo)過程中要把自己作為內(nèi)存駐留程序裝入，通過這種方式，病毒就可以在計(jì)算機(jī)操作期間監(jiān)視所有磁盤請(qǐng)求，并且任意感染其他軟盤。幾乎所有的軟引導(dǎo)記錄病毒都利用 DOS對(duì) BDA的依賴性，更新它的內(nèi)容以把自己安裝到內(nèi)存中。例如，病毒要為它自己保留 2KB內(nèi)存，就把這個(gè)數(shù)字減少到638。計(jì)算機(jī)的 ROMBIOS中包含磁盤服務(wù)例程，DOS通過調(diào)用這些例程從軟盤或硬盤讀取數(shù)據(jù)。所有向計(jì)算機(jī)磁盤讀寫請(qǐng)求都發(fā)送給病毒，而不是原來的 ROM BIOS 磁盤服務(wù)。這樣，當(dāng)計(jì)算機(jī)下次通過硬盤重新啟動(dòng)時(shí)，病毒就可以把自己安裝到內(nèi)存中并感染其他軟盤。如果一塊感染的軟盤在驅(qū)動(dòng)器 A： 中，病毒的第一個(gè)機(jī)會(huì)是在系統(tǒng)軟盤引導(dǎo)期間，幾乎所有的軟引導(dǎo)記錄病毒都要感染硬盤的主引導(dǎo)記錄或活動(dòng)分區(qū)引導(dǎo)記錄。只有當(dāng)請(qǐng)求磁盤服務(wù)時(shí)才感染新的軟盤，這樣做對(duì)病毒是有利的。通過這種方式，病毒就會(huì)有效地傳播到新的軟盤而不被發(fā)現(xiàn)。 當(dāng)病毒把一個(gè)被感染的自舉例程插入軟引導(dǎo)記錄，并且把原來的軟引導(dǎo)記錄的拷貝存儲(chǔ)在磁盤中的某個(gè)地方時(shí)，它可能覆蓋一些數(shù)據(jù)。如果軟盤滿了，病毒就會(huì)覆蓋某個(gè)文件的一個(gè)扇區(qū)，從而至少損壞512B的數(shù)據(jù)。主引導(dǎo)記錄病毒也像軟引導(dǎo)記錄病毒一樣，在被激活前，它要在引導(dǎo)時(shí)被裝入并執(zhí)行。在 ROM BIOS 引導(dǎo)程序把控制傳送給主引導(dǎo)記錄自舉程序的時(shí)候，病毒就得到控制權(quán)，一般的主引導(dǎo)記錄病毒把它自己安裝為內(nèi)存駐留服務(wù)提供者，就像軟引導(dǎo)記錄病毒一樣。以后在計(jì)算機(jī)從已感染的硬盤引導(dǎo)并且病毒把它自己安裝為駐留的服務(wù)提供者之后，病毒就要裝入原來的主引導(dǎo)記錄并把