【正文】 做對病毒是有利的。如果病毒不能執(zhí)行，它就不會(huì)感染硬盤或安裝自己作為駐留的服務(wù)提供者。如果一塊感染的軟盤在驅(qū)動(dòng)器 A： 中，病毒的第一個(gè)機(jī)會(huì)是在系統(tǒng)軟盤引導(dǎo)期間，幾乎所有的軟引導(dǎo)記錄病毒都要感染硬盤的主引導(dǎo)記錄或活動(dòng)分區(qū)引導(dǎo)記錄。這非常重要，因?yàn)槿绻浺龑?dǎo)記錄病毒把自己安裝到內(nèi)存中，感染了硬盤，并且導(dǎo)致軟盤啟動(dòng)失敗，它很快就會(huì)被發(fā)現(xiàn)并清除。這樣，當(dāng)計(jì)算機(jī)下次通過硬盤重新啟動(dòng)時(shí)，病毒就可以把自己安裝到內(nèi)存中并感染其他軟盤。 當(dāng)病毒完成破壞之后，再把請求重定向給原來的ROM BIOS服務(wù)，以完成正確的服務(wù)。所有向計(jì)算機(jī)磁盤讀寫請求都發(fā)送給病毒，而不是原來的 ROM BIOS 磁盤服務(wù)。當(dāng)操作需要請求一個(gè)服務(wù)時(shí)，它就會(huì)在中斷向量表 INT中查找服務(wù)提供者的地址，然后確定把它的請求發(fā)送到哪里。計(jì)算機(jī)的 ROMBIOS中包含磁盤服務(wù)例程，DOS通過調(diào)用這些例程從軟盤或硬盤讀取數(shù)據(jù)。然后病毒就可以使用這塊內(nèi)存，而不用擔(dān)心被破壞。例如，病毒要為它自己保留 2KB內(nèi)存，就把這個(gè)數(shù)字減少到638。 使用這個(gè)域確定有多少內(nèi)存可以安全地分配給自己和 DOS 應(yīng)用程序。幾乎所有的軟引導(dǎo)記錄病毒都利用 DOS對 BDA的依賴性，更新它的內(nèi)容以把自己安裝到內(nèi)存中。 在控制傳送給自舉例程之前， BIOS引導(dǎo)程序會(huì)使有關(guān)配置的信息和計(jì)算機(jī)的初始狀態(tài)更新 BDA。大多數(shù)軟引導(dǎo)記錄病毒在引導(dǎo)過程中要把自己作為內(nèi)存駐留程序裝入，通過這種方式，病毒就可以在計(jì)算機(jī)操作期間監(jiān)視所有磁盤請求，并且任意感染其他軟盤。在引導(dǎo)期間， BIOS把對計(jì)算機(jī)的控制完全給予病毒程序而不是正常的自舉程序。在它定位磁盤后，BIOS就會(huì)把軟引導(dǎo)記錄裝入計(jì)算機(jī)內(nèi)存，并執(zhí)行自舉例程。在啟動(dòng)過程中，大多數(shù) PC的 BIOS 都要確定軟驅(qū)中是否有軟盤以及計(jì)算機(jī)是否可以從這個(gè)軟盤中配置引導(dǎo)。在病毒把它自己放到硬盤上之后，又不可避免地感染其他的軟盤。 該病毒除了可以感染軟盤引導(dǎo)記錄外，還可以感染硬盤的主引導(dǎo)區(qū)或活動(dòng)分區(qū)引導(dǎo)記錄。只要計(jì)算機(jī)是開著的，病毒在內(nèi)存中就在活動(dòng)，就可以通過感染訪問計(jì)算機(jī)的軟盤來不斷傳播。甚至計(jì)算機(jī)不能從感染的磁盤啟動(dòng)時(shí)，它也運(yùn)行自舉例程，這正是病毒激活所需要的。 常見 DOS病毒分析 1. 引導(dǎo)記錄病毒 并不一定是只有可引導(dǎo)的磁盤才能傳播引導(dǎo)記錄病毒，所有軟盤在格式化期間都創(chuàng)建了引導(dǎo)記錄程序。其中部分功能有：字符輸入輸出、日期和時(shí)間、內(nèi)存分配、網(wǎng)絡(luò)功能調(diào)用、讀取設(shè)置中斷向量、文件操作、磁盤控制等。病毒程序通過修改 INT 24H中斷向量設(shè)置新的錯(cuò)誤程序：如“黑色星期五”等病毒在向可執(zhí)行文件傳染病毒時(shí)，首先將系統(tǒng)的 INT 24H中斷屏蔽起來，不顯示此時(shí)的讀寫操作中的任何錯(cuò)誤信息，以使病毒的傳播過程隱蔽。如“雨點(diǎn)”病毒，大量調(diào)用 INT 10H， 使屏幕上的 ASCII字符像雨點(diǎn)樣紛紛下落，形成“雨點(diǎn)”。這些子程序通過設(shè)置 AH調(diào)用號來調(diào)用。 ⑤ INT 10H屏幕顯示中斷，向量地址為 0000：0040H~0000： 0043H。中斷 65535次正好是 1小時(shí)，當(dāng)計(jì)滿 24小時(shí)后，時(shí)鐘數(shù)據(jù)被置 0重新計(jì)數(shù)。每秒鐘發(fā)出，每次間隔時(shí)間約 55ms。 ④ INT 8H時(shí)鐘中斷是 ROMBIOS硬中斷，其向量地址為 0000： 0020H~0000： 0023H。該中斷由定時(shí)器在修正、日歷計(jì)數(shù)后，每 55ms調(diào)用一次。 ② INT 25H、 INT 26H磁盤邏輯扇區(qū)讀 /寫中斷，是專門用來對磁盤扇區(qū)進(jìn)行絕對讀 /寫操作的兩個(gè)中斷。 若 DL值小于 80H， 則對軟盤操作，若大于或等于 80H， 則對硬盤操作，具體功能號放置在 AH中。該中斷的向量地址為 0000： 004CH~0000： 004FH。 (4) 計(jì)算機(jī)病毒經(jīng)常使用的中斷 多數(shù)病毒經(jīng)常使用磁盤服務(wù)中斷和時(shí)鐘中斷。在這些中斷中，系統(tǒng)規(guī)定： 0~4號中斷是 CPU專用中斷； 8~0FH是 8級硬中斷； 5號中斷和 10H~1AH中斷是基本外部設(shè)備的 I/O驅(qū)動(dòng)程序和BIOS中調(diào)用的有關(guān)程序； 1BH、 1CH中斷由用戶設(shè)定； 1DH~1FH是三個(gè)數(shù)據(jù)區(qū)； 20H~3FH中斷由 DOS系統(tǒng)調(diào)用； 40H以后的中斷類型由用戶程序使用，其中一些中斷號被操作系統(tǒng)保留使用。中斷向量表占用內(nèi)存的 0000：0000H到 0000： 03FFH之間的 1KB地址空間。這樣， 256級中斷占用了 1KB空間，位置在內(nèi)存的最低端，即 0~3FFH。這樣，所有的中斷就組成了一張中斷向量表。 DOS 的軟中斷包括幾大類，這些中斷可供系統(tǒng)和應(yīng)用程序調(diào)用。 (1) 常見的中斷原因有：用戶希望的請求，如從某個(gè)設(shè)備上輸入或輸出；未預(yù)料的各種錯(cuò)誤，如在計(jì)算過程中出現(xiàn)溢出等。因此有必要對 DOS的中斷系統(tǒng)做一個(gè)大概的了解。這就說明了 .COM文件的結(jié)構(gòu)為何要留 100H空間并在位移100H處必須有一條可執(zhí)行指令。 COM文件的加載過程是這樣的。 若 .COM文件是由幾個(gè)不同的目標(biāo)模塊連接生成的，則要求所有目標(biāo)模塊必須具有同一代碼段名和類別名 (CLASS)， 且賦予公共屬性，而主模塊應(yīng)具有 100H的入口指針并優(yōu)先連接 。 ③ 該程序必須預(yù)留 100H空間，且在位移 100H處是一條可執(zhí)行指令 。一個(gè) .COM文件具有如下結(jié)構(gòu)特點(diǎn)： ① 該程序只能設(shè)置一個(gè)段，且不準(zhǔn)建立堆棧段 。 文件頭內(nèi)的重定位表里放著所有需要重定位的地址，除此之外，文件頭內(nèi)還有許多信息供 DOS在裝入過程中使用，通過這些信息可以直接或間接得到以下內(nèi)容： EXE文件標(biāo)志位，文件總長度，所需內(nèi)存大小，堆棧起始地址等重要信息。 由于 .EXE文件的這種特殊結(jié)構(gòu)，連接程序 LINK根據(jù)被連接的目標(biāo)模塊的不同，連接參數(shù)要相應(yīng)地生成一個(gè)“重定位信息表”，并將其安裝在程序的前頭，所以稱“重定位信息表”為“文件頭”。 當(dāng)它被 EXEC子功能加載時(shí)，除了要設(shè)置程序前綴PSP外，還要依據(jù)一個(gè)“文件頭”指出的若干信息進(jìn)行段重定位，同時(shí)，對各個(gè)內(nèi)部寄存器也賦以初始化值，最后從 DOS系統(tǒng)中接過控制權(quán)執(zhí)行程序。然后再返回到 DOS的提示符狀態(tài)。 ⑥ 當(dāng)一個(gè)外部命令執(zhí)行時(shí)，它幾乎控制系統(tǒng)的全部資源。 ④ 若找到一個(gè)批處理文件，則轉(zhuǎn)入 COMMAND暫駐區(qū)的批處理程序，解釋執(zhí)行該批文件中每條命令。 ③ 如果在搜索過程中，在指定目錄下未找到 .COM文件或 .EXE文件，再判斷是否為批文件。如果是內(nèi)部命令，則轉(zhuǎn)去執(zhí)行 COMMAND暫駐區(qū)的相應(yīng)過程，執(zhí)行結(jié)束返回到 DOS提示符，否則判斷是否為當(dāng)前目錄； ② 如果當(dāng)前執(zhí)行的命令不在當(dāng)前目錄下，則執(zhí)行PATH命令搜索指定的目錄，找到后判斷要執(zhí)行的是 .COM類或 .EXE類命令。 (1) COMMAND處理命令的過程 當(dāng) DOS系統(tǒng)啟動(dòng)或系統(tǒng)復(fù)位后，屏幕上出現(xiàn) DOS提示符表明，等待用戶輸入命令。 5. DOS的程序加載過程 DOS 加載程序是由系統(tǒng)功能中的執(zhí)行功能（ EXEC）來完成的。為了保險(xiǎn)起見， DOS系統(tǒng)在每張磁盤上生成兩個(gè)完全一樣的文件分配表， FAT記錄著文件所分配到的位置。 (2) 文件分配表 文件目錄表 FDT列出了分配給文件的磁盤空間，它后續(xù)的空間地址是由文件分配表FAT提供的。 DOS 利用 FDT掌握磁盤上每個(gè)文件的路徑、屬性、文件分配、長度、以及建立或修改的具體日期和時(shí)間。 4. DOS文件系統(tǒng) DOS文件管理主要通過文件目錄表 FDT、 文件分配表 FAT和磁盤參數(shù)表以及設(shè)備驅(qū)動(dòng)程序來實(shí)施。 DOS引導(dǎo)記錄塊的功能是檢查磁盤根目錄下是否存在兩個(gè)系統(tǒng)文件。表長 11字節(jié)，從引導(dǎo)扇區(qū)的 0字節(jié)偏移 21H處開始。 表長 19字節(jié)，從引導(dǎo)扇區(qū)的 0字節(jié)偏移 0BH處開始，分別記錄每扇區(qū)字節(jié)數(shù)（ 2B）， 每簇的扇區(qū)數(shù)（ 1B） 保留扇區(qū)數(shù)（ 2B）， FAT表個(gè)數(shù)（ 1B）， 根目錄項(xiàng)數(shù)（ 2B）， 總扇區(qū)數(shù)（ 2B）， 介質(zhì)標(biāo)志（ 1B），每個(gè) FAT所占扇區(qū)數(shù)（ 2B）， 每道扇區(qū)數(shù)（ 2B）， 磁頭數(shù)（ 2B）， 隱藏扇區(qū)數(shù)（ 2B）。 3. DOS引導(dǎo)記錄 DOS 引導(dǎo)記錄位于軟盤的 0面 0道 1扇區(qū)；硬盤在DOS分區(qū)的邏輯 0扇區(qū)上。 ② 檢查自動(dòng)批處理文件 在，若存在則執(zhí)行其中每條命令，執(zhí)行完成后顯示 DOS提示符；若不存在，則顯示日期和時(shí)間提示，等待用戶輸入指定的日期和時(shí)間，然后出現(xiàn)系統(tǒng)提示符 A： 或 C： ， 表明 DOS啟動(dòng)成功，等待用戶輸入 DOS命令。 SYSINIT完成所有的初始化工作之后，便釋放所占空間，轉(zhuǎn)到 。確定設(shè)備的狀態(tài)并返回所占用的內(nèi)存變量，然后將其連接到設(shè)備中。 (5) 建立系統(tǒng)運(yùn)行環(huán)境 DOS 內(nèi)核初始化工作完成之后將返回 SYSINIT程序執(zhí)行第二階段的初始化工作，包括以下內(nèi)容： ① 打開文件 并依次解釋每條命令，根據(jù)指定配置命令建立 DOS運(yùn)行系統(tǒng)環(huán)境，如磁盤扇區(qū)緩沖區(qū)數(shù) BUFFERS、 文件句柄控制塊數(shù) FILES、 設(shè)備驅(qū)動(dòng)程序 DEVICE等。 ② 對常駐的設(shè)備驅(qū)動(dòng)程序組成的設(shè)備進(jìn)行檢查，并調(diào)用每個(gè)驅(qū)動(dòng)程序的初始化功能。 SYSINIT初始化工作完成后，將其自身上移到內(nèi)存的高端位置，原占據(jù)的空間由 DOS的內(nèi)核 。建立磁盤基數(shù)表之后，設(shè)置中斷向量，其中中斷向量 1H、 3H和 4H 分別表示單步、斷點(diǎn)和溢出中斷， 1BH 是處理鍵盤中斷（ CTRL + BREAK鍵），這些向量指示的原中斷均無實(shí)質(zhì)性內(nèi)容，現(xiàn)已由初始化程序設(shè)置了新的向量入口，以便指向由 DOS提供的中斷例程。 SYSINIT是系統(tǒng)的初始化程序，是 DOSBIOS模塊的一個(gè)重要組成部分。 (3) 系統(tǒng)初始化程序第一階段 當(dāng) DOS 引導(dǎo)記錄執(zhí)行完畢，控制轉(zhuǎn)到隱含文件 碼。若是則引導(dǎo) DOS 進(jìn)入內(nèi)存，否則顯示出錯(cuò)信息 Non system disk or disk error或 Disk boot failure。一旦自舉程序 INT 19H將其讀入內(nèi)存的指定區(qū)域，就把控制權(quán)轉(zhuǎn)交給它。當(dāng)有硬盤并成功地連接系統(tǒng)后，硬盤自舉程序會(huì)取代本程序。系統(tǒng)沒有安裝硬盤時(shí)，執(zhí)行該段程序。其他故障均為一般性錯(cuò)誤，會(huì)在屏幕上顯示相應(yīng)的錯(cuò)誤信息供用戶檢測。在測試中，熱啟動(dòng)則不對存儲器測試。 熱啟動(dòng)是按復(fù)位組合鍵 CTRL+ALT+DEL后，鍵盤中斷程序復(fù)位標(biāo)志為 1234H， 使系統(tǒng)直接跳轉(zhuǎn)到自檢程序。所以計(jì)算機(jī)系統(tǒng)加電啟動(dòng)后，程序執(zhí)行的首地址總是 0FFFF0H， 和 DOS操作系統(tǒng)無關(guān)。 在啟動(dòng)時(shí)該模塊以文件名部分。 (4) SHELL模塊 即命令處理程序，它是用戶和操作系統(tǒng)的接口，任務(wù)是分析執(zhí)行用戶命令，包括從磁盤上加載程序到內(nèi)存運(yùn)行。當(dāng)應(yīng)用程序調(diào)用這些功能時(shí)，首先要設(shè)置寄存器為指定的參數(shù)，然后由系統(tǒng)調(diào)用這些功能，如，文件和記錄的管理、內(nèi)存管理、字符設(shè)備的輸入/輸出、目錄管理、日期和時(shí)間管理、“假脫機(jī)”、網(wǎng)絡(luò)管理、程序結(jié)束等。根據(jù)塊設(shè)備驅(qū)動(dòng)程序返回的磁盤參量，建立磁盤 I/O參數(shù)表以及設(shè)置缺省的磁盤扇區(qū)緩沖區(qū)等。它由內(nèi)核初始化程序、系統(tǒng)功能調(diào)用程序組成。加載時(shí)該模塊以文件名 裝入內(nèi)存，系統(tǒng)啟動(dòng)成功后該程序消失。它由兩部分組成：系統(tǒng)初始化程序、標(biāo)準(zhǔn)字符和塊設(shè)備驅(qū)動(dòng)程序。引導(dǎo)記錄模塊由三部分組成：軟（硬）盤 I/O參數(shù)表、軟（硬）盤基數(shù)表、引導(dǎo)記錄塊。它們是引導(dǎo)記錄模塊、基本輸入輸出模塊、核心模塊和SHELL模塊。大部分病毒都是在一定條件下才會(huì)觸發(fā)其表現(xiàn)部分的。 3. 表現(xiàn)部分是病毒間差異最大的部分，前兩部分是為這部分服務(wù)的。 2. 傳染部分作用是將病毒代碼復(fù)制到目標(biāo)上去。 計(jì)算機(jī)病毒的結(jié)構(gòu) 計(jì)算機(jī)病毒在結(jié)構(gòu)上有著共同性，一般由引導(dǎo)部分、傳染部分、表現(xiàn)部分幾部分組成。 5. 網(wǎng)絡(luò)病毒指基于在網(wǎng)上運(yùn)行和傳播，影響和破壞網(wǎng)絡(luò)系統(tǒng)的病毒。 3. 按破壞性可分為良性病毒和惡性病毒。 外殼病毒將自身附在正常程序的開頭或結(jié)尾，相當(dāng)于給正常程序加了個(gè)外殼。 操作系統(tǒng)病毒可用其自身部分加入或替代操作系統(tǒng)的部分功能。因此這類病毒只攻擊某些特定程序，針對性強(qiáng)。這樣剛剛生成的可執(zhí)行文件便已經(jīng)帶毒了。 源碼型病毒較為少見，亦難以編寫、傳播。 混合型病毒兼有以上兩種病毒的特點(diǎn)，既感染引導(dǎo)區(qū)又感染文件，因此這種病毒更易傳染。 其特點(diǎn)是附著于正常程序文件中，成為程序文件的一個(gè)外殼或部件。 文件型病毒一般只傳染磁盤上的可執(zhí)行文件 COM，EXE等。 引導(dǎo)型病毒利用軟盤的啟動(dòng)原理工作，修改系統(tǒng)啟動(dòng)扇區(qū)。另據(jù)我國公安部統(tǒng)計(jì)，國內(nèi)以 4種 /月的速度遞增。無論多少種，病毒的數(shù)量仍在不斷增加。 給病毒起名的方法不外乎以下幾種： 按病毒出現(xiàn)的地點(diǎn)，如“ ZHENJIANG_JES”其樣本最先來自鎮(zhèn)江某用戶；按病毒中出現(xiàn)的人名或特征字符，如“ ZHANGFANG1535”， “DISK KILLER”，“上海一號”；按病毒發(fā)作時(shí)的癥狀命名，如“火炬”，“蠕蟲”；按病毒發(fā)作的時(shí)間，如“ NOVEMBER 9”在 11月 9日發(fā)作；有些名稱包含病毒代碼的長度，如“ 系列， 等。有時(shí)對一種病毒，不同的軟件會(huì)報(bào)出不同的名稱。 . 網(wǎng)絡(luò)病毒破壞網(wǎng)絡(luò)系統(tǒng)，非法使用