【正文】 逾萬片免費郵送到世界各地 ， 但在說明書中要挾用戶 ， 使用之前必須向他支付 378美元 ， 否則將會損壞用戶的其他程序 。 但是 ， 當(dāng)用戶啟動該數(shù)據(jù)庫 90次時 ， 突然它將磁盤上的所有文件加密 。 與病毒相關(guān)的幾個概念 ?5． 后門 （ Backdoor） 后門是程序或系統(tǒng)內(nèi)的一種功能 ， 它允許沒有賬號的用戶或普通受限用戶使用高權(quán)限訪問甚至完全控制系統(tǒng) 。 后門不是計算機病毒 ， 但顯然后門也會成為別有用心者的利器 。諾依曼在 《 復(fù)雜自動機組織論 》 中提出“一部事實上足夠復(fù)雜的機器能夠復(fù)制自身”。 1975年， 《 Shock Wave Rider》 (John Bruner)出現(xiàn)了 “ Virus”一詞。 1983年 11月 3日，美國計算機安全學(xué)術(shù)討論會上， Frederick Cohen博士首次提出計算機病毒的概念。在其后的一周內(nèi)，在 5次病毒試驗中，平均 30分鐘病毒就可使計算機系統(tǒng)癱瘓。 Brain病毒首次使用了偽裝的手段來迷惑計算機用戶 。 在這一年 ， 中國的公安部成立了計算機病毒研究小組 ， 并派出專業(yè)技術(shù)人員到中科院計算所和美國 、 歐洲進(jìn)修 、 學(xué)習(xí)計算機安全技術(shù) ， 標(biāo)志著計算機病毒引起了中國政府的警惕 。出現(xiàn)了能自我加解密的病毒 ―― Cascade， Stoned病毒和 PingPong病毒等等。 計算機病毒的發(fā)展簡史 1988年 11月 2日，美國康奈爾大學(xué)的學(xué)生 Morris將自己編制的蠕蟲程序在幾小時內(nèi)造成 Inter網(wǎng)絡(luò)的堵塞， 6000多臺計算機被感 染，造成巨大的損失。 《 人民日報 》 就 Morris 事件報道了關(guān)于病毒的事件。 1989年，病毒家族開始出現(xiàn)了，比如 Yankee病毒， Eddie病毒，F(xiàn)rodo病毒（第一個全秘密寄生的文件病毒）。 計算機病毒的發(fā)展簡史 1989年 4月西南鋁廠首先發(fā)現(xiàn)小球病毒 ， 計算機病毒開始侵入我國 。 1990年 ， 出現(xiàn)了第一個多態(tài)病毒 Chameleon、 使用多級加密解密和反跟蹤技術(shù)的病毒 Whale等 ， 可以用于開發(fā)病毒的工具軟件 ——Virus Production Factory， 專門為病毒制造者開設(shè)的進(jìn)行病毒信息交流和病毒交換的 BBS。 1991年 ， 發(fā)現(xiàn)了復(fù)合多態(tài)病毒 Tequila；不存在于某個文件或引導(dǎo)扇區(qū)中的 DIRII病毒；攻擊網(wǎng)絡(luò)的 GPI病毒等 。 中國的瑞星公司成立 ， 推出了瑞星防病毒卡 。 在芬蘭發(fā)現(xiàn)了首例 Windows病毒 。 1997年 2月 ， 第一個 Linux環(huán)境下的病毒 Bliss出現(xiàn) 。 1998年 6月 ， CIH病毒被發(fā)現(xiàn) 。 1999年 ， 通過郵件進(jìn)行病毒傳播開始成為病毒傳播的主要途徑 ， 而宏病毒仍然是最流行的病毒 。 1993年、 1994年，采用密碼技術(shù)、編寫技巧高超的隱蔽型病毒和多態(tài)性病毒相繼出現(xiàn)，也出現(xiàn)了感染源代碼文件的 SrcVir病毒和感染OBJ文件的 Shifter病毒。大量使用腳本技術(shù)的病毒出現(xiàn)，腳本技術(shù)和蠕蟲、傳統(tǒng)的病毒、木馬程序以及操作系統(tǒng)的安全漏洞相結(jié)合，給病毒技術(shù)帶來了一個新的發(fā)展高峰。 2022年，中國的金山公司發(fā)布金山毒霸，金山公司開始進(jìn)入殺毒軟件市場。 僅 Code Red病毒所造成的經(jīng)濟損失，就遠(yuǎn)遠(yuǎn)超過過去 6年來任何一年的年度損失。 ? 隨著計算機網(wǎng)絡(luò)在中國的普及，計算機病毒在中國的出現(xiàn)逐步與世界“接軌”。 計算機病毒的產(chǎn)生及相關(guān)社會問題 按照病毒編造者的目的 ， 病毒大概有以下幾種來源： 1． 研究 、 興趣等目的； 2． 游戲 、 惡作劇 、 表現(xiàn)欲等目的； 3． 軟件保護(hù)目的； 4． 破壞 、 報復(fù)目的； 5． 軍事目的 制造計算機病毒者 ， 歸納起來有 6類人： 1． 學(xué)生 、 研究生和學(xué)者 ； 2． 玩家； 3． 電腦學(xué)會 4． 軟件商； 5． 職員； 6． 恐怖組織 計算機病毒防治的基本方法 ?利用相應(yīng)的檢測和殺毒軟件 ?手工檢測、殺除、預(yù)防計算機病毒 假定或猜測過程 ——確認(rèn)過程 —— ——分析過程 ——解決過程 計算機病毒演示 DOS環(huán)境下的病毒演示 ?火炬病毒 ?救護(hù)車病毒 ? Rescue ? Suicide 火炬病毒 ? 該病毒發(fā)作時，在屏幕顯示五把燃燒的火炬。 Rescue病毒 ? 病毒發(fā)作時，顯示一些圖形和文字。 救護(hù)車病毒 ? 該病毒發(fā)作時，從屏幕左下角有一輛救護(hù)車跑過。 Aliance病毒 ? 該病毒發(fā)作時，顯示一個對話框。 Concept病毒 ? 該病毒感染 Win Word后，將在屏幕上彈出一個對話框。 因此 ，了解磁盤的結(jié)構(gòu)及其數(shù)據(jù)組織的特點 ， 對于檢測和防治計算機病毒具有十分重要的意義 。 它駐留在系統(tǒng)盤的 0面 0道 l扇區(qū) ， 在啟動計算機時 ， 它首先被自動讀入內(nèi)存 ， 然后由它負(fù)責(zé)把 DOS的其他程序調(diào)入內(nèi)存 。 它提供對計算機輸入／輸出設(shè)備進(jìn)行管理的程序 ， 被固化在主機板上的 ROM中 ， 是計算機硬件與軟件的最低層的接口 。 其功能是初始化操作系統(tǒng) ， 并提供DOS系統(tǒng)與 ROM BIOS之間的接口 。 它主要提供設(shè)備管理 、 內(nèi)存管理 、 磁盤文件及目錄管理的功能 ， 這些功能可以通過所謂的系統(tǒng)功能調(diào)用 INT 21H來使用 ， 它是用戶程序與計算機硬件之間的高層軟件接口 。 它是 DOS調(diào)入內(nèi)存的最后一個模塊 ，它的任務(wù)是負(fù)責(zé)接收和解釋用戶輸入的命令 ， 可以執(zhí)行 DOS的所有內(nèi) 、 外部命令和批命令 。 DOS的組成、啟動及內(nèi)存分配 用戶命令 用戶 用戶程序 ROM BIOS 引導(dǎo)程序 硬件 磁盤啟動 圖 用戶同 DOS及 DOS四大程序模塊之間的執(zhí)行關(guān)系和層次關(guān)系圖 DOS的啟動過程主要有以下一些步驟： （ 1） 在系統(tǒng)復(fù)位或加電時 ， 計算機程序的指令指針自動從內(nèi)存地址0FFFF： 0000H外開始執(zhí)行 ， 該處含有一條無條件轉(zhuǎn)移指令 ， 使控制轉(zhuǎn)移到系統(tǒng)的 ROM板上 ， 執(zhí)行 ROM BIOS中的系統(tǒng)自檢和最初的初始化工作程序 ，以及建立 INT 1FH以前的中斷向量表 。 （ 2） 引導(dǎo)記錄用于檢查系統(tǒng)所規(guī)定的兩個文件 否按規(guī)定的位置存于啟動盤中 ， 如符合要求就把它們讀入內(nèi)存地址0060:0000H， 否則啟動盤被認(rèn)為不合法 ， 啟動失敗 。 其主要過程是： ① 建立新的磁盤基數(shù)表并修改 INT lEH向量地址指向該磁盤基數(shù)表 。 ③ 修改 0lH， 03H， 04H和 1BH中斷入口 。 ⑤ 將系統(tǒng)初始化程序移到內(nèi)存高端并將 。 DOS的核心部分 ， 它在接受控制以后 ， 也進(jìn)行一系列的初始化工作 ， 這些工作包括：初始化 DOS內(nèi)部表和工作區(qū) 、 初始化 DOS的中斷向量 20H～ 2EH、 建立磁盤輸入／輸出參數(shù)表以及設(shè)置磁盤緩沖區(qū)和文件控制塊等 。 ⑦ 初始化程序檢查系統(tǒng)盤上的系統(tǒng)配置程序 ， 如果存在 ，則執(zhí)行該程序 ， 按配置命令建立 DOS的運行環(huán)境：設(shè)置磁盤緩沖區(qū)大小 、能同時打開的句柄文件個數(shù) 、 加載可安裝的設(shè)備驅(qū)動程序等 。至此 。若系統(tǒng)盤上不存在該文件 ， 則顯示日期和時間等待用戶輸入 ， 顯示DOS提示符 。 至此 ， DOS的整個啟動過程全部結(jié)束 ， 系統(tǒng)處于命令接受狀態(tài) 。 在計算機通常的工作方式 （ 實方式 ） 下 ， 總體上來說 ， DOS可以管理的內(nèi)存空間為 1 MB。 而 RAM區(qū)又分為系統(tǒng)程序 、 數(shù)據(jù)區(qū)和用戶程序區(qū)兩部分 。 從內(nèi)存絕對地址 0040:0000H～ 0040:00FFH開始存放一些重要的數(shù)據(jù) ，這些數(shù)據(jù)是由 ROM BIOS程序在引導(dǎo)過程中裝入的 ， 記錄了有關(guān)系統(tǒng)的設(shè)備配置和存儲單元的系統(tǒng)參數(shù) ， 它們是提供給 ROM BIOS例行程序在進(jìn)行設(shè)備操作時必備的重要數(shù)據(jù) 。 有些病毒程序通過調(diào)入內(nèi)皴高端并修改40:13～ 40:14內(nèi)存而駐留內(nèi)存；地址為 40:6C～ 40:6F的 4個字節(jié)為時鐘數(shù)據(jù)區(qū)；前兩個字節(jié) （ 40:6C～ 40:6D） 為 0～ 65535之間的一個數(shù) ， 由8253定時器每 55 ms調(diào) 1NT 8H使數(shù)值加 1；后兩個字節(jié) （ 40:6E～ 40:6F）為小時數(shù) ， 當(dāng)計數(shù)值滿 65 535時 （ 恰好 1小時 ） ， 小時數(shù)加 1。 圖 DOS內(nèi)存分布圖 中斷及其處理過程 1. 中斷的概念 2. 中斷優(yōu)先權(quán) 3. 中斷向量表 4. 中斷處理過程 5. 與病毒有關(guān)的中斷 1. 中斷的概念 1. 中斷的概念 所謂中斷 ， 是指 CPU對系統(tǒng)中發(fā)生的無一定時序關(guān)系的隨機事件的響應(yīng) ， 也就是在 CPU工作過程中 ， 當(dāng)出現(xiàn)某種較為緊急的事件時 ， 令 CPU暫時停止當(dāng)前的工作 ， 轉(zhuǎn)去執(zhí)行處理此事件的程序 。 這個過程叫做中斷 。使用中斷，系統(tǒng)可在分時處理、實時操作、故障處理等方面得到提高。根據(jù)中斷源的不同，可以把中斷分為硬件中斷和軟件中斷兩大類，而硬件中斷又可以分為外部中斷和內(nèi)部中斷兩類。 3. 中斷向量表 為了有效地管理各種中斷，系統(tǒng)初始化之后在內(nèi)存的最低端建立了一張中斷向量表，它占有 0000H到 03FFH的 1K地址空間。整個中斷向量表中可以存放 256個中斷向量地址，編號從 00到 255。 ⑴ INT 8H時鐘中斷 ⑵ INT 10H顯示器驅(qū)動程序 ⑶ INT l3H磁盤 I／ O中斷 ⑷ INT lAH日期 /時鐘 I/O中斷 ⑸ INT lCH定時器斷續(xù)中斷 ⑹ INT 20H程序正常結(jié)束中斷和 INT 27H退出且駐留中斷 ⑺ INT 24H標(biāo)準(zhǔn)錯誤處理程序入口地址中斷 ⑻ INT 25H、 INT 26H磁盤邏輯扇區(qū)讀／寫中斷 ⑼ INT 21H系統(tǒng)功能調(diào)用 .COM文件和 .EXE文件結(jié)構(gòu)和其加載機制 ? 文件型病毒專門入侵可執(zhí)行文件。可執(zhí)行文件是計算機病毒傳染的主要對象之一。進(jìn)入運行狀態(tài)的病毒再去擴散感染其他文件，以致磁盤所有可執(zhí)行文件均被感染甚至文件被毀壞。程序段前綴的一般結(jié)構(gòu)如圖 。 2. COM文件的結(jié)構(gòu)及其加載 ? COM文件結(jié)構(gòu)簡單 ， 磁盤上對應(yīng)于該文件的所有信息都是要被加載的對像 ， 沒有控制加載信息 。 ? 加載 .COM文件后 ， CPU內(nèi)部寄存器的初始值被固定地設(shè)置成如下狀態(tài)： ?4個段寄存器 CS、 ES、 DS、 SS都指向 PSP的段； ?指令指針 IP的值被設(shè)置指向 0100H； ?堆棧指針寄存器 SP的初始位被設(shè)置成 FFFFH或當(dāng)前可用內(nèi)存字節(jié)數(shù)減 2； ?堆棧的棧頂放入一個字 0000H， 為 .COM文件以 RET返回 DOS作準(zhǔn)備； ?BX﹑ CX寄存器的內(nèi)容含有 .COM文件的長度 ， 一般情況下 BX等于 0。 當(dāng)生成一個 .EXE文件時 ， 存放在磁盤上的執(zhí)行代碼凡是涉及到段地址的操作數(shù)都尚未確定 ， 在 DOS加載該程序時 ，需要根據(jù)當(dāng)前內(nèi)存空間的起始段值對每一個段進(jìn)行重定位 ， 使這些段操作數(shù)具有確定的段地址 。 ? 文件頭位于 .EXE文件的首部 ， 它包括加載 .EXE文件時所必需的控制信息和進(jìn)行段重定位的重定位信息表 。 文件頭通常的長度是 512字節(jié)的整數(shù)倍 ， 重定位的項數(shù)越多 ， 其占用的字節(jié)數(shù)越多 。 偏移值 （十六進(jìn)制） 字段含義 0～ 1 EXE文件的標(biāo)志： 4DH、 5AH 2～ 3 最后一個扇區(qū)的字節(jié)數(shù) 4～ 5 包含文件頭在內(nèi)的文件頁數(shù) （ 以 512字節(jié)為一頁 ） 6～ 7 重定位的項數(shù) 8～ 9 文件頭的節(jié)數(shù) （ 16字節(jié)為一節(jié) ） 0A～ 0B 程序運行所需最小節(jié)數(shù) 0C～ 0D 程序運行所需最大節(jié)數(shù) 0E～ 0F 被裝入模塊中堆棧段相對段值 10～ 11 被裝入模塊初始的 SP值 12～ 1