8.51病毒概述 文件型病毒感染原理 对非常驻型病毒而言,只要一执行中毒的程序文件,病毒便立 即寻找磁盘中尚未感染病毒的文件,若找到了便加以感染。一般而言, 对于.cOM型文件,病毒替换它的第一条指令;对于.ExE文件,病毒改 变入口指针。 而常驻型病毒必须常驻内存,才能达到感染其他文件的目的。在 每一个程序文件在执行时,都会调用|NT2H中断命令,所以病毒必 须拦截INT21H的调用,使其先通过病毒的程序,再去执行真正的INT 21H服务程序。这样,每个要被执行的程序文件都要先通过病毒“检 查”是否已中毒,若未中毒则病毒感染该文件。 复合型病毒感染原理 就启动动作来说,假设以感染复合型病毒的磁盘启动,那么病毒 便先潜入内存中,伺机感染其他未中毒的磁盘,而当D0S载入内存后, 病毒再拦截|NT21H已达到感染文件的目的。 第8章网络安全第8章 网络安全 8.5.1 病毒概述 ➢ 文件型病毒感染原理 对非常驻型病毒而言，只要一执行中毒的程序文件，病毒便立 即寻找磁盘中尚未感染病毒的文件，若找到了便加以感染。一般而言， 对于.COM型文件，病毒替换它的第一条指令；对于.ExE文件，病毒改 变入口指针。 而常驻型病毒必须常驻内存，才能达到感染其他文件的目的。在 每一个程序文件在执行时，都会调用INT 21H中断命令，所以病毒必 须拦截INT 21H的调用，使其先通过病毒的程序，再去执行真正的INT 21H服务程序。这样，每个要被执行的程序文件都要先通过病毒“检 查”是否已中毒，若未中毒则病毒感染该文件。 ➢ 复合型病毒感染原理 就启动动作来说，假设以感染复合型病毒的磁盘启动，那么病毒 便先潜入内存中，伺机感染其他未中毒的磁盘，而当DOS载入内存后， 病毒再拦截INT 21H已达到感染文件的目的