文件型病毒发表评论(0)编辑词条
文件型病毒与引导区型病毒工作的方式是完全不同的, 在各种PC机病毒中, 文件型病毒占的数目最大,传播得广,采用的技巧 也多。文件型病毒是对源文件进行修改,使其成为新的文件。文件型病毒分两类:一种是将病毒加在COM前部,一种是加在文件尾部。 文件型病毒传染的对象主要是.COM和.EXE文件。
文件型病毒原理编辑本段回目录
要了解文件型病毒的原理,首先要了解文件的结构.COM 文件比较简单, 病毒要感染COM文件有两种方法,一种是将病毒加在COM前部,一种是加在 文件尾部,见下图: A B -------- --------------- |-病毒 | |JMP XXXX:XXXX| (原文件的前3字节被修改) -------- --------------- |原文件| ├ 原程序 ┤ -------- -------------- ├ 病毒 ┤ -------------- EXE 文件比较复杂,每个EXE文件都有一个文件头,结构如下: EXE文件头信息 ----------------------------------- ├ 偏移量 ┤ 意义 ┤ ├00h-01h ┤MZ‘EXE文件标记 ┤ ├2h-03h ┤文件长度除512的余数 ┤ ├04h-05h ┤...............商 ┤ ├06h-07h ┤重定位项的个数 ┤ ├08h-09h ┤文件头除16的商 ┤ ├0ah-0bh ┤程序运行所需最小段 数 ┤ ├0ch-0dh ┤..............大..... ┤ ├oeh-0fh ┤堆栈段的段值 (SS) ┤ ├10h-11h ┤........sp ┤ ├12h-13h ┤文件校验和 ┤ ├14h-15h ┤IP ┤ ├16h-17h ┤CS ┤ ├18h-19h ┤............ ┤ ├1ah-1bh ┤............ ┤ ├1ch ┤............ ┤ ----------------------------------- 当DOS加载EXE文件时,根据文件头信息,调入一定长度的文件,设置SS,SP 从CS:IP 开始执行.病毒一般将自己加在文件的末端,并修改CS,IP的值指向病毒起始地址,并修改文件长度信息和SS,SP。词条图册更多图册
→如果您认为本词条还有待完善,请 编辑词条
词条内容仅供参考,如果您需要解决具体问题
(尤其在法律、医学等领域),建议您咨询相关领域专业人士。
0
标签: 文件型病毒
收藏到:
同义词: 暂无同义词
关于本词条的评论 (共0条)发表评论>>