【文章标题】: 亲密接触-浅析病毒基础
【文章作者】: CCDeath
【作者邮箱】: CCDeath@163.com
【操作平台】: 盗版中的最低版本XP
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
高手飘过,针对刚开始想接触病毒...以前的学习笔记...我只是整理了一下...
一.计算机病毒的本质
先热身后看图:
病毒程序就是non-stopping copy or 执行,她的一个爱好是传染。利用计算机系统使用的过程中出现的频繁中断或操作,通过修
改地址,使病毒程序指令程序插入中断程序与正常程序之间。好了,来举个图吧!
-------------------- -------------------
| 系统加电复位 | | 系统加电复位 |
| | | | | |
| V | | V | JMP跳到执行病毒那里
| 进入ROM-BIOS | | 进入ROM-BIOS | ------------------->|-------------------|
| | | ------------------- | 读引导区病毒 |
| V | | | | | |
| 读引导至0:7C00H | | | | V |
| | | | | | 执行病毒程序 |
| V | | | | | |
| 系统复位 | | | | V |
| | | | | | 修改中断向量 |
| V | | | | | |
| 读COMMAND.COM | | | | V |
| | | | | 放了颗炸弹又回来了 | copy病毒/感染磁盘|
| V | | |<--------------------|-------------------|
| 磁盘完成自举完成| -------------------
-------------------- | 读引导至0:7C00H |
正常DOS自举 | | |
| V |
| 系统复位 |
| {后面一样的} |
-------------------
神经病的DOS自举
二.寄生对象和驻留方式
首先要知道,系统控制权转接是通过物理地址来确定,而引导模块存放磁盘某个固定区域。
病毒就在引导模块中,就能取得控制权,可怕吧!
------------------- 寄生在主引导区(MBR):Master BR
| | -----------------------------MBR病毒 代表: 2708病毒
| | |驻留硬盘分区
| 引导型病毒 |-----------|
| | |
| | |寄生在引导区(BR):Boot Record
------------------ ------------------------------BR病毒 代表:小球病毒
| 驻留硬盘逻辑或软件逻辑0扇区
|
接着,文件病毒是感染可执行文件,最常见莫过于*.exe,.com等文件。将病毒的代码加载到运行程序的文件中
只要运行该程序,病毒就会被激活,同时又会传染给其它文件。跟闽南话一句很相似,近墨者黑
|-----------------|
| | |----------------高端驻留病毒{驻留在内存的高端}
| | |
| |----------|----------------内存控制链表{方便内存管理,使用内存控制块的数据结构跟踪每一个内存分区}
| 文件型病毒 | |
| | |----------------设备程序补丁程序
| | |
| | ----------------不驻留内存型
------------------
|
|最后,下面这个最强,结合上面两种,强强联合,怕怕...
|-----------------|
| |
| 混合型病毒 |----------非常规侵入你的系统,并使用一些加密和变形算法 代表:Fly Wolf病毒
| |
| |
-------------------
三.磁介质处理及硬盘的数据结构
硬盘存储数据是根据电、磁转换原理实现的。为了使磁介质满足数据存储的要求,我们来给她打打抗生素...
|---------------------|
| |
| 第一阶段低级格式化 |------|一般由厂家处理,将盘面划分为:柱面(Cylinder)、磁道(Head)、扇区(Sector).简称CHS.
| | CHS(C->H->S)寻址有一定的限制,最多能访问8GB硬盘,所以现代多采用线性寻址。
|---------------------|
|
|---------------------|
| |
| 第二阶段分区 |------|我们经常使用不同的分区来使用硬盘,比如C盘为系统盘,D盘工具盘等。但最多只能划分四个
| | 主分区(Master Partition){通常来装OS的C盘},其余物理空间比如E:盘,这些就是逻辑分区.
|---------------------|
|
|---------------------|
| |
| 第三阶段高级格式化 |------|我们上面分完区,能否使用呢?不行滴,因为还没建立存储系统,由我们很熟悉的Format来
| | 完成,建立分区引导目录(DOS Boot Record)、文件分配表(File Allocation Table)、文件目
|---------------------| 录表(File Directory Table)、数据区(DATA)
硬盘数据结构比较复杂,希望在网找找哈...主分为主引导扇区、主分区表等等...
四.看一下常见的恶意程序
可以分为依赖主机型和独立主机型的。依赖主机型,很明显就是必须系统程序或应用程序运行后,她才能发飙...独立主机型
这种很明显就是搞台独的...
|---------------------| |------后门{系统登录方法,骗过系统的安全设置}
| | |
| | |------特洛伊木马{表面是有用的软件,其实具有破坏性程序,典型的败絮其中...}
| 依赖主机型 |------|
| | |------逻辑炸弹{虽说不传播,但是在特定逻辑条件下,就会产生破坏作用,也不是个好鸟..}
| | |
|---------------------| |------病毒
|
|
|
|
|---------------------| |------蠕虫{从一台机子移动到另外一台机子和自我复制,通常是利用系统的漏洞传播..你更新
| | | 了MS-OS漏洞了吗?}
| | |
| 独立主机型 |------|------细菌{比细菌还小的东西是什么?她儿子...}
| | |
| | |
|---------------------| |------拒绝服务程序
参考书籍《计算机病毒与反病毒技术》张仁斌 等著
《加密与解密》看雪大大
--------------------------------------------------------------------------------
【经验总结】
我只是整理了一下...可能有很多的错误...希望大侠们多多批评与指教....下回继续..
--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!
2007年10月08日 8:40:58
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
