計算機病毒的傳染機制

　　1．計算機病毒的傳染方式

　　所謂傳染是指計算機病毒由一個載體傳播到另一個載體，由一個系統進入另一個系統的過程。這種載體一般為磁盤或磁帶，它是計算機病毒賴以生存和進行傳染的媒介。但是，只有載體還不足以使病毒得到傳播。促成病毒的傳染還有一個先決條件，可分為兩種情況，或者叫做兩種方式。

　　其中一種情況是，用戶在進行拷貝磁盤或文件時，把一個病毒由一個載體復制到另一個載體上。或者是通過網絡上的信息傳遞，把一個病毒程序從一方傳遞到另一方。這種傳染方式叫做計算機病毒的被動傳染。

　　另外一種情況是，計算機病毒是以計算機系統的運行以及病毒程序處於激活狀態為先決條件。在病毒處於激活的狀態下，只要傳染條件滿足，病毒程序能主動地把病毒自身傳染給另一個載體或另一個系統。這種傳染方式叫做計算機病毒的主動傳染。

　　2．計算機病毒的傳染過程

　　對於病毒的被動傳染而言，其傳染過程是隨著拷貝磁盤或文件工作的進行而進行的，而對於計算機病毒的主動傳染而言，其傳染過程是這樣的：在系統運行時，病毒通過病毒載體即系統的外存儲器進入系統的內存儲器，常駐內存，並在系統內存中監視系統的運行。

　　在病毒引導模塊將病毒傳染模塊駐留內存的過程中，通常還要修改系統中斷向量入口地址（例如INT 13H或INT 21H），使該中斷向量指向病毒程序傳染模塊。這樣，一旦系統執行磁盤讀寫操作或系統功能調用，病毒傳染模塊就被激活，傳染模塊在判斷傳染條件滿足的條件下， 利用系統INT 13H讀寫磁盤中斷把病毒自身傳染給被讀寫的磁盤或被加載的程序，也就是實施病毒的傳染，然後再轉移到原中斷服務程序執行原有的操作。

　　計算機病毒的傳染方式基本可分為兩大類，一是立即傳染，即病毒在被執行到的瞬間，搶在宿主程序開始執行前，立即感染磁盤上的其他程序，然後再執行宿主程序；二是駐留內存並伺機傳染，內存中的病毒檢查當前系統環境，在執行一個程序或D1R等操作時傳染磁盤上的程序，駐留在系統內存中的病毒程序在宿主程序運行結束後， 仍可活動，直至關閉計算機。

　　3．系統型病毒傳染機理

　　計算機軟硬盤的配置和使用情況是不同的。軟盤容量小，可以方便地移動交換使用，在計算機運行過程中可能多次更換軟盤；硬盤作為固定設備安裝在計算機內部使用，大多數計算機配備一只硬盤。系統型病毒針對軟硬盤的不同特點采用了不同的傳染方式。

　　系統型病毒利用在開機引導時竊獲的INT 13控制權，在整個計算機運行過程中隨時監視軟盤操作情況， 趁讀寫軟盤的時機讀出軟盤引導區，判斷軟盤是否染毒，如未感染就按病毒的寄生方式把原引導區寫到軟盤另一位置，把病毒寫入軟盤第一個扇區，從而完成對軟盤的傳染。染毒的軟盤在軟件交流中又會傳染其他計算機。由於在每個讀寫階段病毒都要讀引導區，既影響微機工作效率，又容易因驅動器頻繁尋道而造成物理損傷。

　　系統型病毒對硬盤的傳染往往是在計算機上第一次使用帶毒軟盤進行的，具體步驟與軟盤傳染相似，也是讀出引導區判斷後寫入病毒。

　　4．文件型病毒傳染機理

　　當執行被傳染的.COM或.EXE可執行文件時，病毒駐人內存。一旦病毒駐人內存，便開始監視系統的運行。當它發現被傳染的目標時，進行如下操作：

　　（1）首先對運行的可執行文件特定地址的標識位信息進行判斷是否已感染了病毒；

　　（2）當條件滿足，利用INT 13H將病毒鏈接到可執行文件的首部或尾部或中間，並存入磁盤中；

　　（3）完成傳染後，繼續監視系統的運行，試圖尋找新的攻擊目標。

　　文件型病毒通過與磁盤文件有關的操作進行傳染，主要傳染途徑有：

　　（1）加載執行文件

　　文件型病毒駐內存後，通過其所截獲的INT 21中斷檢查每一個加載運行可執行文件進行傳染。

　　加載傳染方式每次傳染一個文件，即用戶准備運行的那個文件，傳染不到那些用戶沒有使用的文件。

　　（2）列目錄過程

　　一些病毒編制者可能感到加載傳染方式每次傳染一個文件速度較慢，不夠過瘾，於是後來造出通過列目錄傳染的病毒。

　　在用戶列硬盤目錄的時候，病毒檢查每一個文件的擴展名，如果是可執行文件就調用病毒的傳染模塊進行傳染。

　　這樣病毒可以一次傳染硬盤一個於目錄下的全部可執行文件。DIR是最常用的DOS命令，每次傳染的文件又多，所以病毒的擴散速度很快，往往在短時間內傳遍整個硬盤。

　　對於軟盤而言，由於讀寫速度比硬盤慢得多，如果一次傳染多個文件所費時間較長，容易被用戶發現，所以病毒“忍痛放棄了一些傳染機會，采用列一次目錄只傳染一個文件的方式。

　　（3）創建文件過程

　　創建文件是DOS內部的一項操作，功能是在磁盤上建立一個新文件。 已經發現利用創建文件過程把病毒附加到新文件上去的病毒，這種傳染方式更為隱蔽狡猾。

　　因為加載傳染和列目錄傳染都是病毒感染磁盤上原有的文件，細心的用戶往往會發現文件染毒前後長度的變化，從而暴露病毒的蹤跡。而創建文件的傳染手段卻造成了新文件生來帶毒的奇觀。

　　好在一般用戶很少去創建一個可執行文件，但經常使用各種編譯、連接工具的計算機專業工作者應該注意文件型病毒發展的這一動向，特別在商品軟件最後生成階段嚴防此類病毒。

文章來自:電腦萬事通_www.mypchelp.cn, 詳文參考：http://www.mypchelp.cn/it/200712/528.shtml