計算機(jī)病毒的邏輯結(jié)構(gòu)和基本機(jī)制

計算機(jī)病毒的邏輯結(jié)構(gòu)和基本機(jī)制計算機(jī)病毒的邏輯結(jié)構(gòu)和基本機(jī)制第1頁主要內(nèi)容病毒狀態(tài)病毒基礎(chǔ)步驟病毒邏輯結(jié)構(gòu)病毒基礎(chǔ)機(jī)制第3章病毒邏輯結(jié)構(gòu)與基礎(chǔ)機(jī)制計算機(jī)病毒的邏輯結(jié)構(gòu)和基本機(jī)制第2頁3.1.1計算機(jī)病毒狀態(tài)計算機(jī)病毒在傳輸過程中存在兩種狀態(tài)，即靜態(tài)和動態(tài)靜態(tài)病毒，是指存在于輔助存放介質(zhì)中計算機(jī)病毒，普通不能執(zhí)行病毒破壞或表現(xiàn)功效，其傳輸只能經(jīng)過文件下載(拷貝)實(shí)現(xiàn)因為靜態(tài)病毒還未被加載、還未進(jìn)入內(nèi)存，不可能獲取系統(tǒng)執(zhí)行權(quán)限病毒之所以處于靜態(tài)，有兩種可能沒有用戶開啟該病毒或運(yùn)行感染了該病毒文件該病毒存在于不可執(zhí)行它系統(tǒng)中當(dāng)病毒完成初始引導(dǎo)，進(jìn)入內(nèi)存后，便處于動態(tài)。動態(tài)病毒本身處于運(yùn)行狀態(tài)，經(jīng)過截流盜用系統(tǒng)中止等方式監(jiān)視系統(tǒng)運(yùn)行狀態(tài)或竊取系統(tǒng)控制權(quán)。病毒主動傳染和破壞作用，都是動態(tài)病毒“杰作”3.1計算機(jī)病毒基礎(chǔ)步驟計算機(jī)病毒的邏輯結(jié)構(gòu)和基本機(jī)制第3頁3.1.1計算機(jī)病毒狀態(tài)計算機(jī)病毒基礎(chǔ)流程與狀態(tài)轉(zhuǎn)換病毒由靜態(tài)轉(zhuǎn)變?yōu)閯討B(tài)過程，稱為病毒開啟。實(shí)際上，病毒開啟過程就是病毒首次激活過程內(nèi)存中動態(tài)病毒又有兩種狀態(tài)：可激活態(tài)和激活態(tài)。當(dāng)內(nèi)存中病毒代碼能夠被系統(tǒng)正常運(yùn)行機(jī)制所執(zhí)行時，動態(tài)病毒就處于可激活態(tài)普通而言，動態(tài)病毒都是可激活系統(tǒng)正在執(zhí)行病毒代碼時，動態(tài)病毒就處于激活態(tài)病毒處于激活態(tài)時，不一定進(jìn)行傳染和破壞；但進(jìn)行傳染和破壞時，必定處于激活態(tài)3.1計算機(jī)病毒基礎(chǔ)步驟計算機(jī)病毒的邏輯結(jié)構(gòu)和基本機(jī)制第4頁3.1.1計算機(jī)病毒狀態(tài)3.1計算機(jī)病毒基礎(chǔ)步驟計算機(jī)病毒基礎(chǔ)流程與狀態(tài)轉(zhuǎn)換計算機(jī)病毒的邏輯結(jié)構(gòu)和基本機(jī)制第5頁3.1.1計算機(jī)病毒狀態(tài)內(nèi)存中病毒還有一個較為特殊狀態(tài)——失活態(tài)普通情況下不會出現(xiàn)這種狀態(tài)，它出現(xiàn)普通是因為用戶對病毒干預(yù)(用殺毒軟件或手工方法)處于失活態(tài)病毒不可能進(jìn)行傳染或破壞，它與靜態(tài)病毒不一樣僅在于病毒代碼在內(nèi)存中，但得不到執(zhí)行假如用戶把中止向量表恢復(fù)成正確值，修改中止向量表動態(tài)病毒就失活了病毒能由激活態(tài)轉(zhuǎn)變?yōu)槭Щ顟B(tài)，也就是可激活態(tài)病毒可觸發(fā)性被破壞，處于激活態(tài)病毒普通不會自己轉(zhuǎn)變?yōu)槭Щ顟B(tài)，失活態(tài)出現(xiàn)必定是有外在干預(yù)對于處于不一樣狀態(tài)病毒，應(yīng)采取不一樣分析、去除伎倆3.1計算機(jī)病毒基礎(chǔ)步驟計算機(jī)病毒的邏輯結(jié)構(gòu)和基本機(jī)制第6頁3.1.2計算機(jī)病毒基礎(chǔ)步驟計算機(jī)病毒要完成一次完整傳輸破壞過程，必須經(jīng)過以下幾個步驟：分發(fā)拷貝階段潛伏繁殖階段破壞表現(xiàn)階段在任何一個步驟(階段)都能夠抑制病毒傳輸、蔓延，或者去除病毒咱們應(yīng)該盡可能地在病毒進(jìn)行破壞性攻擊之前切斷病毒傳染源、抑制病毒傳輸蔓延3.1計算機(jī)病毒基礎(chǔ)步驟計算機(jī)病毒的邏輯結(jié)構(gòu)和基本機(jī)制第7頁3.2.1一個簡單計算機(jī)病毒一個簡單DOS批處理病毒源程序autoexec.bat(假設(shè)從A盤開啟)3.2計算機(jī)病毒基礎(chǔ)結(jié)構(gòu)ECHOOFFREM關(guān)閉命令回顯IFEXISTc:\autoexec.batGOTOVirusREM首先檢驗時機(jī)GOTONo_VirusREM若時機(jī)不成熟則潛伏:VirusREM時機(jī)成熟時(子程序)c:REM轉(zhuǎn)到目標(biāo)盤C盤RENautoexec.batauto.batREM將正常文件更名，準(zhǔn)備冒名頂替COPYa:\autoexec.batc:\REM自我復(fù)制，開始繁殖ECHOHelloWord!REM病毒發(fā)作，表現(xiàn)癥狀:No_VirusREM正常程序入口a:REM轉(zhuǎn)回A盤ECHOONREM打開命令回顯/AUTOREM執(zhí)行正常程序PAUSEREM暫停，等候按任意鍵繼續(xù)計算機(jī)病毒的邏輯結(jié)構(gòu)和基本機(jī)制第8頁3.2.2計算機(jī)病毒邏輯結(jié)構(gòu)計算機(jī)病毒是以當(dāng)代計算機(jī)網(wǎng)絡(luò)系統(tǒng)為環(huán)境而存在并發(fā)展，即計算機(jī)系統(tǒng)軟、硬件環(huán)境決定了計算機(jī)病毒結(jié)構(gòu)，而這種結(jié)構(gòu)是能夠充分利用系統(tǒng)資源進(jìn)行活動最合理表達(dá)有時也把破壞表現(xiàn)模塊中觸發(fā)條件判斷個別作為一個單獨(dú)模塊，稱作觸發(fā)模塊3.2計算機(jī)病毒基礎(chǔ)結(jié)構(gòu)計算機(jī)病毒的邏輯結(jié)構(gòu)和基本機(jī)制第9頁3.2.2計算機(jī)病毒邏輯結(jié)構(gòu)感染標(biāo)志有病毒有一個感染標(biāo)志，又稱病毒署名，但不是全部病毒都有感染標(biāo)志感染標(biāo)志是一些數(shù)字或字符串，它們以ASCII碼方式存放在宿主程序程序里病毒在感染程序之前，普通要查看其是否帶有感染標(biāo)志感染標(biāo)志不但被病毒用來決定是否實(shí)施感染，還被病毒用來實(shí)施坑騙不一樣病毒感染標(biāo)志位置、內(nèi)容都不一樣殺毒軟件能夠?qū)⒏腥緲?biāo)志作為病毒特征碼之一也能夠利用病毒依據(jù)感染標(biāo)志是否進(jìn)行感染這一特征，人為地、主動在文件中添加感染標(biāo)志，從而在某種程度上到達(dá)病毒免疫目標(biāo)3.2計算機(jī)病毒基礎(chǔ)結(jié)構(gòu)計算機(jī)病毒的邏輯結(jié)構(gòu)和基本機(jī)制第10頁3.2.2計算機(jī)病毒邏輯結(jié)構(gòu)引導(dǎo)模塊染毒程序運(yùn)行時，首先運(yùn)行是病毒引導(dǎo)模塊引導(dǎo)模塊基礎(chǔ)動作是：檢驗運(yùn)行環(huán)境，如確定操作系統(tǒng)類型、內(nèi)存容量、現(xiàn)行區(qū)段、磁盤設(shè)置、顯示器類型等參數(shù)將病毒引入內(nèi)存，使病毒處于動態(tài)，并保護(hù)內(nèi)存中病毒代碼不被覆蓋設(shè)置病毒激活條件和觸發(fā)條件，使病毒處于可激活態(tài)，方便病毒被激活后依據(jù)滿足條件調(diào)用感染模塊或破壞表現(xiàn)模塊3.2計算機(jī)病毒基礎(chǔ)結(jié)構(gòu)計算機(jī)病毒的邏輯結(jié)構(gòu)和基本機(jī)制第11頁3.2.2計算機(jī)病毒邏輯結(jié)構(gòu)感染模塊是病毒實(shí)施感染動作個別，負(fù)責(zé)實(shí)現(xiàn)病毒感染機(jī)制感染模塊主要功效以下：尋找感染目標(biāo)檢驗?zāi)繕?biāo)中是否存在感染標(biāo)志或設(shè)定感染條件是否滿足假如沒有感染標(biāo)志或條件滿足，進(jìn)行感染，將病毒代碼放入宿主程序不論是文件型病毒還是引導(dǎo)型病毒，其感染過程總來說是相同，分為三步：進(jìn)駐內(nèi)存、判斷感染條件、實(shí)施感染感染條件控制病毒感染動作、控制病毒感染頻率：頻繁感染，輕易讓用戶發(fā)覺；苛刻感染條件，又讓病毒放棄了眾多傳輸機(jī)會3.2計算機(jī)病毒基礎(chǔ)結(jié)構(gòu)計算機(jī)病毒的邏輯結(jié)構(gòu)和基本機(jī)制第12頁3.2.2計算機(jī)病毒邏輯結(jié)構(gòu)破壞模塊負(fù)責(zé)實(shí)施病毒破壞動作，其內(nèi)部是實(shí)現(xiàn)病毒編寫者預(yù)定破壞動作代碼病毒破壞力取決于破壞模塊破壞模塊造成各種異?，F(xiàn)象，所以，該模塊又被稱為病毒表現(xiàn)模塊計算機(jī)病毒破壞現(xiàn)象和表現(xiàn)癥狀因詳細(xì)病毒而異。計算機(jī)病毒破壞行為和破壞程度，取決于病毒編寫者主觀愿望和技術(shù)能力觸發(fā)條件控制病毒破壞動作，控制病毒破壞頻率，使病毒在隱蔽狀態(tài)下實(shí)施感染病毒觸發(fā)條件各種多樣，比如，特定日期觸發(fā)、特定鍵盤按鍵輸入，等等，都能夠作為觸發(fā)條件3.2計算機(jī)病毒基礎(chǔ)結(jié)構(gòu)計算機(jī)病毒的邏輯結(jié)構(gòu)和基本機(jī)制第13頁3.3.1病毒實(shí)施感染前提條件病毒感染必要條件是病毒代碼在此次開啟計算機(jī)后，最少被執(zhí)行過一次病毒感染還有一個必要條件，即必須要有傳染目標(biāo)——病毒宿主病毒在以下情況下有可能被首次執(zhí)行染有引導(dǎo)型病毒磁盤在開啟計算機(jī)時文件型病毒病毒代碼在執(zhí)行染毒文件時被執(zhí)行初始化批處理開啟病毒，或利用系統(tǒng)初始化配置文件開啟項開啟病毒W(wǎng)in32病毒借助Windows注冊表特殊鍵值，在開啟Windows時隨之開啟3.3計算機(jī)病毒傳輸機(jī)制計算機(jī)病毒的邏輯結(jié)構(gòu)和基本機(jī)制第14頁3.3.2病毒感染對象和感染過程感染對象寄生在磁盤引導(dǎo)扇區(qū)寄生在可執(zhí)行文件宏病毒和腳本病毒是比較特殊病毒，是經(jīng)過打開Office文檔或瀏覽網(wǎng)頁等用戶行為而獲取執(zhí)行權(quán)一些廣義下病毒，如蠕蟲，主要寄生在內(nèi)存中，并不感染引導(dǎo)扇區(qū)和文件3.3計算機(jī)病毒傳輸機(jī)制計算機(jī)病毒的邏輯結(jié)構(gòu)和基本機(jī)制第15頁3.3.2病毒感染對象和感染過程傳染方式所謂傳染，是指計算機(jī)病毒由一個載體傳輸?shù)搅硪粋€載體，由一個系統(tǒng)進(jìn)入另一個系統(tǒng)過程只有載體還不足以使病毒得到傳輸。促成病毒傳染還有一個先決條件，可分為兩種情況，或者稱作兩種方式用戶在進(jìn)行拷貝磁盤或文件時，把一個病毒由一個載體復(fù)制到另一個載體上；或者是經(jīng)過網(wǎng)絡(luò)上信息傳遞，把一個病毒程序從一方傳遞到另一方。這種傳染方式稱作計算機(jī)病毒被動傳染計算機(jī)病毒是以計算機(jī)系統(tǒng)運(yùn)行以及病毒程序處于激活態(tài)為先決條件。當(dāng)病毒處于激活態(tài)時，只要傳染條件滿足，病毒程序就能主動地把病毒本身傳染給另一個載體或另一個系統(tǒng)。這種傳染方式稱作計算機(jī)病毒主動傳染3.3計算機(jī)病毒傳輸機(jī)制計算機(jī)病毒的邏輯結(jié)構(gòu)和基本機(jī)制第16頁3.3.2病毒感染對象和感染過程傳染過程對于病毒被動傳染而言，其傳染過程是伴隨拷貝磁盤或文件工作進(jìn)行而進(jìn)行對于計算機(jī)病毒主動傳染而言，其傳染過程普通是：在系統(tǒng)運(yùn)行時，病毒經(jīng)過病毒載體即系統(tǒng)外存放器進(jìn)入系統(tǒng)內(nèi)存放器，常駐內(nèi)存，并在系統(tǒng)內(nèi)存中監(jiān)視系統(tǒng)運(yùn)行在病毒引導(dǎo)模塊將病毒傳染模塊駐留內(nèi)存過程中，通常還要修改系統(tǒng)中止向量入口地址，使該中止向量指向病毒程序傳染模塊一旦系統(tǒng)執(zhí)行磁盤讀寫操作或系統(tǒng)功效調(diào)用，病毒傳染模塊就被激活，傳染模塊在判斷傳染條件滿足條件下，把病毒本身傳染給被讀寫磁盤或被加載程序3.3計算機(jī)病毒傳輸機(jī)制計算機(jī)病毒的邏輯結(jié)構(gòu)和基本機(jī)制第17頁3.3.2病毒感染對象和感染過程計算機(jī)病毒實(shí)施感染過程基礎(chǔ)可分為兩大類馬上傳染病毒在被執(zhí)行到瞬間，搶在宿主程序開始執(zhí)行前，馬上感染磁盤上其它程序，然后再執(zhí)行宿主程序駐留內(nèi)存并伺機(jī)傳染內(nèi)存中病毒檢驗當(dāng)前系統(tǒng)環(huán)境，在執(zhí)行一個程序或DIR等操作時感染磁盤上程序，駐留在系統(tǒng)內(nèi)存中病毒程序在宿主程序運(yùn)行結(jié)束后，仍可活動，直至關(guān)閉計算機(jī)總之，計算機(jī)病毒感染過程普通有三步：(1)當(dāng)宿主程序運(yùn)行時，截取控制權(quán)；(2)尋找感染突破口；(3)將病毒代碼放入宿主程序病毒攻擊宿主程序是病毒棲身地，宿主程序既是病毒傳輸目標(biāo)地，又是下一次感染出發(fā)點(diǎn)3.3計算機(jī)病毒傳輸機(jī)制計算機(jī)病毒的邏輯結(jié)構(gòu)和基本機(jī)制第18頁3.3.3引導(dǎo)型病毒傳染機(jī)理引導(dǎo)型病毒針對軟硬盤不一樣特點(diǎn)采取了不一樣傳染方式引導(dǎo)型病毒利用在開機(jī)引導(dǎo)時竊取INT13H控制權(quán)，在整個計算機(jī)運(yùn)行過程中隨時監(jiān)視軟盤操作情況，趁讀寫軟盤時機(jī)讀出軟盤引導(dǎo)區(qū)，判斷軟盤是否染毒，如未感染就按病毒寄生方式把原引導(dǎo)區(qū)寫到軟盤另一位置，把病毒寫入軟盤第一個扇區(qū)，從而完成對軟盤傳染染毒軟盤在軟件交流中又會傳染其它計算機(jī)引導(dǎo)型病毒對硬盤傳染，往往是在計算機(jī)上第一次使用帶毒軟盤、優(yōu)盤、移動硬盤時進(jìn)行，詳細(xì)步驟與軟盤傳染相同，也是讀出引導(dǎo)區(qū)判斷后寫入病毒3.3計算機(jī)病毒傳輸機(jī)制計算機(jī)病毒的邏輯結(jié)構(gòu)和基本機(jī)制第19頁3.3.4文件型病毒傳染機(jī)理當(dāng)執(zhí)行被傳染.COM或.EXE可執(zhí)行文件時，病毒進(jìn)駐內(nèi)存，始監(jiān)視系統(tǒng)運(yùn)行，當(dāng)發(fā)覺被傳染目標(biāo)時，進(jìn)行以下操作：首先對運(yùn)行可執(zhí)行文件特定地址標(biāo)識位信息進(jìn)行判斷，判斷是否已感染了病毒當(dāng)條件滿足，利用INT13H將病毒鏈接到可執(zhí)行文件首部、尾部或中間，并存盤完成傳染后，繼續(xù)監(jiān)視系統(tǒng)運(yùn)行，試圖尋找新攻擊目標(biāo)3.3計算機(jī)病毒傳輸機(jī)制計算機(jī)病毒的邏輯結(jié)構(gòu)和基本機(jī)制第20頁3.3.4文件型病毒傳染機(jī)理文件型病毒經(jīng)過與磁盤文件相關(guān)操作進(jìn)行傳染，主要傳染路徑有：加載執(zhí)行文件列目錄過程創(chuàng)建文件過程3.3計算機(jī)病毒傳輸機(jī)制計算機(jī)病毒的邏輯結(jié)構(gòu)和基本機(jī)制第21頁3.3.5混合感染和交叉感染混合感染既感染引導(dǎo)扇區(qū)又感染文件交叉感染一臺計算機(jī)中經(jīng)常會同時染上各種病毒。當(dāng)一個無毒宿主程序在此計算機(jī)上運(yùn)行時，便會在一個宿主程序上感染各種病毒，稱為交叉感染。當(dāng)文件感染數(shù)種病毒，而且病毒代碼在宿主程序頭部和尾部都有情況下，必須分清各病毒感染先后次序，不然消毒后程序不能正常運(yùn)行3.3計算機(jī)病毒傳輸機(jī)制計算機(jī)病毒的邏輯結(jié)構(gòu)和基本機(jī)制第22頁3.4.1寄生感染文件頭部寄生3.4文件型病毒感染方式病毒感染文件頭部文件頭部感染與文件還原計算機(jī)病毒的邏輯結(jié)構(gòu)和基本機(jī)制第23頁3.4.1寄生感染文件尾部寄生3.4文件型病毒感染方式感染.COM文件尾部感染PE/NE文件尾部計算機(jī)病毒的邏輯結(jié)構(gòu)和基本機(jī)制第24頁3.4.1寄生感染插入感染3.4文件型病毒感染方式逆插入感染插入感染PE/NE文件計算機(jī)病毒的邏輯結(jié)構(gòu)和基本機(jī)制第25頁3.4.1寄生感染利用空洞——零長度感染3.4文件型病毒感染方式計算機(jī)病毒的邏輯結(jié)構(gòu)和基本機(jī)制第26頁3.4.2無入口點(diǎn)感染無入口點(diǎn)病毒并不是真正沒有入口點(diǎn)，而是采取入口點(diǎn)含糊(EntryPointObscuring，EPO)技術(shù)，即病毒在不修改宿主原入口點(diǎn)前提下，經(jīng)過在宿主代碼體內(nèi)某處插入跳轉(zhuǎn)指令來使病毒取得控制權(quán)3.4文件型病毒感染方式無入口點(diǎn)感染方式一無入口點(diǎn)感染方式二計算機(jī)病毒的邏輯結(jié)構(gòu)和基本機(jī)制第27頁3.4.2無入口點(diǎn)感染采取TSR病毒技術(shù)TSR(TerminalStillResident，中止依然駐留)程序病毒修改TSR程序中止服務(wù)代碼，這么當(dāng)操作系統(tǒng)執(zhí)行中止時候就會跳轉(zhuǎn)到病毒代碼中經(jīng)過.EXE文件重定位表取得程序控制權(quán).EXE文件重定位表指當(dāng)程序裝載到內(nèi)存時必須固定地址通常，重定位區(qū)域包含有限集合指令，病毒標(biāo)識這些指令，用JMPvirus覆蓋，并刪除相關(guān)入口以保護(hù)JMPvirus3.4文件型病毒感染方式計算機(jī)病毒的邏輯結(jié)構(gòu)和基本機(jī)制第28頁3.4.3滋生感染滋生感染(CompanionInfection)是一個很特殊、罕見感染方式滋生感染式病毒又稱作伴侶病毒或伴隨型病毒病毒不改變被感染文件，而是為被感染文件創(chuàng)建一個伴隨文件(病毒文件)3.4文件型病毒感染方式計算機(jī)病毒的邏輯結(jié)構(gòu)和基本機(jī)制第29頁3.4.4鏈?zhǔn)礁腥静《驹诟腥緯r，完全不改動宿主程序本體，而是改動或利用與宿主程序相關(guān)信息，將病毒程序與宿主程序鏈成一體，這種感染方式稱作鏈?zhǔn)礁腥?LinkInfection)當(dāng)宿主程序欲運(yùn)行時，利用相關(guān)關(guān)系，使病毒個別首先運(yùn)行，而后宿主程序才運(yùn)行3.4文件型病毒感染方式計算機(jī)病毒的邏輯結(jié)構(gòu)和基本機(jī)制第30頁3.4.5OBJ、LIB和源碼感染病毒感染編譯器生成中間對象文件(.OBJ文件)，或者編譯器使用庫文件(.LIB)文件，因為這些文件不是直接可執(zhí)行文件，所以病毒感染這些文件之后并不能直接傳染，必須使用被感染.OBJ或者.LIB鏈接生成.EXE(.COM)程序之后才能實(shí)際完成感染過程，所生成文件中包含了病毒。源代碼病毒直接對源代碼進(jìn)行修改，在源代碼文件中增加病毒內(nèi)容，比如搜索全部后綴名是.C文件，假如在里面找到“main(”形式字符串，則在這一行后面加上病毒代碼，這么編譯出來文件就包含了病毒3.4文件型病毒感染方式計算機(jī)病毒的邏輯結(jié)構(gòu)和基本機(jī)制第31頁計算機(jī)病毒觸發(fā)機(jī)制可觸發(fā)性是病毒攻擊性和潛伏性之間調(diào)整杠桿，能夠控制病毒感染和破壞頻度，兼顧殺傷力和潛伏性病毒在感染或破壞前，往往要檢驗一些特定條件是否滿足，滿足則進(jìn)行感染或破壞，不然不進(jìn)行感染或破壞病毒采取觸發(fā)條件主要有以下幾個：日期觸發(fā)時間觸發(fā)鍵盤觸發(fā)感染觸發(fā)開啟觸發(fā)訪問磁盤次數(shù)/調(diào)用中止功效觸發(fā)CPU型號/主板型號觸發(fā)打開或預(yù)覽Email附件觸發(fā)隨機(jī)觸發(fā)3.5計算機(jī)病毒觸發(fā)機(jī)制計算機(jī)病毒的邏輯結(jié)構(gòu)和基本機(jī)制第32頁計算機(jī)病毒破壞機(jī)制計算機(jī)病毒破壞機(jī)制，在設(shè)計標(biāo)準(zhǔn)、工作原理上與傳染機(jī)制相同，也是經(jīng)過修改某一中止向量人口地址(普通為時鐘中止INT8H或與時鐘中止相關(guān)其它中止，如INT1CH)，使該中止向量指向病毒程序破壞模塊。這么，當(dāng)被加載程序或系統(tǒng)訪問該中止向量時，病毒破壞模塊被激活，在判斷設(shè)定條件滿足情況下，對系統(tǒng)或磁盤上文件進(jìn)行破壞病毒攻擊和破壞，包含攻擊系統(tǒng)數(shù)據(jù)區(qū)攻擊文件攻擊內(nèi)存干擾系統(tǒng)運(yùn)行擾亂輸出設(shè)備擾亂鍵盤3.6計算機(jī)病毒破壞機(jī)制計算機(jī)病毒的邏輯結(jié)構(gòu)和基本機(jī)制第33頁Win32.Funlove.4608(4099)病毒分析Funlove是“模塊化”PE病毒，屬駐留內(nèi)存、感染文件型代碼很像用標(biāo)準(zhǔn)匯編寫應(yīng)用程序，不符合病毒代碼優(yōu)化標(biāo)準(zhǔn)不是用暴力搜索Kernel32，而是用了幾個固定Kernel32baseaddress，只支持Windows9x//NT病毒程序第一次運(yùn)行時，按照一定時間間隔，周期性地檢測每一個驅(qū)動器以及網(wǎng)絡(luò)資源中.EXE、.SCR、.OCX文件，驗證后進(jìn)行感染，被感染文件長度通常會增加4099字節(jié)或者更多檢測到以下文件名時不感