檔案型病毒與引導區型病毒工作的方式是完全不同的, 在各種PC機病毒中, 檔案型病毒佔的數目最大,傳播得廣,採用的技巧 也多。檔案型病毒是對原始檔進行修改,使其成為新的檔案。檔案型病毒分兩類:一種是將病毒加在COM前部,一種是加在檔案尾部。 檔案型病毒傳染的物件主要是.COM和.EXE檔案。 檔案型病毒原理 要了解檔案型病毒的原理,首先要了解檔案的結構.COM 檔案比較簡單, 病毒要感染COM檔案有兩種方法,一種是將病毒加在COM前部,一種是加在 檔案尾部,見下圖: A B -------- --------------- |-病毒 | |JMP XXXX:XXXX| (原檔案的前3位元組被修改) -------- --------------- |原檔案| ├ 原程式 ┤ -------- -------------- ├ 病毒 ┤ -------------- EXE 檔案比較複雜,每個EXE檔案都有一個檔案頭,結構如下: EXE檔案頭資訊 ----------------------------------- ├ 偏移量 ┤ 意義 ┤ ├00h-01h ┤MZ‘EXE檔案標記 ┤ ├2h-03h ┤檔案長度除512的餘數 ┤ ├04h-05h ┤...............商 ┤ ├06h-07h ┤重定位項的個數 ┤ ├08h-09h ┤檔案頭除16的商 ┤ ├0ah-0bh ┤程式執行所需最小段 數 ┤ ├0ch-0dh ┤..............大..... ┤ ├oeh-0fh ┤堆疊段的段值 (SS) ┤ ├10h-11h ┤........sp ┤ ├12h-13h ┤檔案校驗和 ┤ ├14h-15h ┤IP ┤ ├16h-17h ┤CS ┤ ├18h-19h ┤............ ┤ ├1ah-1bh ┤............ ┤ ├1ch ┤............ ┤ ----------------------------------- 當DOS載入EXE檔案時,根據檔案頭資訊,調入一定長度的檔案,設定SS,SP 從CS:IP 開始執行.病毒一般將自己加在檔案的末端,並修改CS,IP的值指向病毒起始地址,並修改檔案長度資訊和SS,SP。
檔案型病毒與引導區型病毒工作的方式是完全不同的, 在各種PC機病毒中, 檔案型病毒佔的數目最大,傳播得廣,採用的技巧 也多。檔案型病毒是對原始檔進行修改,使其成為新的檔案。檔案型病毒分兩類:一種是將病毒加在COM前部,一種是加在檔案尾部。 檔案型病毒傳染的物件主要是.COM和.EXE檔案。 檔案型病毒原理 要了解檔案型病毒的原理,首先要了解檔案的結構.COM 檔案比較簡單, 病毒要感染COM檔案有兩種方法,一種是將病毒加在COM前部,一種是加在 檔案尾部,見下圖: A B -------- --------------- |-病毒 | |JMP XXXX:XXXX| (原檔案的前3位元組被修改) -------- --------------- |原檔案| ├ 原程式 ┤ -------- -------------- ├ 病毒 ┤ -------------- EXE 檔案比較複雜,每個EXE檔案都有一個檔案頭,結構如下: EXE檔案頭資訊 ----------------------------------- ├ 偏移量 ┤ 意義 ┤ ├00h-01h ┤MZ‘EXE檔案標記 ┤ ├2h-03h ┤檔案長度除512的餘數 ┤ ├04h-05h ┤...............商 ┤ ├06h-07h ┤重定位項的個數 ┤ ├08h-09h ┤檔案頭除16的商 ┤ ├0ah-0bh ┤程式執行所需最小段 數 ┤ ├0ch-0dh ┤..............大..... ┤ ├oeh-0fh ┤堆疊段的段值 (SS) ┤ ├10h-11h ┤........sp ┤ ├12h-13h ┤檔案校驗和 ┤ ├14h-15h ┤IP ┤ ├16h-17h ┤CS ┤ ├18h-19h ┤............ ┤ ├1ah-1bh ┤............ ┤ ├1ch ┤............ ┤ ----------------------------------- 當DOS載入EXE檔案時,根據檔案頭資訊,調入一定長度的檔案,設定SS,SP 從CS:IP 開始執行.病毒一般將自己加在檔案的末端,並修改CS,IP的值指向病毒起始地址,並修改檔案長度資訊和SS,SP。