《計(jì)算機(jī)病毒原理及防范技術(shù)》課件第3章 計(jì)算機(jī)病毒基本機(jī)制

計(jì)算機(jī)病毒原理及防范技術(shù)中國(guó)水利水電出版社第3章計(jì)算機(jī)病毒基本機(jī)制3.4觸發(fā)機(jī)制3.3感染機(jī)制

3.2計(jì)算機(jī)病毒的結(jié)構(gòu)和3種機(jī)制

3.1計(jì)算機(jī)病毒的5種狀態(tài)3.5破壞機(jī)制

教學(xué)要求：理解：病毒原理的基礎(chǔ)部分，有關(guān)計(jì)算機(jī)病毒的基本構(gòu)成、作用方式等方面.

掌握：計(jì)算機(jī)病毒的5種狀態(tài)、計(jì)算機(jī)病毒的結(jié)構(gòu)和3種機(jī)制、傳播感染機(jī)制、觸發(fā)機(jī)制、破壞機(jī)制。3.1計(jì)算機(jī)病毒的5種狀態(tài)計(jì)算機(jī)病毒也是一種程序，只是這種程序具有一定的特殊性。人類之所以將其稱為“病毒”，就是考慮到這種特殊程序和生物病毒的很多共同點(diǎn)。在生物界中有很多病毒，對(duì)其對(duì)應(yīng)的物種有著這樣或那樣的危害，但是它們也有不構(gòu)成威脅的時(shí)候。這是由它們所處的狀態(tài)決定的。同樣的，計(jì)算機(jī)病毒也有自己的不同狀態(tài)（這里是指目前病毒所處的狀態(tài)，和后面病毒技巧中的“多態(tài)”技術(shù)是完全不同的概念），必須清楚地知道這些狀態(tài)，才能對(duì)病毒進(jìn)行有效地防治。3.1計(jì)算機(jī)病毒的5種狀態(tài)（續(xù)）計(jì)算機(jī)病毒在傳播中有兩種狀態(tài)：靜態(tài)和動(dòng)態(tài)。這是以病毒當(dāng)前所在位置為判斷依據(jù)的。如果病毒處于輔助存儲(chǔ)介質(zhì)，如硬盤、DVD上時(shí)，稱其為靜態(tài)病毒；如果病毒位于內(nèi)存中，則稱之為動(dòng)態(tài)病毒。靜態(tài)病毒是沒(méi)有危害性的，因?yàn)槿魏斡?jì)算機(jī)程序都必須通過(guò)系統(tǒng)加載并進(jìn)入內(nèi)存，才有被執(zhí)行的資格。這里所謂的“資格”，是指即使程序進(jìn)入內(nèi)存，但還需要系統(tǒng)執(zhí)行它才能夠表現(xiàn)自己。靜態(tài)病毒就好像一個(gè)標(biāo)本一樣，不具有傳染、破壞等動(dòng)作特征。因此，把處于靜態(tài)的病毒也稱為休眠狀態(tài)病毒。但是，這些病毒還是有會(huì)被加載的可能，那個(gè)時(shí)候它們就會(huì)“活”過(guò)來(lái)。所以，將病毒位于輔助存儲(chǔ)器上的時(shí)期稱為潛伏期。其次，還有一種特殊情況，那就是由于病毒所處的計(jì)算機(jī)系統(tǒng)沒(méi)有具備執(zhí)行它的條件，如專對(duì)Windows98操作系統(tǒng)的病毒進(jìn)入了WindowsXP操作系統(tǒng)甚至UNIX操作系統(tǒng)的硬盤。顯然處于這種境況的病毒是不會(huì)被裝載的。但是它們有可能附著在E-mail附件上，或是通過(guò)局域網(wǎng)、FTP等途徑傳播到合適的系統(tǒng)上，從而造成危害。這就是所謂的多相病毒傳播機(jī)制。3.1計(jì)算機(jī)病毒的5種狀態(tài)（續(xù)）動(dòng)態(tài)病毒則不同，它們本身已經(jīng)進(jìn)入了計(jì)算機(jī)內(nèi)存，因此肯定是適應(yīng)所在系統(tǒng)的。而且病毒一定是有宿主的，宿主啟動(dòng)帶動(dòng)它們的啟動(dòng)，所以這個(gè)時(shí)候病毒已經(jīng)處于運(yùn)行狀態(tài)，只是未必被激活。病毒從靜態(tài)轉(zhuǎn)變?yōu)閯?dòng)態(tài)的過(guò)程，就是病毒和操作系統(tǒng)監(jiān)察機(jī)制相對(duì)抗的過(guò)程，稱為病毒的啟動(dòng)。病毒必須瞞過(guò)操作系統(tǒng)，讓它以為目前所運(yùn)行的是正常程序，才會(huì)被順利加載。這是因?yàn)槟壳暗牟僮飨到y(tǒng)普遍不能判斷加載的程序是否為被感染程序，這是操作系統(tǒng)的一大漏洞。對(duì)于普通用戶只能使用第三方工具來(lái)實(shí)現(xiàn)病毒的防堵。3.1計(jì)算機(jī)病毒的5種狀態(tài)（續(xù)）病毒處于動(dòng)態(tài)，就已經(jīng)啟動(dòng)了。但是進(jìn)入內(nèi)存并不是最后的階段。處于動(dòng)態(tài)的病毒也有兩種狀態(tài)：激活態(tài)和能激活態(tài)。能激活態(tài)是一種準(zhǔn)備狀態(tài)，是指存在于內(nèi)存中的動(dòng)態(tài)病毒可以被正常的運(yùn)行機(jī)制執(zhí)行。病毒此時(shí)已經(jīng)修改了系統(tǒng)中斷調(diào)用，或是設(shè)備驅(qū)動(dòng)頭等，使這些中斷、驅(qū)動(dòng)等指向自己，從而在當(dāng)系統(tǒng)要運(yùn)行正常中斷、設(shè)備時(shí)運(yùn)行病毒本身，達(dá)到被執(zhí)行的目的。激活態(tài)則是正在被執(zhí)行的病毒。此時(shí)它擁有系統(tǒng)的控制權(quán)，時(shí)時(shí)刻刻監(jiān)視系統(tǒng)的一舉一動(dòng)，一旦條件符合，就執(zhí)行相應(yīng)的傳染、破壞等動(dòng)作。3.1計(jì)算機(jī)病毒的5種狀態(tài)（續(xù)）除了上面說(shuō)的意外，內(nèi)存中的病毒還有一種比較特殊的狀態(tài)：失活態(tài)。之所以說(shuō)其特殊，是因?yàn)殡m然這時(shí)病毒也在內(nèi)存里，但是不能繼續(xù)正常工作了。出現(xiàn)這種情況的機(jī)會(huì)不多，大都是由于用戶、反病毒軟件等對(duì)病毒運(yùn)行加以干預(yù)造成的。當(dāng)然，也不排除系統(tǒng)出現(xiàn)某些問(wèn)題從而“因禍得?！?。需要將失活態(tài)和靜態(tài)病毒分清楚，它們是截然不同的。處于失活態(tài)的病毒是沒(méi)有任何活動(dòng)能力的，不能傳播也不能做出破壞性動(dòng)作，因此是我們很愿意看見(jiàn)的。因?yàn)閮?nèi)存只要掉電，里面的內(nèi)容就會(huì)被清空。這時(shí)只需要重啟一次計(jì)算機(jī)就能將它們完全清理出計(jì)算機(jī)。3.2計(jì)算機(jī)病毒的機(jī)構(gòu)和3種機(jī)制病毒是一種基于硬件和操作系統(tǒng)的程序，一般由4部分組成：主控模塊、感染模塊、觸發(fā)模塊和破壞模塊。病毒的最大特點(diǎn)就是能感染，從而保證自己頑強(qiáng)的生命力。觸發(fā)模塊控制著整個(gè)病毒的工作，感染模塊和破壞模塊都是在觸發(fā)條件一定的情況下執(zhí)行的。破壞模塊負(fù)責(zé)做出一些破壞性的動(dòng)作，并非所有的病毒都有破壞模塊，或至少是獨(dú)立的破壞模塊，如著名的巴基斯坦病毒。與此相對(duì)應(yīng)的，計(jì)算機(jī)病毒就有3種機(jī)制：感染機(jī)制、觸發(fā)機(jī)制及破壞機(jī)制。需要說(shuō)明的是，破壞機(jī)制并不一定對(duì)應(yīng)破壞模塊，有的病毒沒(méi)有專門的破壞模塊，但是卻能造成用戶的重大損失，如后面將詳細(xì)看到的大麻病毒。3.2計(jì)算機(jī)病毒的機(jī)構(gòu)和3種機(jī)制（續(xù)）所謂傳染是指計(jì)算機(jī)病毒由一個(gè)宿主體內(nèi)傳播到另一個(gè)宿主的過(guò)程。但是請(qǐng)注意，計(jì)算機(jī)上有潛在宿主并不是病毒傳播的充分條件，病毒要傳染還有一個(gè)前提，這個(gè)前提又可分為以下兩種。被動(dòng)傳染用戶在進(jìn)行復(fù)制磁盤或文件時(shí)，把一個(gè)感染病毒的宿主復(fù)制到另一個(gè)媒介上，這個(gè)過(guò)程也通過(guò)當(dāng)今發(fā)達(dá)的網(wǎng)絡(luò)進(jìn)行。主動(dòng)傳染病毒處于激活態(tài)，只要傳染條件滿足，觸發(fā)模塊就會(huì)自動(dòng)運(yùn)行，從而讓染毒程序能主動(dòng)地把病毒傳染給另一個(gè)宿主。3.2計(jì)算機(jī)病毒的機(jī)構(gòu)和3種機(jī)制（續(xù)）三大模塊觸發(fā)模塊則是一個(gè)判斷機(jī)構(gòu)，它時(shí)時(shí)刻刻監(jiān)察目前的系統(tǒng)所處的環(huán)境是否滿足病毒設(shè)計(jì)者事先給定的發(fā)作條件，控制著病毒的感染和破壞動(dòng)作。觸發(fā)的方式有很多種，如時(shí)間觸發(fā)、日期觸發(fā)等，會(huì)在后面專門講到。破壞模塊則是負(fù)責(zé)病毒的破壞工作，其在設(shè)計(jì)原則、工作原理上與傳染機(jī)制基本相同。它也需要修改某一中斷向量入口地址（一般為時(shí)鐘中斷INT8H，相關(guān)的其他中斷，如INT1CH），使該中斷向量指向病毒程序的破壞模塊。一旦該中斷向量被訪問(wèn)，病毒破壞模塊就立即被激活。破壞模塊一般也分為兩部分：判斷部分和動(dòng)作部分。判斷部分負(fù)責(zé)檢查目前的系統(tǒng)環(huán)境，看是否適合進(jìn)行破壞活動(dòng)，并為破壞動(dòng)作搜集相關(guān)系統(tǒng)信息；動(dòng)作部分則是在判斷設(shè)定條件滿足的情況下，進(jìn)行各種破壞活動(dòng)，如刪除文件、顯示提示信息等。3.3感染機(jī)制計(jì)算機(jī)病毒的感染機(jī)制又稱傳播機(jī)制。病毒是一種特殊的程序，它必須寄生在一個(gè)合法的程序中。這一點(diǎn)和生物病毒極其相似，它們有其自身的病毒體（病毒程序）和宿主。病毒生活在宿主中。一旦病毒程序成功感染某個(gè)合法程序，病毒就成了該程序的一部分，并擁有合法的地位。于是一個(gè)合法的程序就成了病毒程序的宿主，或稱為病毒程序的載體。對(duì)于宿主而言，病毒幾乎可以感染它的任何位置?？梢岳斫鉃椴《竞推渌拗髟诟腥竞缶褪且粋€(gè)有機(jī)的整體，它們一同工作和生活；但是病毒又有自己的主張，當(dāng)條件滿足時(shí)它就會(huì)自己動(dòng)作。病毒為了保證自己的被調(diào)用概率較高，會(huì)寄生于多個(gè)程序或區(qū)域中，而且它們的感染對(duì)象是有一定選擇的，一定是使用頻率很高的才會(huì)引起它們的注意，因?yàn)橹挥兴拗骰顒?dòng)它們才有被調(diào)用的機(jī)會(huì)。3.3感染機(jī)制（續(xù)）一般來(lái)說(shuō)，病毒的感染目標(biāo)是一些可執(zhí)行代碼，計(jì)算機(jī)系統(tǒng)中可執(zhí)行文件只有兩種：引導(dǎo)程序和可執(zhí)行文件。另一類經(jīng)常被感染的目標(biāo)是宏（Macro），宏是一種可執(zhí)行代碼，但是不能獨(dú)立作為文件存在，它們所感染的是一類稱為宏病毒的特殊病毒。病毒還會(huì)感染BIOS，不過(guò)由于現(xiàn)在基于FlashROM的BIOS都帶寫保護(hù)，所以即使被感染，只需要重寫B(tài)IOS即可消除病毒。下面是病毒的一般感染目標(biāo)：硬盤系統(tǒng)分配表扇區(qū)（主引導(dǎo)扇區(qū)）；硬盤Boot扇區(qū)；軟盤Boot扇區(qū)；覆蓋文件（.OVL）；可執(zhí)行文件（.EXE）；命令文件（.COM）；COMMAND文件；IBM-BIO文件；IBM-DOS文件。3.3感染機(jī)制（續(xù)）T偶數(shù)噬菌體的感染復(fù)制過(guò)程3.3感染機(jī)制（續(xù)）病毒代碼占據(jù)了原始的引導(dǎo)扇區(qū)的數(shù)據(jù)，為了能夠讓系統(tǒng)正常啟動(dòng)（系統(tǒng)不啟動(dòng)病毒自己也沒(méi)有辦法行動(dòng)，病毒和宿主的關(guān)系是“唇亡齒寒”），于是把真正的BOOT扇區(qū)信息移到磁盤的其他扇區(qū)。當(dāng)病毒的加載工作已經(jīng)完成，進(jìn)駐內(nèi)存后，就會(huì)引導(dǎo)DOS到存儲(chǔ)引導(dǎo)信息的新扇區(qū)，從而使系統(tǒng)和用戶無(wú)法發(fā)覺(jué)信息被挪到新的地方。同時(shí)至少病毒的一個(gè)有效部分仍駐留在內(nèi)存中，于是當(dāng)新的磁盤插入時(shí)，病毒就會(huì)把自己寫到新的磁盤上。當(dāng)這個(gè)盤用于另一臺(tái)機(jī)器時(shí)，病毒就會(huì)以同樣的方法傳播到那臺(tái)機(jī)器的引導(dǎo)扇區(qū)上。這就是引導(dǎo)型病毒的傳播方式，如同潛伏在系統(tǒng)啟動(dòng)過(guò)程中的必經(jīng)之地，在每次啟動(dòng)的半途中，病毒程序便會(huì)奪取控制權(quán)，為病毒的感染做準(zhǔn)備。此種感染方式的特點(diǎn)是：病毒有頻繁攻擊的機(jī)會(huì)，每次啟動(dòng)病毒都會(huì)被激活。隱蔽性差，極易被發(fā)覺(jué)。病毒必須保存好原Boot扇區(qū)或主引導(dǎo)扇區(qū)，否則自己也無(wú)法啟動(dòng)。如病毒長(zhǎng)度大于512B，需占用別的扇區(qū)（想想這是為什么？）。3.3感染機(jī)制（續(xù)）常駐內(nèi)存的病毒的特點(diǎn)如下：病毒將其代碼隱藏到RAM內(nèi)存區(qū)中，這個(gè)區(qū)域是用戶一般不易注意到的地方，是病毒理想的棲身場(chǎng)所?？蔂?zhēng)取較長(zhǎng)的病毒活動(dòng)時(shí)間。宿主程序退出運(yùn)行之后，病毒代碼可獨(dú)立地伺機(jī)繼續(xù)攻擊。病毒常駐內(nèi)存的同時(shí)，篡改系統(tǒng)中斷，以便被激活。3.3感染機(jī)制（續(xù)）病毒駐留內(nèi)存的代碼常常是病毒修改過(guò)的“中斷處理程序”，病毒通過(guò)修改中斷向量，使預(yù)定的中斷發(fā)生時(shí)先運(yùn)行駐留內(nèi)存的病毒程序，以便進(jìn)行感染和破壞。這些被修改的中斷向量常常是操作系統(tǒng)程序和應(yīng)用程序運(yùn)行時(shí)經(jīng)常涉及的中斷。病毒修改中斷時(shí)常涉及的中斷及功能：INT9H：讀取鍵盤輸入。INT8H：計(jì)時(shí)中斷。INT13H：讀、寫磁盤。INT25H：讀磁盤邏輯扇區(qū)。INT26H：寫磁盤邏輯扇區(qū)。INT21H的4BH：在可執(zhí)行程序中調(diào)用另一程序。3.3感染機(jī)制（續(xù)）病毒感染宿主后，一般都會(huì)引起宿主程序長(zhǎng)度的變化，因?yàn)樗枰炎约悍湃胨拗鞒绦蛑?。顯然，不同病毒引起的宿主長(zhǎng)度變化是不同的，因?yàn)椴《颈旧黹L(zhǎng)度就隨著種類不同而變化，加上感染方式各異，于是宿主長(zhǎng)度變化量就千差萬(wàn)別?？傮w來(lái)說(shuō)，宿主感染病毒后長(zhǎng)度變化情況有4種：長(zhǎng)度不變。增長(zhǎng)的長(zhǎng)度為恒定值。增長(zhǎng)的長(zhǎng)度在一個(gè)固定范圍內(nèi)變化。每次被病毒感染，宿主程序的長(zhǎng)度都發(fā)生變化。注意，能做到使目標(biāo)宿主染毒后長(zhǎng)度保持不變的病毒都采用了特殊編程技巧，其共同特點(diǎn)是要么隱蔽性極強(qiáng)，要么破壞力奇大。總之，具有這種能力的病毒一定是惡性病毒，需要特別提高警惕性。3.3感染機(jī)制（續(xù)）所謂單次感染，有的書上也稱其為“一次性感染”，顧名思義就是指病毒對(duì)宿主只感染一次，若病毒在對(duì)感染目標(biāo)檢測(cè)發(fā)現(xiàn)其已經(jīng)染上自己這種病毒就不再感染它。重復(fù)性感染則是指無(wú)論目標(biāo)是否已被感染，病毒在設(shè)定次數(shù)內(nèi)都會(huì)對(duì)其再次進(jìn)行感染動(dòng)作。重復(fù)感染過(guò)程如圖所示。3.3感染機(jī)制（續(xù)）簡(jiǎn)單重復(fù)感染屬于這一類的病毒感染次數(shù)是沒(méi)有設(shè)定上限的，且每次感染的病毒代碼、代碼長(zhǎng)度及植入宿主的位置都是一樣的。簡(jiǎn)單重復(fù)感染很多時(shí)候并不是作者有意為之，而是編程錯(cuò)誤所致，如著名的Jerusalem（耶路撒冷病毒）。有限次數(shù)重復(fù)感染這類病毒也比較簡(jiǎn)單，和上面一種相比的區(qū)別就是它們感染宿主的次數(shù)有一個(gè)預(yù)設(shè)值，達(dá)到這個(gè)值后則不再繼續(xù)感染。變長(zhǎng)度重復(fù)感染此類病毒每次感染宿主，都會(huì)造成宿主長(zhǎng)度變化量的不定值增長(zhǎng)。如果不給它設(shè)一個(gè)感染上限，則宿主的長(zhǎng)度會(huì)不斷增加，直到機(jī)器無(wú)法裝載，從而死機(jī)或系統(tǒng)崩潰。這種感染方式看起來(lái)比較笨，但是作用效果卻十分可怕。變位重復(fù)感染這類病毒的特點(diǎn)在于其每次感染宿主時(shí)，植入病毒代碼的位置都會(huì)發(fā)生改變。如1992年1月被發(fā)現(xiàn)的AUTO病毒。它的感染目標(biāo)是COM文件，每次感染宿主的長(zhǎng)度變化量都是129B。但它每次感染的位置是不同的：第一次感染的植入點(diǎn)在宿主頭部；以后每次感染的植入點(diǎn)在宿主尾部。3.3感染機(jī)制（續(xù)）兩種不同的感染引導(dǎo)區(qū)的方法：3.3感染機(jī)制（續(xù)）寄生式感染（ParasiticInfection）是最常見(jiàn)的感染方式，病毒將自身的代碼植入宿主，只要這么做了，不論植入點(diǎn)在宿主的頭部、尾部，還是中間部位，都稱為寄生感染。3.3感染機(jī)制（續(xù)）感染DOS下COM文件3.3感染機(jī)制（續(xù)）感染MZ文件3.3感染機(jī)制（續(xù)）兩種感染驅(qū)動(dòng)程序尾部的方法：3.3感染機(jī)制（續(xù)）插入式感染：3.3感染機(jī)制（續(xù)）RAM病毒插入示例（逆插入）：3.3感染機(jī)制（續(xù)）滋生感染（CompanionInfection）是一類很不常見(jiàn)的手法。由于其特殊的工作方式，使用滋生感染法的病毒一般又稱為伴侶病毒。滋生感染一共有3種做法。這一系列病毒首先在目錄中搜索EXE文件，但是不去動(dòng)它，而是生成一個(gè)和該EXE文件同名的COM文件。換句話說(shuō)，這時(shí)的目錄下面有了兩個(gè)文件名相同但后綴一個(gè)是EXE一個(gè)是COM的文件。EXE文件沒(méi)有絲毫改變，而COM文件則完全就是病毒體本身。也就是說(shuō)，滋生感染法病毒的病毒體是獨(dú)立作為文件存在的，但是又不能脫開它的宿主。這時(shí)，只要用戶輸入那個(gè)文件名，根據(jù)DOS下COM文件運(yùn)行優(yōu)先級(jí)高于EXE文件的規(guī)則，運(yùn)行的是病毒體。只要這個(gè)目錄下的病毒文件還在，EXE文件就總不能被執(zhí)行。顯然這種辦法只適用于DOS，且對(duì)于有經(jīng)驗(yàn)的用戶意義不大。需要對(duì)目標(biāo)文件的文件名略加修改（如改掉后綴名的最后一個(gè)字母），然后將病毒文件以原始目標(biāo)文件名存放，同時(shí)現(xiàn)在幾乎所有的這類病毒都會(huì)將被修改的目標(biāo)文件的屬性改為“隱藏”。這種做法比上面的使用范圍要廣得多，在Windows下同樣適用。這一種方法更少見(jiàn)，叫做PATH滋生。它利用DOS-PATH的搜索特點(diǎn)，具體來(lái)說(shuō)又有3種做法：一是將自己存為目標(biāo)文件的文件名，然后添加進(jìn)DOS-PATH的高級(jí)目錄中，這樣根據(jù)執(zhí)行的優(yōu)先級(jí)就是病毒體先被激活；二是將目標(biāo)文件移動(dòng)到該目錄的子目錄下；三是將病毒體所在文件的文件名修改成比較吸引人的名字，誘騙用戶點(diǎn)擊。3.3感染機(jī)制（續(xù)）DIR-Ⅱ病毒感染軟盤的方式（鏈?zhǔn)礁腥荆?.3感染機(jī)制（續(xù)）零長(zhǎng)度感染病毒在感染宿主程序時(shí)，要將病毒程序放入宿主程序中，這樣做一般會(huì)使宿主程序增長(zhǎng)，很容易被人發(fā)現(xiàn)。而零長(zhǎng)度感染病毒在感染時(shí)，雖然也把病毒程序放入宿主程序中，但宿主程序的長(zhǎng)度卻保持不變，這類病毒不易被發(fā)現(xiàn)，有很好的潛伏性。這類病毒采用特殊的編程技巧。具體說(shuō)來(lái)又有兩種方法：空洞法和壓縮法。3.3感染機(jī)制（續(xù)）空洞法這種方法需要先在宿主程序中尋找到合適的“空洞”，然后病毒將修改宿主程序的開始部分使之指向自己，從而能保證自己首先運(yùn)行。所謂“空洞”（Cavity）指的是宿主中具有的長(zhǎng)度足夠且全部為0的程序數(shù)據(jù)區(qū)或堆棧區(qū)。1991年發(fā)現(xiàn)于保加利亞的Phoenix2000病毒即為一例，它會(huì)事先檢查目標(biāo)中有沒(méi)有連續(xù)的2000B長(zhǎng)的全0空間，如果有則將自身代碼寫入，否則不感染。3.3感染機(jī)制（續(xù)）壓縮法這種手法使用到文件壓縮技術(shù)。為了說(shuō)明清楚，設(shè)被感染前的正常宿主為O1，壓縮后的宿主為O2，病毒體為V，則具體步驟如下：（1）病毒發(fā)現(xiàn)O1，于是調(diào)用自帶壓縮模塊對(duì)其進(jìn)行壓縮，使其變?yōu)镺2，且V和O2的長(zhǎng)度總和不大于O1。（2）病毒將V放在O2的頭部，組成一個(gè)長(zhǎng)度等于O1的文件。上面就是感染的步驟，如果需要執(zhí)行染毒程序，則將上述步驟倒過(guò)來(lái)，并將其中的壓縮操作換位解壓縮操作即可。3.4觸發(fā)機(jī)制計(jì)算機(jī)病毒有3種機(jī)制，前面已經(jīng)介紹了感染機(jī)制，它負(fù)責(zé)病毒的傳播。而破壞機(jī)制體現(xiàn)了病毒的殺傷能力。計(jì)算機(jī)用戶每年由于病毒而產(chǎn)生的各種損失不計(jì)其數(shù)，使得病毒預(yù)防和處理也成為一個(gè)很大的產(chǎn)業(yè)。但病毒僅僅只有感染和破壞兩個(gè)模塊是不能夠完成其設(shè)定任務(wù)的。過(guò)于頻繁的感染和破壞會(huì)使病毒暴露，且令系統(tǒng)不穩(wěn)定，讓自己的生存環(huán)境也不太好；完全不破壞、不感染又會(huì)使病毒失去殺傷力。因此，病毒必須潛伏，少做動(dòng)作以躲避檢查而隱蔽自己；如果完全不動(dòng)作，僅僅只是潛伏的話，病毒又失去了其存在的意義。所以，為了病毒最好能做到“靜若處子，動(dòng)若脫兔”，該安靜的時(shí)候安靜，該發(fā)作的時(shí)候也毫不猶豫。能夠?qū)⑦@兩點(diǎn)緊密聯(lián)系在一起的就是觸發(fā)機(jī)制。觸發(fā)機(jī)制是指病毒用于判斷發(fā)作條件的方法，一旦環(huán)境合適就通知病毒進(jìn)行感染或破壞。這是病毒用于調(diào)節(jié)發(fā)作和潛伏比例的游碼。很多沒(méi)有能廣泛流行的病毒之所以失敗的原因，除了自身設(shè)計(jì)問(wèn)題以外，沒(méi)有選取一個(gè)合適的觸發(fā)機(jī)制占據(jù)了相當(dāng)大的比例。在觸發(fā)機(jī)制上，可以看到病毒作者那無(wú)與倫比的想象力和創(chuàng)造力。3.4觸發(fā)機(jī)制（續(xù)）觸發(fā)條件觸發(fā)條件是病毒中的敏感部分，由病毒作者事先定義。觸發(fā)條件可以是時(shí)間、日期、文件類型、擊鍵動(dòng)作、開啟郵件或某些特定數(shù)據(jù)，甚至是一個(gè)比較少用的中斷，都能成為觸發(fā)的理由。病毒被運(yùn)行后就進(jìn)駐內(nèi)存，然后不停地掃描系統(tǒng)動(dòng)作，這里觸發(fā)模塊就不停地檢查定義的條件是否滿足、環(huán)境是否合適。如果滿足，則進(jìn)行相應(yīng)的感染或破壞動(dòng)作；否則將繼續(xù)潛伏。計(jì)算機(jī)安全人員在深入分析病毒時(shí)，往往需要一個(gè)安全的環(huán)境，因此很有必要搞懂手中病毒的觸發(fā)機(jī)制，以便修改此部分代碼，使病毒不會(huì)發(fā)作；或者當(dāng)需要弄清病毒行為特征時(shí)也可以對(duì)此處進(jìn)行修改，讓病毒樣本頻繁發(fā)作，以研究對(duì)策。3.4觸發(fā)機(jī)制（續(xù)）常見(jiàn)的觸發(fā)條件如下：時(shí)間觸發(fā)操作觸發(fā)啟動(dòng)觸發(fā)中斷觸發(fā)感染觸發(fā)其他觸發(fā)形式3.5破壞機(jī)制如果說(shuō)感染機(jī)制體現(xiàn)了病毒作者高超的編程技巧和對(duì)計(jì)算機(jī)系統(tǒng)的理解，觸發(fā)機(jī)制體現(xiàn)了病毒作者的奇思妙想，那么破壞機(jī)制則是他們底層性格和品行的最好注解。有的人寫出病毒只是開個(gè)小玩笑，中毒的人也就一笑而過(guò)；但是有的病毒會(huì)對(duì)中毒者的計(jì)算機(jī)系統(tǒng)造成永久的、不可修復(fù)的毀滅性打擊。本節(jié)會(huì)對(duì)最常見(jiàn)的病毒破壞行為進(jìn)行歸納。3.5破壞機(jī)制（續(xù)）對(duì)文件的破壞：刪除文件給文件改名替換文件內(nèi)容擦除部分代碼顛倒內(nèi)容擦除寫入時(shí)間將宿主弄成碎片將寫操作改為只讀操作3.5破壞機(jī)制（續(xù)）