计算机病毒一般都具有潜伏传染激发破坏等多种机制,但其传染机制反映了病毒程序最本质的特征,离开传染机制,就不能称其为病毒。那么,pe文件病毒是如何被启动的呢?
小编了解到,pe文件病毒是将可执行文件的代码中程序入口地址改为病毒的程序入口,这样就会导致用户在运行的时候执行病毒文件,这就是它的启动方式。
PE病毒常见的感染其他文件的方法是在文件中添加一个新节,然后往该新节中添加病毒代码和病毒执行后的返回Host程序的代码,并修改文件头中代码开始执行位置(AddressOfEntryPoint)指向新添加的病毒节的代码入口,以便程序运行后先执行病毒代码。下面以CIH病毒为例具体分析病毒感染过程:
CIH病毒属于文件型病毒,主要感染Windows PE可执行文件。由于CIH病毒使用了VxD技术使得这种病毒在Windows环境下传播,其实施性和隐蔽性都特别强,使用一般反病毒软件很难发现这种病毒在系统中传播。
感染了CIH病毒的程序被执行时,CIH首先使用了SIDT取得中断描述符表基地址,然后将INT3的入口地址改为指向CIH病毒自身的INT3程序入口。接着CIH自己产生一条INT3指令,这样CIH病毒就可以获得最高级别的CPU使用权限。接下来,CIH将判断DR0寄存器的值是否为0,如果不是则表明计算机已被CIH病毒感染,自己则正常退出;如果DR0寄存器的值为0,就表明没有CIH病毒驻留内存,这时CIH病毒首先会将当前EBX寄存器的值赋给DR0寄存器,作上驻留标记,然后调用INT20,使用VxD call page ALLocate系统调用,向系统申请内存空间来驻留,当申请成功后,CIH病毒就从被感染的文件中将其病毒代码组合起来,放到申请的内存空间中。随后CIH病毒再次调用INT3进入CIH病毒体的INT3入口程序,接着调用INT20,调用一个IFSMgr_Install File System ApiHook 子程序,目的是借助文件系统处理函数来截取系统文件,调用操作。完成这个工作之后,Windows 98/95默认的IFSMgr_Ringo_ FileI0服务程序的入口地址将被CIH病毒保留,以便它的调用。
这样CIH病毒就完成了引导工作,驻留在内存中,开始监视系统的文件调用操作。一旦系统出现要求调用文件CIH就首先截获被调用的文件。然后判断该文件是否为PE格式的EXE 文件,如果是就将自身拆成几段,插入到该文件的空域中,然后修改PE格式文件的文件头中的文件映像执行参数,使其首先指向病毒体;如果不是就将调用转接给Windows 98/95的IFSMgr_I0服务程序。
以上就是本站给大家介绍的pe文件病毒是如何被启动的相关介绍,有兴趣的可以点击收藏哦。稍后,我们介绍如何清除寄生在文件上的病毒,欢迎关注这部分网络病毒小知识。