计算机病毒的结构和工作机制

计算机病毒是一种特殊的程序或代码段，它寄生在一个合法的程序或环境中，并以某种方式潜伏下来，伺机进行感染和破坏。

计算机系统的软硬件环境决定了计算机病毒的结构，而这种结构是能够充分利用系统资源进行活动的最合理体现。

计算病毒的组成： 引导模块（主控模块） 触发模块 感染模块 破坏模块（表现模块）

两个状态： 静态 动态

根据是否被加载到内存，计算机病毒又分为静态和动态。处于静态的病毒存于存储介质中，一般不能执行感染和破环模块，其传播只能借助第三方活动（例如：复制、下载和邮件传输等）实现。当病毒经过引导功能开始进入内存后，便处于活动状态（动态），满足一定触发条件后就开始进行传染和破坏，从而构成对计算机系统和资源的威胁。

工作机制

各个模块的作用

引导模块

引导前——寄生 寄生位置： 引导区 可执行文件 寄生手段： 替代法（寄生在引导区中的病毒常用该法） 链接法（寄生在文件中的病毒常用该法）

引导过程 驻留内存 窃取系统控制权 恢复系统功能 引导区病毒引导过程 搬迁系统引导程序-〉替代为病毒引导程序 启动时-〉病毒引导模块-〉加载传染、破坏和触发模块到内存-〉使用常驻技术 最后，转向系统引导程序-〉引导系统

文件型病毒引导过程 修改入口指令-〉替代为跳转到病毒模块的指令 执行时-〉跳转到病毒引导模块-〉病毒引导模块-〉加载传染、破坏和触发模块到内存-〉使用常驻技术 最后，转向程序的正常执行指令-〉执行程序

触发模块

触发条件 计算机病毒在传染和发作之前，往往要判断某些特定条件是否满足，满足则传染或发作，否则不传染或不发作或只传染不发作，这个条件就是计算机病毒的触发条件。 触发模块的目的是调节病毒的攻击性和潜伏性之间的平衡 大范围的感染行为、频繁的破坏行为可能给用户以重创，但是，它们总是使系统或多或少地出现异常，容易使病毒暴露。 而不破坏、不感染又会使病毒失去其特性。 可触发性是病毒的攻击性和潜伏性之间的调整杠杆，可以控制病毒感染和破坏的频度，兼顾杀伤力和潜伏性。

病毒常用的触发条件 日期触发 时间触发 键盘触发 感染触发 例如，运行感染文件个数触发、感染序数触发、感染磁盘数触发、感染失败触发等。 启动触发 访问磁盘次数触发 CPU型号/主板型号触发

感染模块

病毒传染的条件 被动传染（静态时） 用户在进行拷贝磁盘或文件时，把一个病毒由一个载体复制到另一个载体上。或者是通过网络上的信息传递，把一个病毒程序从一方传递到另一方。这种传染方式叫做计算机病毒的被动传染。

主动传染（动态时） 以计算机系统的运行以及病毒程序处于激活状态为先决条件。在病毒处于激活的状态下，只要传染条件满足，病毒程序能主动地把病毒自身传染给另一个载体或另一个系统。这种传染方式叫做计算机病毒的主动传染。

传染过程 系统（程序）运行-〉各种模块进入内存-〉按多种传染方式传染 传染方式 立即传染，即病毒在被执行的瞬间，抢在宿主程序开始执行前，立即感染磁盘上的其他程序，然后再执行宿主程序。 驻留内存并伺机传染，内存中的病毒检查当前系统环境，在执行一个程序、浏览一个网页时传染磁盘上的程序，驻留在系统内存中的病毒程序在宿主程序运行结束后，仍可活动，直至关闭计算机。

文件型病毒传染机理 首先根据病毒自己的特定标识来判断该文件是否已感染了该病毒； 当条件满足时，将病毒链接到文件的特定部位，并存入磁盘中； 完成传染后，继续监视系统的运行，试图寻找新的攻击目标。 文件型病毒传染途径 加载执行文件 浏览目录过程 创建文件过程

破坏模块

破坏对象 系统数据区、文件、内存、系统运行速度、磁盘、CMOS、主板和网络等。

计算机病毒的技术特征

常见计算机病毒的技术特征

驻留内存 病毒变种 EPO（Entry Point Obscuring）技术 抗分析技术（加密、反跟踪） 隐蔽性病毒技术 多态性病毒技术 插入型病毒技术 超级病毒技术 破坏性感染技术 病毒自动生产技术 网络病毒技术

驻留内存：引导区病毒的内存驻留

驻留内存：Windows环境下病毒的内存驻留

三种驻留内存的方法

驻留内存：宏病毒的内存驻留方法