文件型病毒

文件型病毒与引导区型病毒工作的方式是完全不同的, 在各种PC机病毒中, 文件型病毒占的数目最大,传播得广,采用的技巧 也多。文件型病毒是对源文件进行修改，使其成为新的文件。文件型病毒分两类：一种是将病毒加在COM前部,一种是加在文件尾部。

文件型病毒传染的对象主要是.COM和.EXE文件。

文件型病毒原理

要了解文件型病毒的原理,首先要了解文件的结构.COM 文件比较简单, 病毒要感染COM文件有两种方法,一种是将病毒加在COM前部,一种是加在

文件尾部,见下图:

AB

-------- ---------------

|-病毒 | |JMP XXXX:XXXX| (原文件的前3字节被修改)

-------- ---------------

|原文件| ├原程序┤

----------------------

├病毒┤

--------------

EXE 文件比较复杂,每个EXE文件都有一个文件头,结构如下:

EXE文件头信息

-----------------------------------

├ 偏移量 ┤意义┤

├00h-01h ┤MZ‘EXE文件标记┤

├2h-03h┤文件长度除512的余数┤

├04h-05h ┤...............商┤

├06h-07h ┤重定位项的个数┤

├08h-09h ┤文件头除16的商┤

├0ah-0bh ┤程序运行所需最小段 数 ┤

├0ch-0dh ┤..............大..... ┤

├oeh-0fh ┤堆栈段的段值 (SS)┤

├10h-11h ┤........sp┤

├12h-13h ┤文件校验和┤

├14h-15h ┤IP┤

├16h-17h ┤CS┤

├18h-19h ┤............┤

├1ah-1bh ┤............┤

├1ch┤............┤

-----------------------------------

当DOS加载EXE文件时,根据文件头信息,调入一定长度的文件,设置SS,SP 从CS:IP 开始执行.病毒一般将自己加在文件的末端,并修改CS,IP的值指向病毒起始地址,并修改文件长度信息和SS,SP。