第十章 计算机恶意程序与病毒

第十章计算机恶意程序与病毒 第一节 恶意程序与计算机病毒 一、特殊程序、恶意程序与病毒1.特殊程序 在特定条件、特定时间和特定环境下才执行的程序。 那些具有专门程序功能和执行结果的程序。 例如： 系统调试与跟踪程序、测试程序、网络分析与监察程序、安全审计程序、工具程序等； 自毁程序、跟踪程序、侦察程序等。 合法的程序序并不能保证不被非法的使用，合法程序的滥用，将对系统安全形成极大的威协，造成极大的破坏。

第十章计算机恶意程序与病毒 在已经出现的计算机恶意程序中，有的是将某个合法程序进行改动，让它含有并执行某种破坏功能，如程序自毁或磁盘自毁。有的是利用合法程序的功能和权限，非法获取系统资源和敏感数据，进行系统入侵，如利用网络协议分析程序，进行网络包伪造、通信数据替换等。 合法程序的滥用是恶意程序产生的一类因

素。

第十章计算机恶意程序与病毒

恶意程序 ( 一类特殊程序 ) ┌────┴────┐ 有宿主 无宿主 ┌──┴──┐ ┌──┴──┐

特洛依木马 病毒 细菌 蠕虫(Trojan H) (Virus) (Bacteria) (Worm)

复合型病毒

第十章计算机恶意程序与病毒 “⑴ ”特洛依木马 (Trojan Horse) 一种故意隐藏在正常程序代码中的异常特殊代码，在条件成熟时进行特殊任务的执行。 “ ”逻辑炸弹 (Logic Bomb) ： 基于逻辑条件的满足而触发 “ ” 时间炸弹 (Time Bomb) ： 基于时间条件的满足而激活。不自身复制、不传染、任务完成后自毁或隐藏。

远程访问型特洛伊木马： 　　 这是现在最广泛的特洛伊木马。可以访问受害人的硬盘。 RAT'S （一种远程访问木马）用起来是非常简单的。只需得到受害人的 IP，你就会访问到他 /她的电脑。他们能几乎可以在你的机器上干任何事。键盘记录，上传和下载功能等等……　　有不少的流行的特洛伊木马每天被发现，并且这些程序都是大同小异。如果特洛伊木马在每次的 Windows 重新启动时都会跟着启动，这意味着它修改了注册表或者 Win.ini 或其他的系统文件以便使木马可以启动。

特洛伊木马会创建一些文件到 Windows\System 目录下。那些文件像一些 Windows 的正常可执行文件。大多数的特洛伊木马会在 Alt+Ctrl+Del 对话框中隐藏。 远程访问型特洛伊木马会在你的电脑上打开一个端口让每一个人连接。一些特洛伊木马有可以改变端口的选项并且设置密码为的是只能让感染你机器的人来控制特洛伊木马

密码发送型特洛伊木马 　　这种特洛伊木马的目的是找到所有的隐藏密码并且在受害者不知道的情况下把它们发送到指定的信箱。大多数这类的特洛伊木马不会在每次的 Windows重启时重启，而且它们大多数使用 25号端口发送 E-mail 。像 ICQ 号码、电脑信息等。如果你有隐藏密码，这些特洛伊木马是危险的。

键盘记录型 　　这种特洛伊木马是非常简单的。它们只作一种事情，就是记录受害者的键盘敲击并且在 LOG 文件里查找密码。通常这种特洛伊木马随着 Windows 的启动而启动。它们有像在线和离线记录这样的选项。在在线选项中，它们知道受害者在线并且记录每一件事。但在离线记录时每一件事在 Windows 启动被记录后才被记录并且保存在受害者的磁盘上等待被移动。

毁坏型 　　这种特洛伊木马的唯一功能是毁坏并且删除文件。它们非常简单，并且很容易被使用。它们可以自动的删除你电脑上的所有的 .Dll 或 .ini 或 .exe 文件。这是非常危险的特洛伊木马并且一旦你被感染确信你没有杀除，则你的电脑信息会受到极大的影响。

FTP 型特洛伊木马 　　 这类的特洛伊木马打开你电脑的 21号端口，使每一个人都可以有一个 FTP客户端且不用密码连接到你的电脑并且会有完全的上传下载选项。

第十章计算机恶意程序与病毒⑵“ ”计算机病毒 (Computer Virus) 一种人为编制的特殊程序代码，可将自己附着在其他程序代码上以便传播，可自我复制、隐藏和潜伏，并带有破坏数据、文件或系统的特殊功能。 特洛依木马的特例。 具有宿主。

第十章计算机恶意程序与病毒“⑶ ”细菌 (Bacteria) 一种简单的可自身复制的程序，一旦

进入系统，该程序就连续不停地运行，尽可能地占据处理器时间和存储空间，造成系统因缺乏可用资源而不能工作。 无宿主。

第十章计算机恶意程序与病毒“⑷ ”蠕虫 (Worm) 一种独立运行的程序代码，在网络环

境下主动传播和复制，利用系统资源侵入网络，从而阻塞和拒绝网络服务。无宿主、不驻留、仅存在于内存，可经网络传播。

第十章计算机恶意程序与病毒 二、计算机病毒的特性 所有计算机病毒都具有 (或者部分具有 )下述的特性，这些特性是病毒赖以生存的手段和机制。 ①传染性 (propagation)。感染病毒的程序一旦运行，就会感染其他的程序，并且一直保持这种传染性，进行再传染。特洛依木马型特殊程序以预施方式发

布。

第十章计算机恶意程序与病毒 ②持久性 (persistence)。带毒程序可以再传染，带毒程序的检测和清除、带毒环境的清洗、系统和数据的恢复是十分困难和费时的，甚至是不可能的。尤其在网络环境下，病毒的跟踪检测是很困难的。反病毒软件及硬件本身所具有的副作用 , 使系统恢复不稳定和困难。 ③多能性 (versatility)。计算机病毒具有各种类型，变化各异 , 攻击目标不同 , 可以针对和攻击各个应用领域，甚至无需任何预先信息。

第十章计算机恶意程序与病毒 ④潜伏性 (conceality)。绝大多数病毒代码量少、体积小，附加于其他程序之上 ,隐藏于系统之中而不易查觉，以便长期潜伏。程序固化和病毒码的微电子化 , 也从另一途径使得病毒具有长期存在性和潜伏性。潜伏期的病毒由专门事件触发，受害者很难早期发现。部分病毒具

有伪装性，难以识别。

第十章计算机恶意程序与病毒 ⑤影响性 (effectiveness)。计算机病毒既可以对数据、程序、以及整个系统带来灾难性和深远的影响，也可以对操作员、程序员、以及决策者的心理产生极大影响，造成平时和战时 , 军事与民事的双重压力。

第十章计算机恶意程序与病毒三、计算机病毒的分类， 不同的分类方式： 功能性、进展分类： 四类（四代） 驻留和感染机制分类： 文件驻留型、系统驻留型、混合驻留型、宏病毒。 宿主机不同分类： PC型病毒、Mac病毒、 UNIX病毒、网络病毒等。

第十章计算机恶意程序与病毒 1. 计算机病毒进展分类 第一代：良性和准恶性表现 第二代：恶性、破坏性、复合性机制 第三代：变异性、欺骗性、反跟踪性 第四代：交叉、融合、隐形和多形性 早期病毒与合法的特殊程序间区别模糊，这类病毒程序的表现形式是良性的，例如：占据和消耗时间和空间、修改中断矢量，改动文件指针，改动并增加文件长度，感染指定文件，破坏有限，病毒程序代码基本不变，驻留环境单一，检测消除较容易，系统恢复较好。

第十章计算机恶意程序与病毒 目前病毒新进展： 不修改中断矢量，采用插入或 "补丁 " 方式，不改动、也不增加文件长度，潜伏在保留区中，感染文件类型增加，甚至全盘感染；恶性破坏增多，物理性、复盖性破坏增加； 病毒程序代码改变或部分改变，反跟踪、反分析技术采用，潜伏性强；变异型病毒增多，修改已知病毒，增加反侦破技术。 检测消除困难，系统恢复困难；多机系统、多用户系统和网络上的病毒开始出现。

第十章计算机恶意程序与病毒2. 计算机病毒的驻留方式分类 1)文件驻留型病毒 病毒附着在可执行文件中。 2)系统驻留型病毒 病毒程序驻留在系统保留区、参数区、磁盘。 3)双重驻留型病毒 兼具上述两种情况。 4)宏病毒 利用 Word BASIC宏语言，驻留在 Word文档字模板文档，并进行感染传播，原文件病毒。

第十章计算机恶意程序与病毒宏病毒特征： ①与操纵系统平台无关 它可以感染 DOS, Windows, Win95, WinNT, MAC等系统下的文档和模板。 ②利用文档自动装载 利用 MS Word字处理软件特性自动装载病毒宏代码，其他 Office 文档也受影响。 ③感染数据文件 宏病毒可以感染 DOC, DOT, XLS等类型的数据文件。 ④检测消除困难 与传统病毒机理不同，消除困难。

第十章计算机恶意程序与病毒 第二节 计算机病毒的攻击技术 一、计算机病毒的传染途径注入 (侵入 ) -->传染 (驻留 ) -->替换 (修改 ) -->潜伏 (等待 ) -->表现 (破坏 ) -->结束 (自毁 ) 在其上任何一个环节都可以阻止病毒传染、设立警戒标志和防护栏。

第十章计算机恶意程序与病毒 二、计算机病毒的入侵机制 1.直接注入 别有用心者施放，软盘、软件传播。 2.预置注入 通过固件方式和微电子方式 , 利用智能型可控硬件产品、部件带入或安装在系统中 , 形成所谓特洛依木马式的特殊程序。当这些部件组成的产品进入对方系统 , 将形成长期的潜在威胁 , 特殊工作只需依靠某种方式激发预置的程序而已。

第十章计算机恶意程序与病毒 3.无线注入 通过无线通信方式，利用战时无线通信系统，远距离地将计算机病毒代码发送并进入敌方接收系统，继而进入中央指挥系统或者其他子系统，完成潜伏或直

接作用。这种方式的关键是收发双方的"同步 "，利用正常通信方式进入对方系统。

第十章计算机恶意程序与病毒 4.有线注入 主要是经网络的病毒注入。由于网络空间是一个人人都可进入的自由流动区，具有特殊发明创造力的计算机 "黑客 "(Hacker)总会找到进入网络系统的入口。而公共信息网络与国家专用信息网络的互连 , 打开了从不敏感部门进入敏感部门的大门。因此，军事系统受到入侵和进攻的可能性大大存在。

第十章计算机恶意程序与病毒 三、计算机病毒的潜伏机制 可能的藏身之处 磁盘文件、磁盘结构 (主引导、次引导、 FAT 、 ROOT 、 UMB 和 HMA)、保留扇区、超越扇区、磁盘间隙、 CMOS等。 网络文件、电子邮件、邮件附件等。

1MB

00000

0A000 常规内存基本内存

上位存储区

1088K 高端存储区ETM/EPM

64K

384K

640K

实模式显示存储器ROMBIOS

第十章计算机恶意程序与病毒A0000 Top

Base

640KB

00000

Top 和 Base 是两个指针，规定了应用程序装入的存储区范围，其值存放在 00413 地址（ 0280 ）。如果病毒侵入，可将 top指针下移至 top1 ，该区域被病毒程序占据，并不会被新调入的程序覆盖。应用程序区域缩小。

Top1病毒程序

操作系统

应用程序

第十章计算机恶意程序与病毒 转移到病毒程序执行：MOV SI, 0413 ; 指向 0:0413字节XOR DI, DI ; DS:SI=0:0413MOV DS, DI ; 0:0413 中内容为 0280DEC WORD PTR [SI]；减去 1K字节LODSW ; 将 027F取到 AX 中MOV CL, 06 ; CL=06SHL AX, CL ; 左移 6位 =9FC0PUSH AX ; 压入返回段地址 9FC0PUSH DI ; 压入返回位移量 0000RETF ; 转移到 9FC0:0000地址

第十章计算机恶意程序与病毒0面 0道 1扇区

MBS

1面 0道 1扇区

DBS

MBS ： Main Boot Sector 主引导扇区DBS ： DOS Boot Secotor 次引导扇区

FAT FAT Root

（系统保留扇区 62 个）病毒藏身之地

Data

第十章计算机恶意程序与病毒读MBS引导扇区：（用程序读）MOV AX, 0201 ; 读一个扇区MOV BX, 1000 ; 读入缓冲区地址 1000MOV CX, 0001 ; 读第一扇区MOV DX; 0080 ; 读 C 盘 0面INT 13 ; 读盘操作INT 3 ; 执行终止要读 63 个扇区则用 023F ，要写入一个扇区则用 0301 ，读 A 盘为 00 ， B 盘为01 ， C 盘为 80 ， D 盘为 81 ，类推… ...

第十章计算机恶意程序与病毒读 DBS引导扇区：（用程序读）MOV AX, 0201 ; 读一个扇区MOV BX, 1000 ; 读入缓冲区地址 1000MOV CX, 0001 ; 读第一扇区MOV DX; 0180 ; 读 C 盘 1面INT 13 ; 读盘操作INT 3 ; 执行终止读 DBS引导扇区：（用命令读）-L1000 2 0 1 注意： A 盘为 0 ， B 盘为 1 ， C 盘为 2 ， D 盘为 3 ，以此类推…… .

第十章计算机恶意程序与病毒 四、计算机病毒的感染机制 1.重复感染 计算机病毒的重复感染是指同一种病毒连续感染，在病毒载体上形成连续重复的病毒体驻

留或者对驻留区域进行重复覆盖。

正常文件 第一次感染 第二次感染 第 n 次感染

病毒

第十章计算机恶意程序与病毒 2.交叉感染 计算机病毒的交叉感染是指同一系列（但不同种）病毒或者不同类型病毒的重复感染或者

连续感染，感染的病毒种类在两种以上。正常文件 第一次感染 交叉感染 多次交叉感染

病毒 B

病毒 A

病毒 A 病毒 A病毒 B

病毒 A病毒 B

病毒 N必须采取循环扫描检测！

第十章计算机恶意程序与病毒 3. 破坏性感染 病毒在感染过程中对正常的系统程序、结构、参数和文件进行了覆盖，当病毒程序被清除后，会产生恢复错误，甚至不能恢复。（引导型病毒多有此类情况）

正常扇区 病毒扇区覆盖病毒体 病毒体

第十章计算机恶意程序与病毒 五、计算机病毒的变异机制 1.计算机病毒的变异性 变异病毒：也称变种病毒，利用某种病毒程序，添加新的功能、感染对象和破坏目标，修改特征码或者感染标志，破坏检测。

第十章计算机恶意程序与病毒 五、计算机病毒的变异机制 2.计算机病毒的伪装性 伪装性：病毒施放者在病毒程序中故意嵌入明显的某种已知病毒的程序代码（假特征码），以欺骗反病毒软件，造成检测判断错误，从而造成清除错误。

第十章计算机恶意程序与病毒 五、计算机病毒的变异机制 3.计算机病毒的多形性 改变病毒程序、加密变换、分段加密技术等避开反病毒软件检测。

第三节 计算机病毒的预防1. 新购置的计算机中是可能携带有病毒。 建议： 对新购置的计算机系统用检测病毒软件检查是否有已知病毒 , 用人工检测方法检查是否有未知病毒。在确保没有病毒之后，再使用计算机。

2. 新购置的硬盘或出厂时已格式化的软盘中可能有病毒。 建议： 对硬盘可以进行检测或进行低级格式化。对硬盘只做 DOS 的 FORMAT 格式化不能去除主引导区 ( 分区表扇区 ) 病毒。对软盘做

DOS 的 FORMAT 格式化可以去除病毒。

3. 对新购置的计算机软件也要进行病毒检测。 4. 如果硬盘确无病毒，最好直接用硬盘引导启动计算机，尽量不要用软盘去启动。在不联网的情况下 , 软盘是传染病毒的最主要渠道。很多以 80586为 CPU芯片的 PC 机中，可以通过设置 CMOS 参数 , 使启动时直接从硬盘引导启动 ,而根本不去读 A 盘。

5. 定期与不定期地进行磁盘文件备份工作。 当然备份前要保证没有病毒 , 不然也会将病毒备份。不要等到由于病毒破坏、 PC 机硬件或软件故障使用户数据受到损坏时再去急救。特别是，重要的数据应当及时进行备份。

6.对于软盘，要尽可能将数据和程序分别存放。装程序的软盘要贴有写保护签。 7. 自己的软盘在别人的机器上使用过之后，在自己的机器上使用之前应进行病毒检测。在自己的机器上使用别人的软盘之前，也应进行病毒检查。对重点保护的机器应做到专机、专人、专盘、专用。封闭的使用环境中，不会自然产生计算机病毒。

8.任何情况下，应保留一张写保护的、无病毒的、带有各种 DOS命令文件的系统启动软盘，用于清除病毒和维护系统。 9. 做好分区表、 DOS 引导扇区等的备份工作，在进行系统维护和修复工作时可作为参考。 10. 对于多人共用一台计算机的环境，应建立登记上机制度，使问题能尽早发现，有病毒能及时追查、清除 , 不致扩散。

11. 网络管理员在启动 Novell 网或其它网络的服务器时，一定要坚持用硬盘引导启动，否则在受到引导扇区型病毒感染和破坏后将会影响连接整个网络的中枢。

12. 网络服务器安装生成时，应划分成多文件卷系统。 建议至少划分成 SYS 系统卷、共享的应用程序卷和各个网络用户可以独占的用户数据卷。利于维护网络服务器的安全稳定运行和用户数据的安全。如果系统卷受到损伤 , 导致服务器瘫痪，那么通过重装系统卷，恢复网络操作系统，使服务器重新投入运行。装在共享的应用程序卷和用户卷内的程序和数据文件将不会受到损伤； 如果用户卷内的存储空间拥塞时，系统卷将不受影响，从而，不会影响网络系统的正常运行；这种划分有利于系统管理员设置网络安全存取权限。

13. 网络管理员在安装服务器时，应保证安装环境无病毒，同时网络操作系统本身也不带病毒。14. 网络系统管理员应将 SYS 系统卷设置成对其它用户为只读状态，屏蔽其它网络用户对系统卷除读以外的所有其它操作。保证除系统管理员外 , 其它网络用户不可能将病毒感染到系统卷中。使网络用户总有一个安全的联网工作环境。

15. 只允许系统管理员（而不是其它别人）在应用程序卷中安装共享软件。软件本身应不含病毒，其安装环境也不得带病毒。应用卷也应设置成对一般用户是只读的。不经授权、不经病毒检测，就不允许在共享的应用程序卷中安装程序。 16. 系统管理员应该对网络内的共享电子邮件系统、共享存储区域和用户卷进行病毒扫描。发现异常情况应及时处理，不使其扩散。系统管理员还应该在应用程序卷中维持最新版本的反病毒软件供用户使用。

18. 系统管理员应在服务器上安装防病毒系统。19．在互联网络中，不可能有绝对的把握阻止一切新生病毒的传染。因此，当出现病毒传染迹象时，应立即隔离被感染的系统和网络并进行处理，不应让系统带病毒继续工作下去。

第十章计算机恶意程序与病毒 第三节 计算机病毒实例分析 分析中不涉及病毒体源代码 一、引导扇区病毒 二、文件驻留型病毒 三、系统驻留型病毒 四、混合驻留型病毒 五、宏病毒

一、 引导扇区病毒 引导扇区是硬盘或软盘的第一个扇区。软盘只有一个引导区。一旦被格式化，引导区就已存在。硬盘有两个引导区。 0 面 0道 1 扇区称为主引导区，内有主引导程序和分区表。主引导程序查找激活分区，该分区的第一个扇区即为 DOS BOOT SECTER 。

绝大多数病毒感染硬盘主引导扇区和软盘 DOS引导扇区。一般来说，引导扇区先于其他程序获得对 CPU的控制，通过把自己放入引导扇区，病毒就可以立刻控制整个系统。病毒代码代替了原始的引导扇区信息，并把原始的引导扇区信息移到磁盘的其它扇区。当 DOS 需要访问引导数据信息时，病毒会引导 DOS 到贮存引导信息的新扇区，从而使 DOS无法发觉信息被挪到了新的地方。

第十章计算机恶意程序与病毒一、文件驻留型病毒

文件型病毒的宿主不是引导区而是一些可执行程序。病毒把自己附加在可执行文件中，并等待程序运行。病毒会驻留在内存中，企图感染其它文件，并破坏系统。当病毒已经完成了工作后，其宿主程序才被运行，使系统看起来一切正常。和引导扇区病毒不同，文件型病毒把自己附着或追加在 *.EXE 和 *.COM这样的可执行文件上。根据附着类型不同，可将文件型病毒分为三类：覆盖型、前 / 后附加型和伴随型。

文件型病毒基本上有如下传播方式：　1， 通过查目录进行传播。　截获 INT 21H 功能的 11H 和 12H 。　这样 DIR 的时候你就可以获得控制权了。　2， 通过执行进行传播。　截获 INT 21H 4B子功能。　这样每个可执行文件在执行的时候都逃不过你的眼睛。　

3 ， 通过文件查找进行传播。　截获 INT 21H 4E ， 4F 子功能。　这样有人使用象 TC ， TP 等编程工具查找文件的时候逃不过你的眼睛。　 4 ， 通过文件关闭的时候进行传播。　即使你现在正在编译，当执行文件生成后关闭的时候也可以感染。　 5 ，自己加载的时候 。。。。。。。　

COM 病毒举例文件驻留型病毒

正常程序 正常程序病毒

程序入口被篡改为一条转移指令或者调用指令。如： JMP xxxx CALL xxxx

病毒体程序附着在正常程序后部

例： COM 文件是一种单段执行结构，起源于 CPM-86操 作 系 统 ， 其 执 行 文 件 代 码 和 执 行 时 内存影象完全相同，起始执行偏移地址为 100H ，对应于文件的偏移 0 。运行我们的 DEBUG 程序，我们先来做一个练习。我们拿 DOS6.22西文版中的 more.com来做实验。 C:\>debug more.com -u 0CA4:0100 B8371E　MOV　 AX,1E37 ;注意前三个字节的内容 0CA4:0103 BA3008　　　MOV　 DX,08300CA4:0106 3BC4　　　　 CMP　　 AX,SP ；…………

0CA4:0108 7369　　　　　 JNB　　 0173 0CA4:010A 8BC4　　　　　MOV　　 AX,SP 0CA4:010C 2D4403　　　　 SUB　　 AX,0344 0CA4:010F 90　　　　　　 NOP 0CA4:0110 25F0FF　　　　 AND　　 AX,FFF0 0CA4:0113 8BF8　　　　　MOV　　 DI,AX 0CA4:0115 B9A200　　　　MOV　　 CX,00A2 0CA4:0118 90　　　　　　 NOP 0CA4:0119 BE7E01　　　　MOV　　 SI,017E 0CA4:011C FC　　　　　　 CLD 0CA4:011D F3　　　　　　 REPZ 0CA4:011E A5　　　　　　MOVSW 0CA4:011F 8BD8　　　　　MOV　　 BX,AX -r AX=0000　 BX=0000　 CX=09F1　 DX=0000　 SP=FFFE　BP=0000　 SI=0000　 DI=0000 DS=0CA4　 ES=0CA4　 SS=0CA4　 CS=0CA4　 IP=0100　 NV UP EI PL NZ NA PO NC 0CA4:0100 B8371E　　　　MOV　　 AX,1E37

-a af10CA4:0AF1 mov ah,00CA4:0AF3 int 16H　　；等待按键CA4:0AF5 cmp al,1b ；等待 ESC键0CA4:0AF7 jnz af1 0CA4:0AF9 mov word ptr [100],37b8　；恢复程序开始的三个字节0CA4:0AFF mov byte ptr [102],1e0CA4:0B04 push cs ；进栈 CS:1000CA4:0B05 mov si,1000CA4:0B08 push si0CA4:0B09 retf　 ;retf 回到 CS:100 ，程序开始处 0CA4:0B0A

-a 1000CA4:0100 jmp af1；将程序开头改成跳转到修改的模块0CA4:0103-r cx CX 09F1: a0a 文件字节数-w

Writing 00A0A bytes-q

修改完了，执行一下 more ， 无动作，如果不按 ESC键程序无法执行，流程很简单：1 、把程序开始处的指令修改成了跳转到最后的添加的程序位置。2 、最先执行添加的程序（相当于病毒模块），等待 E

SC键 。3 、按下 ESC键后修改回程序开始的指令，跳转回最开始。（执行原始程序）

COM 病毒的工作机制如此。

第十章计算机恶意程序与病毒二、文件驻留型病毒

正常程序 正常程序病毒

程序入口被篡改为一条转移指令或者调用指令。如： JMP xxxx CALL xxxx

病毒体程序附着在正常程序后部

第十章计算机恶意程序与病毒三、系统驻留型病毒（一）正常引导扇区

正常引导扇区病毒

程序入口被篡改为一条转移指令如： JMP xxxx 对 MBS 和 DBS 类似

病毒体程序嵌入正常引导扇区后部

第十章计算机恶意程序与病毒三、系统驻留型病毒（二）正常引导扇区 正常引导扇区

引导扇区被篡改为病毒程序，病毒程序执行完后调用正常引导扇区。 对 MBS 和 DBS 类似

病毒程序

第十章计算机恶意程序与病毒三、系统驻留型病毒（三）正常引导扇区

正常引导扇区病毒引导程序

程序入口被篡改为一条转移指令如： JMP xxxx 对 MBS 和 DBS 类似 病毒体引导程序嵌入正常引导扇区后部，再读入另一段病毒程序。磁盘上另一段病毒体读入内存

第十章计算机恶意程序与病毒四、混合驻留型病毒

正常引导扇区正常引导扇区病毒引导程序

程序入口被篡改为一条转移指令如： JMP xxxx 对 MBS 和 DBS 类似 病毒体引导程序嵌入正常引导扇区后部，再读入病毒程序文件。病毒程序文件

读入内存