病毒如何感染文件

Ⅰ 文件型病毒傳染的主要對象是什麼類文件

文件型病毒傳染的對象主要是.COM和.EXE文件。

所有通過操作系統的文件系統進行感染的病毒都稱作文件病毒，所以這是一類數目非常巨大的病毒。理論上可以製造這樣一個病毒，該病毒可以感染基本上所有操作系統的可執行文件。

文件病毒可以感染所有標準的DOS可執行文件：包括批處理文件、DOS下的可載入驅動程序（.SYS）文件以及普通的COM/EXE可執行文件。

當然還有感染所有視窗操作系統可執行文件的病毒，可感染文件的種類包括：視窗3.X版本，視窗9X版本，視窗NT和視窗2000版本下的可執行文件，後綴名是EXE、DLL或者VXD、SYS。

(1)病毒如何感染文件擴展閱讀：

文件型病毒的原理：攜滑

當被感染程序執行之後，病毒會立刻（入口點被改成病毒代碼）或者在隨後的某個時間（「無入口點病毒」）獲得控制權。

獲得控制權後，病毒通常會進行下面的操作（某個具體的病毒不一定進行了所耐棚有這些操作，操作的順序也很可能不一樣）：內存駐留的病毒首先檢查系統可用內存，查看內存中是否已經有病毒代碼存在，如果沒有將病毒代碼裝入內存中。

非內存駐留病毒會在辯畝臘這個時候進行感染，查找當前目錄、根目錄或者環境變數PATH中包含的目錄，發現可以被感染的可執行文件就進行感染。

參考資料來源：網路-文件型病毒

Ⅱ 病毒對pe文件的感染方式

病毒對pe文件的感染方式：傳統感染。

該類病技術性，病毒編寫者通常需要對PE文件格式有比較深入的了解。該類病毒感染的原理是將病毒代碼寫入到目標宿主程序體內，修改目標宿主程序的文件頭或者部分程序代碼，使得宿主程序在運行時可以調用病毒代碼的執行。

捆綁式感染

這類計算首坦友機病毒在感染宿主程序時，會信猜使自身整體直接或者進行壓縮之後放入到目標宿主程序之中，或者者槐將自身代碼覆蓋到目標宿主程序最前面，同時將目標宿主程序直接或者進行壓縮後保存在病毒程序之後。這樣，當目標宿主程序運行時，實際上執行的是計算機病毒程序，為了保證目標程序也可以正常執行，該類計算機病毒會將原始目標程序解壓釋放然後執行。

Ⅲ 病毒是如何感染文件的

在系統運行時,
病毒通過病毒載體即系統的外存儲器進入系統的內存儲器,
常駐內存。該病毒在系統內存中監視系統旦友的運行,
當它發現有攻擊的目標存在並滿足條件時,便從內存中將自身存入被攻擊的目標,
從而將病毒進行傳播。
而病毒利用系統INT
13H讀寫磁碟的中斷又將其寫入系統的外存儲器軟盤或硬碟中,
再感染其他系統。
可執行文件感染病毒後又怎樣感染新的可執行文件?
可執行文件.COM或.EXE感染上了病毒,
例如黑色星期五病毒,
它駐入內存的條件是在執行被傳染的文件時進入內存的。
一旦進入內存,便開始監模喊槐視系統的運行。當它發現被傳染的目標時,
進行如下操作：
（1）首先對運行的可執行文件特定地址的標識位信息進行判斷是否已感染了病毒；
（2）當條件滿足,
利用INT
13H將病毒鏈接到可執行文件的首部或尾部或中間,
並存大磁碟中；
（3）完成傳染後,
繼續監視系統的運行,
試圖尋找新的攻擊目標。
操作系統型病毒是怎樣進行傳染的?
正常的PC
DOS啟動過程是：
（1）加電開機後進入系統的檢測程序並執行該程序對系統的基本設備進行檢測；
（2）檢測正常後從系統盤0面0道1扇區即邏輯0扇區讀入Boot引導程序到內存的0000:
7C00處；
（3）轉入Boot執行之；
（4）Boot判斷是否為系統盤,
如果不是系統盤則提示；
non-system
disk
or
disk
error
Replace
and
strike
any
key
when
ready
否則,
讀入IBM
BIO.COM和IBM
DOS.COM兩個隱含文件；
（5）執行IBM
BIO.COM和IBM
DOS.COM兩個隱含文件,
將COMMAND.COM裝入內存；
（6）系統正常運行,
DOS啟動成功。
如果系統盤已感染了病毒,
PC
DOS的啟動將是另一番景象,
其過程為：
（1）將Boot區中病毒代碼首先讀入內存的0000:
7C00處；
（2）病毒將自身全部代碼讀入內存的某一安全地區、常駐內存,
監視系統的運行；
（3）修改INT
13H中斷服務處理程序的入口地址,
使之指向病毒控制模塊並執行之。因為任何一種病毒要感染軟盤或者硬碟,都離不開對磁碟的讀寫操作,
修改INT13H中斷服務程序的入口地址是一項少不了的操作；
（4）病毒程序全部被讀入內存後才讀入正常的Boot內容到內存的0000:
7C00處,
進行正常的啟動過程；
（5）病毒程序伺機等待隨時准備感染新的系統盤或非系統盤。
如果發現有可攻擊的對象,
病毒要進行下列的工作：
（1）將目標盤的引導扇區讀入內存,
對該盤進行判別是否傳染了病毒；
（2）當滿足傳染條件時,
則將病毒的全部或者一部分寫入Boot區,
把正常的磁碟的引導區程序寫入磁碟特寫位置；
（3）返回正常的INT
13H中斷服務處理程滲掘序,
完成了對目標盤的傳染
http://www.skyhosting.com.cn/frontend/hosting/Detail.aspx?Proct=2