可執行文件感染病毒后又怎樣感染新的可執行文件？

　在系統運行時(shí), 病毒通過(guò)病毒載體即系統的外存儲器進(jìn)入系統的內存儲器, 常駐內存。該病毒在系統內存中監視系統的運行, 當它發(fā)現有攻擊的目標存在并滿(mǎn)足條件時(shí),便從內存中將自身存入被攻擊的目標, 從而將病毒進(jìn)行傳播。 而病毒利用系統INT 13H讀寫(xiě)磁盤(pán)的中斷又將其寫(xiě)入系統的外存儲器軟盤(pán)或硬盤(pán)中, 再感染其他系統�？蓤绦形募�感染病毒后又怎樣感染新的可執行文件? 可執行文件.COM或.EXE感染上了病毒, 例如黑色星期五病毒, 它駐入內存的條件是在執行被傳染的文件時(shí)進(jìn)入內存的。一旦進(jìn)入內存,便開(kāi)始監視系統的運行。當它發(fā)現被傳染的目標時(shí), 進(jìn)行如下操作：（1）首先對運行的可執行文件特定地址的標識位信息進(jìn)行判斷是否已感染了病毒；（2）當條件滿(mǎn)足, 利用INT 13H將病毒鏈接到可執行文件的首部或尾部或中間, 并存大磁盤(pán)中； （3）完成傳染后, 繼續監視系統的運行, 試圖尋找新的攻擊目標。操作系統型病毒是怎樣進(jìn)行傳染的? 正常的PC DOS啟動(dòng)過(guò)程是：（1）加電開(kāi)機后進(jìn)入系統的檢測程序并執行該程序對系統的基本設備進(jìn)行檢測；（2）檢測正常后從系統盤(pán)0面0道1扇區即邏輯0扇區讀入Boot引導程序到內存的0000: 7C00處；（3）轉入Boot執行之；（4）Boot判斷是否為系統盤(pán), 如果不是系統盤(pán)則提示；non-system disk or disk error Replace and strike any key when ready否則, 讀入IBM BIO.COM和IBM DOS.COM兩個(gè)隱含文件；（5）執行IBM BIO.COM和IBM DOS.COM兩個(gè)隱含文件, 將COMMAND.COM裝入內存；（6）系統正常運行, DOS啟動(dòng)成功。如果系統盤(pán)已感染了病毒, PC DOS的啟動(dòng)將是另一番景象, 其過(guò)程為：（1）將Boot區中病毒代碼首先讀入內存的0000: 7C00處；（2）病毒將自身全部代碼讀入內存的某一安全地區、常駐內存, 監視系統的運行；（3）修改INT 13H中斷服務(wù)處理程序的入口地址, 使之指向病毒控制模塊并執行之。因為任何一種病毒要感染軟盤(pán)或者硬盤(pán),都離不開(kāi)對磁盤(pán)的讀寫(xiě)操作, 修改INT13H中斷服務(wù)程序的入口地址是一項少不了的操作；（4）病毒程序全部被讀入內存后才讀入正常的Boot內容到內存的0000: 7C00處, 進(jìn)行正常的啟動(dòng)過(guò)程；（5）病毒程序伺機等待隨時(shí)準備感染新的系統盤(pán)或非系統盤(pán)。如果發(fā)現有可攻擊的對象, 病毒要進(jìn)行下列的工作：（1）將目標盤(pán)的引導扇區讀入內存, 對該盤(pán)進(jìn)行判別是否傳染了病毒；（2）當滿(mǎn)足傳染條件時(shí), 則將病毒的全部或者一部分寫(xiě)入Boot區, 把正常的磁盤(pán)的引導區程序寫(xiě)入磁盤(pán)特寫(xiě)位置；（3）返回正常的INT 13H中斷服務(wù)處理程序, 完成了對目標盤(pán)的傳染 文章來(lái)源whseojs.com   轉載請注明

在windows系統保護模式下。exe很難操作到實(shí)模式的mbr的

軟件的東西不是特別清楚，學(xué)習一下