计算机病毒结构与防治策略：多态与虚拟执行

第2章《查杀技术-计算机病毒结构分析》深入探讨了计算机病毒的结构和工作机制，以及相应的查杀策略。章节的核心内容包括： 1. **病毒的四大模块**： - **感染模块**：病毒的主要功能，它决定了病毒如何传播，分为被动传染（静态时）和主动传染（动态时）。被动传染主要通过磁盘复制或网络传输，而主动传染则依赖于病毒自身的激活状态。 - **触发模块**：决定何时激活病毒的行为，可能基于特定的时间、事件或条件。 - **破坏模块（表现模块）**：执行破坏操作，如删除文件、篡改数据等。 - **引导模块（主控模块）**：负责病毒的初始化和引导过程，包括寄生位置的选择（引导区或可执行文件）、驻留内存、窃取系统控制权等。 2. **病毒的工作机制**： - **引导模块的引导过程**：无论是引导区病毒还是文件型病毒，都涉及到替换系统引导程序、加载传染模块至内存并控制程序执行。 - **感染模块**：通过立即传染或驻留在内存中等待时机，病毒在宿主程序执行前后传染其他程序。 3. **病毒结构的两个状态**： - **静态状态**：病毒未被激活，隐藏在载体中。 - **动态状态**：病毒被激活，具有传染能力。 4. **针对不同类型的多态病毒查杀方法**： - 对于前三类多态病毒，利用病毒特征码或改进后的特征码进行识别和清除。 - 第四类多态病毒需要更复杂的特征码策略。 - 针对第五、六类高度多态化的病毒，传统的特征码技术无效，虚拟执行技术成为有效的应对手段。 5. **文件型病毒的特性**： - 通过特定标识判断文件是否被感染，然后将病毒链接至文件并在适当位置存储。 - 有多种传染途径，如加载执行文件、浏览目录和创建文件过程中。 本章着重讲解了计算机病毒的基本构造、其工作原理以及如何根据不同类型的病毒采取相应的查杀技术，对于理解病毒威胁和防护至关重要。