计算机
在DOS环境下开发过反病毒软件或杀毒引擎的人,应该对修改文件代码以清除病毒的操作非常熟悉。这种技术手段其实并不复杂,而
计算机病毒的感染方式也相对固定,主要可以归纳为以下三种类型:第一种是感染系统的关键区域,通过篡改或替换系统特定部分的代码,使病毒代码获取控制权。例如,感染
硬盘主引导扇区(MBR代码)或者操作系统分区引导扇区(Boot代码)。这类病毒在DOS时代被称为引导型病毒。第二种是感染可执行文件。病毒会附着在目标文件上,通过修改可执行文件头部中的执行入口点地址,或是第一条指令等方式,让病毒代码得以执行并获得控制权。这种方式在DOS时代被定义为文件型病毒。第三种则是直接感染整个系统。这类病毒通常以独立可执行文件的形式存在于系统中,并通过修改系统配置(如注册表中的开机启动项、服务列表等),确保病毒文件能够在系统运行时被执行,从而获取控制权。这种类型的病毒在DOS时代较为少见,但在Windows时代却十分普遍。回顾DOS时代,清除文件型病毒的过程本质上就是对受感染可执行文件进行修复。具
体操作包括恢复文件头中的执行入口点地址,或是第一条指令等内容,使得病毒代码无法执行,进而失去控制权(这一过程也被称为失活病毒)。随后,再将附加在文件上的病毒主体从文件中彻底清除,这样便完成了病毒的清理工作。进入Windows时代后,文件型病毒的数量有所减少,但病毒、木马和恶意程序往往以独立可执行文件的形式存在并入侵系统。尽管如此,文件型病毒并未完全消失。例如,CIH病毒和熊猫烧香病毒都是典型的Windows文件型病毒,它们会感染Windows平台下的可执行文件。清除这些病毒时,同样需要对受感染的可执行文件进行修复,也就是对文件代码进行调整。当前,绝大多数Windows病毒是以独立可执行文件的形式感染系统的,而不是寄生在现有的正常可执行文件中。因此,在清除此类病毒时,通常只需要删除(或隔离)病毒文件本身即可,同时可能还需要对系统配置(如注册表等)进行一定的修复。在这种情况下,没有必要对现有的正常可执行文件代码进行修改。
