計算機病毒與防治,計算機病毒與防治課程小組,1,3-4 com病毒分析與防范,COM病毒的防范,COM病毒,3-4 com病毒分析與防范,計算機病毒與防治課程小組,2,COM病毒,計算機病毒與防治課程小組,COM病毒感染一般有兩種途徑，一種是將自身代碼附加到宿主程序之前，病毒執(zhí)行完后恢復(fù)寄生程序原先的狀態(tài)，并用JMP FAR等指令使程序再次回到CS:100H處，以確保寄生程序與PSP的一致。但更為常見的病毒為采用保存文件頭若干字節(jié)，并將第一條指令改為“JMP 病毒入口”，以確保病毒最先執(zhí)行。病毒執(zhí)行完后，會恢復(fù)并運行原文件，以便傳播，當(dāng)其將原文件參數(shù)全部恢復(fù)后，會將控制權(quán)交于CS:100H處。,3,COM病毒的防范,計算機病毒與防治課程小組,圖3.21 Masm軟件運行界面,4,COM病毒的防范,計算機病毒與防治課程小組,圖3.22 鍵入代碼后的界面,5,COM病毒的防范,計算機病毒與防治課程小組,圖3.23 保存test.asm文件,6,COM病毒的防范,計算機病毒與防治課程小組,圖3.24 test.asm運行結(jié)果,7,COM病毒的防范,計算機病毒與防治課程小組,圖3.25 新建空白匯編程序,8,COM病毒的防范,計算機病毒與防治課程小組,圖3.26 virus.asm運行結(jié)果,9,COM病毒的防范,計算機病毒與防治課程小組,圖3.27 virus.exe運行結(jié)果,10,COM病毒的防范,計算機病毒與防治課程小組,圖3.28 修改test.asm為,11,Thank You !,12,