4.1.2　病毒的三個基本結(jié)構(gòu)

計算機病毒本身的特點是由其結(jié)構(gòu)決定的，所以計算機病毒在其結(jié)構(gòu)上有其共同性。計算機病毒一般包括引導(dǎo)模塊、傳染模塊和表現(xiàn)（破壞）模塊三大功能模塊，但不是任何病毒都包含這三個模塊。傳染模塊的作用是負責(zé)病毒的傳染和擴散，而表現(xiàn)（破壞）模塊則負責(zé)病毒的破壞工作，這兩個模塊各包含一段觸發(fā)條件檢查代碼，當(dāng)各段代碼分別檢查出傳染和表現(xiàn)或破壞觸發(fā)條件時，病毒就會進行傳染和表現(xiàn)或破壞。觸發(fā)條件一般由日期、時間、某個特定程序、傳染次數(shù)等多種形式組成。

對于寄生在磁盤引導(dǎo)扇區(qū)的病毒，病毒引導(dǎo)程序占有了原系統(tǒng)引導(dǎo)程序的位置，并把原系統(tǒng)引導(dǎo)程序搬移到一個特定的地方。系統(tǒng)一啟動，病毒引導(dǎo)模塊就會自動地載入內(nèi)存并獲得執(zhí)行權(quán)，該引導(dǎo)程序負責(zé)將病毒程序的傳染模塊和發(fā)作模塊裝入內(nèi)存的適當(dāng)位置，并采取常駐內(nèi)存技術(shù)以保證這兩個模塊不會被覆蓋，再對這兩個模塊設(shè)定某種激活方式，使之在適當(dāng)時候獲得執(zhí)行權(quán)。處理完這些工作后，病毒引導(dǎo)模塊將系統(tǒng)引導(dǎo)模塊裝入內(nèi)存，使系統(tǒng)在帶病毒狀態(tài)下運行。

對于寄生在可執(zhí)行文件中的病毒，病毒程序一般通過修改原有可執(zhí)行文件，使該文件在執(zhí)行時先轉(zhuǎn)入病毒程序引導(dǎo)模塊，該引導(dǎo)模塊也可完成把病毒程序的其他兩個模塊駐留內(nèi)存及初始化的工作，把執(zhí)行權(quán)交給執(zhí)行文件，使系統(tǒng)及執(zhí)行文件在帶毒的狀態(tài)下運行。

對于病毒的被動傳染而言，是隨著拷貝磁盤或文件工作的進行而進行傳染的。而對于計算機病毒的主動傳染而言，其傳染過程是：在系統(tǒng)運行時，病毒通過病毒載體即系統(tǒng)的外存儲器進入系統(tǒng)的內(nèi)存儲器、常駐內(nèi)存，并在系統(tǒng)內(nèi)存中監(jiān)視系統(tǒng)的運行。

在病毒引導(dǎo)模塊將病毒傳染模塊駐留內(nèi)存的過程中，通常還要修改系統(tǒng)中斷向量入口地址（例如INT 13H或INT 21H），使該中斷向量指向病毒程序傳染模塊。這樣，一旦系統(tǒng)執(zhí)行磁盤讀寫操作或系統(tǒng)功能調(diào)用，病毒傳染模塊就被激活，傳染模塊在判斷傳染條件滿足的條件下，利用系統(tǒng)INT 13H讀寫磁盤中斷把病毒自身傳染給被讀寫的磁盤或被加載的程序，也就是實施病毒的傳染，再轉(zhuǎn)移到原中斷服務(wù)程序執(zhí)行原有的操作。

計算機病毒的破壞行為體現(xiàn)了病毒的殺傷力。病毒破壞行為的激烈程度，取決于病毒作者的主觀愿望和其所具有的技術(shù)能量。

數(shù)以萬計、不斷發(fā)展擴張的病毒，其破壞行為千奇百怪，不可能窮舉其破壞行為，也難以做全面的描述。病毒破壞目標(biāo)和攻擊部位主要有系統(tǒng)數(shù)據(jù)區(qū)、文件、內(nèi)存、系統(tǒng)運行、運行速度、磁盤、屏幕顯示、鍵盤、喇叭、打印機、CMOS、主板等。