被它感染的可执行文件!
病毒的基本原理就是把自己的执行代码添入到可执行文件中,修改可执行文件pe,让可执行文件执行的时候指向自己的执行代码,从而进行破坏!
以前dos下看机器有没有病毒,常常看看command.com的长度是否正确,因为病毒驻留以后长度变长了.后来的病毒很聪明,利用可执行文件的孔隙部分保存自己,可执行文件长度就不变了.
windows下病毒就更麻烦了!因为windows下的pe结构非常复杂.不过基本原理如此!
病毒的基本原理就是把自己的执行代码添入到可执行文件中,修改可执行文件pe,让可执行文件执行的时候指向自己的执行代码,从而进行破坏!
以前dos下看机器有没有病毒,常常看看command.com的长度是否正确,因为病毒驻留以后长度变长了.后来的病毒很聪明,利用可执行文件的孔隙部分保存自己,可执行文件长度就不变了.
windows下病毒就更麻烦了!因为windows下的pe结构非常复杂.不过基本原理如此!
我认为你说的不全对,病毒的宿主程序应该是系统程序,是哪个系统程序呢?
曾看到过,好象是进入RING0后,HOOK了文件读写。
以前好像在win98下不UnHook
程序退出好象Hook仍在
我忘了