計算機病毒一般都具有潛伏傳染激發(fā)破壞等多種機制，但其傳染機制反映了病毒程序最本質(zhì)的特征，離開傳染機制，就不能稱其為病毒。那么，pe文件病毒是如何被啟動的呢？

小編了解到，pe文件病毒是將可執(zhí)行文件的代碼中程序入口地址改為病毒的程序入口，這樣就會導致用戶在運行的時候執(zhí)行病毒文件，這就是它的啟動方式。

PE病毒常見的感染其他文件的方法是在文件中添加一個新節(jié)，然后往該新節(jié)中添加病毒代碼和病毒執(zhí)行后的返回Host程序的代碼，并修改文件頭中代碼開始執(zhí)行位置(AddressOfEntryPoint)指向新添加的病毒節(jié)的代碼入口，以便程序運行后先執(zhí)行病毒代碼。下面以CIH病毒為例具體分析病毒感染過程：

CIH病毒屬于文件型病毒，主要感染W(wǎng)indows PE可執(zhí)行文件。由于CIH病毒使用了VxD技術(shù)使得這種病毒在Windows環(huán)境下傳播，其實施性和隱蔽性都特別強，使用一般反病毒軟件很難發(fā)現(xiàn)這種病毒在系統(tǒng)中傳播。

感染了CIH病毒的程序被執(zhí)行時，CIH首先使用了SIDT取得中斷描述符表基地址，然后將INT3的入口地址改為指向CIH病毒自身的INT3程序入口。接著CIH自己產(chǎn)生一條INT3指令，這樣CIH病毒就可以獲得最高級別的CPU使用權(quán)限。接下來，CIH將判斷DR0寄存器的值是否為0，如果不是則表明計算機已被CIH病毒感染，自己則正常退出;如果DR0寄存器的值為0，就表明沒有CIH病毒駐留內(nèi)存，這時CIH病毒首先會將當前EBX寄存器的值賦給DR0寄存器，作上駐留標記，然后調(diào)用INT20，使用VxD call page ALLocate系統(tǒng)調(diào)用，向系統(tǒng)申請內(nèi)存空間來駐留，當申請成功后，CIH病毒就從被感染的文件中將其病毒代碼組合起來，放到申請的內(nèi)存空間中。隨后CIH病毒再次調(diào)用INT3進入CIH病毒體的INT3入口程序，接著調(diào)用INT20，調(diào)用一個IFSMgr_Install File System ApiHook 子程序，目的是借助文件系統(tǒng)處理函數(shù)來截取系統(tǒng)文件，調(diào)用操作。完成這個工作之后，Windows 98/95默認的IFSMgr_Ringo_ FileI0服務程序的入口地址將被CIH病毒保留，以便它的調(diào)用。

這樣CIH病毒就完成了引導工作，駐留在內(nèi)存中，開始監(jiān)視系統(tǒng)的文件調(diào)用操作。一旦系統(tǒng)出現(xiàn)要求調(diào)用文件CIH就首先截獲被調(diào)用的文件。然后判斷該文件是否為PE格式的EXE 文件，如果是就將自身拆成幾段，插入到該文件的空域中，然后修改PE格式文件的文件頭中的文件映像執(zhí)行參數(shù)，使其首先指向病毒體;如果不是就將調(diào)用轉(zhuǎn)接給Windows 98/95的IFSMgr_I0服務程序。

以上就是佰佰安全網(wǎng)給大家介紹的pe文件病毒是如何被啟動的相關(guān)介紹，有興趣的可以點擊收藏哦。稍后，我們介紹如何清除寄生在文件上的病毒，歡迎關(guān)注這部分網(wǎng)絡病毒小知識。

責任編輯:鄒蘭