3.1 计算机体系结构依赖性

作者: Peter Szor 出处:机械工业出版社 　2007-07-16 10:56　   砖    好    评论  条 　进入论坛

阅读提示：本书由Symantec首席反病毒研究员执笔，是讲述现代病毒威胁、防御技术和分析工具的权威指南。作者系统地讲述了反病毒技术的方方面面，包括病毒行为、病毒分类、保护策略、反病毒技术及蠕虫拦截技术等。本文介绍的是计算机体系结构依赖性。

3.1 计算机体系结构依赖性
大部分计算机病毒是以可执行的、二进制的形式（又称作编译过的形式）进行传播的。例 如，引导区病毒将自己的代码复制到一个或几个扇区中，并接管计算机的引导顺序。在最早有 记录的计算机病毒事件中， Apple II上的Elk Cloner就是一个引导区病毒。Elk Cloner修改了加载 的操作系统，加入了一个跟它自己相联系的钩子（hook），这样Elk Cloner就可以拦截磁盘访问， 利用其自身代码的拷贝覆盖新插入磁盘的系统引导扇区来感染新插入的磁盘。Brain是最早知道 的PC上的计算机病毒，它也是一个引导区病毒，编写于1986年。尽管这两个系统（Apple II和 PC。—译者注）的引导顺序以及这两个病毒的结构都有相似之处，但病毒确实非常依赖于计 算机体系结构本身的特性（如在本章中稍后将要讲述的对CPU的依赖关系）以及具体的加载程 序和内存的布局（layout）。因此，二进制形式的病毒严重依赖于计算机体系结构。这就很好地 解释了为什么Apple II上的计算机病毒通常都不会感染IBM PC，反之亦然。
理论上，创建一个多体系结构的二进制形式的病毒是可行的，但实际操作却绝非易事。要 使为某个体系结构开发的代码能够在另一个体系结构的系统上运行也非常困难。然而，为两个 不同的体系结构编写独立的代码并将此代码插入同一病毒相对来说要简单一些。这样的病毒必 须确保用正确的代码获得了对正确体系结构的控制权。2001年3月，PeElf病毒的出现就证实了创 建跨平台的二进制形式的病毒是可行的。
病毒的作者找到了另外一种方法来解决多体系结构和操作系统的问题，那就是通过将病毒 代码先翻译成伪格式（pseudoformat），然后再将其翻译成适合新的体系结构的代码。Mental Driller编写的Simile.D病毒（又称作Etap.D）就使用这一策略在32位Intel（与其兼容的）体系结 构上的Windows和Linux之间进行传播。
有趣的是，你会注意到有些病毒在特殊的环境下就会停止进行复制。这种尝试最早出现在 Cascade（瀑布）病毒上，它是1987年由一个德国程序员编写的。Cascade的作者希望它查看系 统的BIOS，如果发现了IBM版权，那么病毒就停止进行复制。然而病毒的这一部分有一小的bug （程序缺陷），因此该病毒实际上可以感染所有类型的系统。它的作者不断地发布这一病毒的修 订版本来修正这一bug，然而新版本的这部分仍然有一些bug[8]。
另外有一类计算机病毒依赖于系统BIOS更新的特性。在被称做可擦写（flashable）或可更 新（upgradeable）的BIOS系统上，感染BIOS是可行的。澳大利亚一个称做VLAD的臭名昭著的 病毒开发组已经发表了在这种病毒方面的一些努力。

回书目   上一节   下一节