窥视计算机病毒的磁盘存储结构

　　另外，由于DOS分配磁盘空间时，必须将分配的每一簇与一个文件相联系，但是，系 统型病毒程序第二部分所占用的簇没有对应的文件名，它们是以直接磁盘读写的方式被存取的，这样它们所占用的簇就有可能被DOS分配给新建立的磁盘文件，从而被覆盖。为 了避免这样的情况发生，病毒程序在将其第二部分写入空白簇后，立即将这些簇在FAT中登记项的内容，强制地标记为坏簇（FF7H），经过这样处理后，DOS就不会将这些簇分 配给其他新建立的文件。

　　3.文件型病毒的磁盘存储结构文件型病毒是指专门感染系统中的可执行文件，即扩展名为.COM、.EXE的文件。

　　对于文件型的病毒来说，病毒程序附着在被感染文件的首部、尾部、中部或“空闲”部位，病毒程序没有独立占用磁盘上的空白簇。也就是说，病毒程序所占用的磁盘空间依赖于 其宿主程序所占用的磁盘空间。但是，病毒入侵后一定会使宿主程序占用的磁盘空间 增加。

　　绝大多数文件型病毒属于所谓外壳病毒，什么是文件外壳呢？简单地说是计算机软件 的一种层次结构。比方说计算机软件公司编制了一种教育软件，经过设计调试，软件本身的功能已经很完善，可以作为独立的磁盘文件提供给用户。但为了提高产品的商品化程 序，公司决定为软件加一个漂亮的封面，为此设计人员可以在已经完成的软件基础上附加一段显示封面的程序。通常我们称软件本身为内核，而附加的显示封面程序称为外壳，加载运行关系。

　　尽管在结构上外壳接在内核后面，但运行的顺序仍然是先显示封面再跳转去执行内核。可执行文件的外壳一般具有相对独立的功能和结构，去掉外壳将不会影响内核部分的运行。 如果我们用“病毒外壳”去替换图中的“封面外壳”，那么就已经说明了文件型病毒的 基本机理。计算机病毒一般不传染数据文件，这是由于数据文件是不能执行的，如果病毒传染了 数据文件以后，病毒自身得不到执行权，也就不能进行进一步的传播，所以计算机病毒不可能存在于数据文件中，但可能修改和破坏数据文件。