pe文件病毒是如何被启动的

CIH病毒属于文件型病毒，主要感染Windows PE可执行文件。由于CIH病毒使用了VxD技术使得这种病毒在Windows环境下传播，其实施性和隐蔽性都特别强，使用一般反病毒软件很难发现这种病毒在系统中传播。

感染了CIH病毒的程序被执行时，CIH首先使用了SIDT取得中断描述符表基地址，然后将INT3的入口地址改为指向CIH病毒自身的INT3程序入口。接着CIH自己产生一条INT3指令，这样CIH病毒就可以获得最高级别的CPU使用权限。接下来，CIH将判断DR0寄存器的值是否为0，如果不是则表明计算机已被CIH病毒感染，自己则正常退出;如果DR0寄存器的值为0，就表明没有CIH病毒驻留内存，这时CIH病毒首先会将当前EBX寄存器的值赋给DR0寄存器，作上驻留标记，然后调用INT20，使用VxD call page ALLocate系统调用，向系统申请内存空间来驻留，当申请成功后，CIH病毒就从被感染的文件中将其病毒代码组合起来，放到申请的内存空间中。随后CIH病毒再次调用INT3进入CIH病毒体的INT3入口程序，接着调用INT20，调用一个IFSMgr_Install File System ApiHook 子程序，目的是借助文件系统处理函数来截取系统文件，调用操作。完成这个工作之后，Windows 98/95默认的IFSMgr_Ringo_ FileI0服务程序的入口地址将被CIH病毒保留，以便它的调用。

这样CIH病毒就完成了引导工作，驻留在内存中，开始监视系统的文件调用操作。一旦系统出现要求调用文件CIH就首先截获被调用的文件。然后判断该文件是否为PE格式的EXE 文件，如果是就将自身拆成几段，插入到该文件的空域中，然后修改PE格式文件的文件头中的文件映像执行参数，使其首先指向病毒体;如果不是就将调用转接给Windows 98/95的IFSMgr_I0服务程序。

以上就是佰佰安全网给大家介绍的pe文件病毒是如何被启动的相关介绍，有兴趣的可以点击收藏哦。稍后，我们介绍如何清除寄生在文件上的病毒，欢迎关注这部分网络病毒小知识。

( 责任编辑: 邹兰 )