二 技术篇
2.1 病毒的分类
迄今为止计算机病毒超过10万种,计算机病毒可分类如下:
2.1.1 按照病毒存在的载体分类,一般可分为4类。
1、 引导型病毒:
此类病毒存放在软盘引导区、硬盘主引导区和引导区。由于引导型病毒在操作系统启动前就加载到内存中,具有操作系统无关性,可以感染所有的X86类电脑。因此这类病毒将长期存在。
2、文件型病毒
此类病毒以文件形式存在,是病毒流行的主要形式。其中根据操作系统不同,又分很多类,如DOS类病毒、Windows类病毒、Linux类病毒等等。这些病毒跟操作系统紧密相关。DOS类病毒在DOS下面传播的很凶猛,但在Windows平台上已经很少了,最新的Windows 64已经不再支持16位程序了,这类病毒已经走到了尽头。
3、 蠕虫病毒
以网络为载体,如曾经流行的SQL杀手。当然,纯粹网络蠕虫病毒比较 少。
4、混合类的病毒
这类病毒分类没有完全清晰的划分,很多病毒为了达到广泛传播的目的,通常采用更多的方式,如3783病毒,可以感染引导区、DOS程序、Windows程序;而Winux病毒则可以感染Windows,也可以感染Linux;大部分网络蠕虫病毒也是文件型病毒。
2.1.2 按照病毒传染的方法分类
按此分类方法病毒可分为四种类型:入侵型病毒,嵌入式病毒,外壳类病毒,病毒生产机。
入侵型病毒顾名思义是通过外部媒介侵入宿主机器的;嵌入式病毒则是通过嵌入到某一正常的程序中,然后通过某一触发机制发作;加壳类病毒,此类病毒使用特殊算法把自己压缩到正常文件上,这样当被害者解压时即执行病毒程序。病毒生产机是可以“批量生产”出大量具有同一特征的“同族”病毒的特殊程序,这些病毒的代码长度各不相同,自我加密、解密的密钥也不同,发作条件和现象不同,但其主体构造和原理基本相同。
2.1.3 按照病毒自身特征分类
根据病毒自身存在的编码特征可以将计算机病毒分为:
伴随型病毒:这一类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随文件。
变型病毒:这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。此类病毒通常是由一段混有无关指令的解码算法和被变化过的病毒体组成。
2.2 文件型病毒和引导型病毒
2.2.1 引导型病毒
这是PC机上出现的最古老的病毒,它主要感染软盘、硬盘的引导扇区或主引导扇区,系统启动时通过执行引导扇区上的引导程序加载到系统内存,然后感染其他软盘和硬盘。引导型病毒通常用汇编语言编写,所以病毒程序很短,执行速度很快。
我国流行较为广泛的引导型病毒是PolyBoot (也叫WYX.B)。它是典型的内存驻留型和加密引导型病毒,一旦发作,将破坏硬盘的主引导区使所有的硬盘分区及用户数据丢失。感染对象可以是任何操作平台,包括Windows、Unix、Linux、Macintosh等。
2.2.2 文件型病毒
文件型病毒感染可执行文件(对于DOS或WINDOWS来说是感染*COM和*EXE等可执行文件)。被感染的可执行文件在被执行时,病毒被加载到内存上,并向其他正常的可执行文件传染。一般来说,DOS的命令解释器COMMAND.COM文件最容易被传染。
文件型病毒的宿主不是引导区而是一些可执行程序。病毒把自己附加在可执行程序中,并等待可执行程序运行,然后病毒会驻留在内存中,企图感染其他文件并破坏系统。当病毒完成工作后,其宿主程序才被运行,使系统看起来一切正常。和引导区病毒不同,文件型病毒把自己附着或追加在*.EXE和*.COM这样的可执行文件上。
典型的文件型病毒是Win32/ Foroux,该病毒在系统启动后即开始全盘感染可执行文件。由于病毒会识别受Win2K、WinXP的系统认证保护的文件,所以在病毒感染系统目录时,系统不会弹出报警对话框提醒用户。让人担扰的是,虽然单纯的文件型病毒已得到有效的控制,但近年来发生的网络蠕虫病毒挟带文件型病毒传播的现象引起了反病毒专家的注意,2002年,求职信(Klez)变种L挟带Win32/ Foroux,通过邮件疯狂传播,在人们预览邮件时即可中毒,传播及感染速度百倍于单纯的文件型病毒。该病毒也因此成为2002年的十大“毒王”之一。
<<上一页
1
2
3
4
5
6
下一页>>
