计算机病毒的特征:
非法性、隐蔽性、潜伏性、触发性、表现性、破坏性、传染性、针对性、变异性、不可预见性。
计算机病毒程序的结构:
一般分为3各部分,引导部分、传染部分、表现或破坏部分。
引导部分:将病毒主体加载到内存,为传染做准备(驻留内存、修改中断、修改注册表)。
传染部分:将病毒代码复制到传染目标上去,不同类型的病毒传染方式、传染条件、传染媒介各有不同。
表现和破坏部分:
计算机病毒的存储结构:
磁盘空间的结构:格式化后的磁盘包括,主引导记录区(MBR主引导记录、DPT主分区表、引导区标记)、引导记录区、文件分配表(FAT)、目录区、数据区
系统型病毒:专门传染操作系统的启动扇区(引导扇区),在引导扇区中写入病毒代码;
文件型病毒:专门感染系统中的可执行文件,将病毒代码写入文件中,绝大多数文件型病毒属于外壳病毒,病毒不可能存在数据文件中。
计算机病毒分类:
按存储方式分类分类
引导性型病毒:引导型病毒的全部或部分代码取代正常的引导区中的代码,而将正常引导代码隐藏在磁盘其他地方,在ROM BIOS之后,系统引导时出现,先于OS运行,依托BIOS中断服务),一般感染DOS系统。
文件型病毒:通常感染可执行文件。不仅可以感染DOS系统文件,还可以感染windows、IBM、Mac、linux系统。
混合型病毒:
按感染文件类型分类
exe 、dll、js、zip、rar、doc、、、虽然被感染的对象文件的表现形式不一样,但本质上讲,病毒都是感染文件的程序指令代码部分。
按病毒的连接方式分类
源代码型病毒:在编译时将用高级语言所写的病毒源程序一起编译到可执行文件中(难度较大,因为必须知道软件的源代码)。
潜入型病毒:用自身病毒代码取代宿主程序的部分或整个模块,难编写,难检测
外壳型病毒:病毒代码附加在正常程序首部或尾部,相当于给程序加了一个外壳。被感染程序执行时病毒代码先执行然后执行正常程序。
操作系统型病毒:将病毒程序加入或取代部分操作系统模块。
按病毒破坏情况分类
良性病毒(只是占用少许存储空间)和恶性病毒(对系统造成破坏)
按传播途径分类
单机病毒(通过存储介质传播)和网络病毒(通过网络数据通道传播)
按病毒运行的连续性分类
驻留内存型(病毒程序一直存在于内存中)和非驻留内存型
按激发机制分类
实时发作型病毒(独立病毒程序或带毒可执行文件执行时病毒将无条件立即执行)和间歇型病毒(在一定触发条件下才执行)
按病毒自身变化分类
原型病毒(病毒执行时自身不变)、变型性病毒(幽灵病毒:病毒执行时在感染下一个可执行文件时根据宿主的状况重新嵌入新的病毒码)
按与被感染对象的关系分类
寄生病毒(融合在一起)、伴随性病毒(作为单独文件伴随可执行文件,不修改正常可执行文件,但是附带在可执行文件周围,执行程序时会先调用外壳病毒程序,再调用源程序,如有一.exe,病毒不会直接嵌入到.exe文件中,但是会作为以单独文件例如.com文件放在.exe文件旁边,每次在打开软件时,会先调用.com程序在调用.exe程序)、独立性病毒(作为能独自运行的病毒程序)
计算机病毒技术性划分:
第一代病毒(1986-1989起步阶段):传统病毒,传染磁盘引导扇区或传染可执行文件名,主要采取截获中断向量的方式监视系统的运行状态。
第二代病毒(1989-1991发展阶段):混合型病毒,即可传染磁盘引导扇区又可传染可执行文件,不采用明显的截获中断向量的方式监视系统运行,而采取更为隐蔽的方法驻留内存和传染目标中,病毒自我保护措施:加密、反跟踪、制造障碍。
第三代病毒(1992-1995成熟阶段):变型病毒(幽灵病毒),每次传染目标时病毒代码都是可变的,传统的特征码检测病毒方法检测不出此类病毒。
第四代病毒(1996-2000):intelnet初步发展阶段,通过email等手段传播病毒,此时主要是蠕虫、word宏病毒、windows95新型病毒。新型病毒的出现向以行为规则判定病毒的预防产品、以病毒特征码为基础的检测产品以及根据计算机病毒传染宿主程序的方法而消除病毒的产品提出了挑战。
第五代病毒(21世纪后):网络的迅猛发展,给病毒的传播带来了快速的途径,因此提高反应速度、完善反应机制成为阻止病毒传播的关键。
1136
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
