根据病毒存在,隐藏,感染和激活的方式进行分类
寄生病毒
这是最常见的病毒类型,病毒并不是一个独立的程序,而是嵌入某个实用程序的一段代码,嵌入病毒的实用程序,称为感染了病毒的实用程序,一旦运行感染了病毒的实用程序,将首先激活病毒,由病毒完成对其他实用程序(可执行文件)的感染。如果主机系统中的状态符合触发条件,将启动破坏程序,对系统实施破坏操作。
常驻内存病毒
普通可执行文件只有在用户激发它时(如用鼠标双击文件名,或在命令提示符下输入文件名)才由操作系统的进程管理模块为其分配内存,然后将其从硬盘中调人内存,并运行。一旦运行结束,由操作系统的进程管理模块释放内存。在用户再次激发前,该可执行文件一直存放在硬盘中。操作系统中的一些核心模块,如鼠标中断处理程序,由于要求实时完成用户请求,在操作系统启动后,一直驻留内存,一旦用户操作鼠标(如移动鼠标,按左右键),将激发鼠标中断处理程序。如果病毒嵌入这样的操作系统核心模块,所有激发该核心模块的用户操作都将激活病毒,因此,这种类型病毒的感染力和破坏力是最强的。
引导扇区病毒
计算机系统加电后,首先启动基本输入输出系统(Basic Input Output System,BIOS)中的设备检测程序,在完成设备检测后,调入固定扇区中的引导程序,由引导程序完成操作系统的加载过程。存放引导程序的固定扇区称为引导扇区。如果病毒嵌入引导程序,则每一次启动系统,都将激活病毒。
秘密病毒
秘密病毒是一种针对病毒检测软件的检测机制专门设计,可以躲过病毒检测软件的检测的病毒。假定病毒检测软件通过匹配病毒特征库来判别某个文件是否感染病毒,有些病毒在每一次感染文件时,都改变一下自己的代码结构,这种改变或者通过改变没有相关性的指令的顺序,或者插入不会影响代码执行结果的冗余指令,或者用具有相同功能的指令取代原有的指令等方式实现,由于每一次感染都改变病毒的代码结构,匹配病毒特征库的检测机制很难检测出这种类型的病毒,因此,这种病毒是一种针对匹配病毒特征库的检测机制的秘密病毒。更为一般性的秘密病毒嵌入硬盘的I/O模块,在读取硬盘中文件时,首先判别发出读文件请求的进程是否是病毒检测软件,如果是,则先将感染病毒的文件还原,然后传送给病毒检测软件,否则直接将感染病毒的文件传送给发出读文件请求的进程,这样,可以避免病毒检测软件检测出感染病毒的文件。
变形病毒
变形病毒就是一种针对匹配病毒特征库的检测机制的秘密病毒,简单的变形病毒每一次感染文件时,都改变一下自己的代码结构。复杂的变形病毒由变形引擎和病毒代码组成,在感染文件时,由变形引擎随机产生一个密钥K,用密钥K对病毒代码进行加密运算,并用前面介绍的改变代码结构的方法改变变形引擎的代码结构,然后将密钥K、改变代码结构后的变形引擎和加密后的病毒代码嵌入被感染文件。执行被感染的文件时,首先由变形引擎用密钥K解密出病毒代码,然后激活病毒。由于每一次感染时,产生的密钥都不相同,导致密文相差甚大,即使病毒检测软件采用智能的模糊匹配算法,也很难通过匹配病毒特征库检测出被感染的病毒文件。为了躲过基于行为的病毒检测机制,有些变形病毒甚至每一次感染时,都能改变自身的操作过程。
根据病毒的实现方式进行分类
宏病毒
宏操作允许在字处理文件或者其他办公软件生成的文件中嵌入可执行程序,这种可执行程序称作宏代码,用类似 BASIC 语言的编程语言编写而成。宏代码可以将一系列按键操作定义为一个宏操作。通过设置,可以用单个功能键激发宏操作,完成宏操作定义的一系列按键操作,以此达到用单个功能键取代一系列按键操作的效果。所谓的宏病毒就是将病毒作为宏代码嵌入字处理文件或者其他办公软件生成的文件中,一旦用户打开该文件,将激发宏操作,完成病毒植入和首次激活过程。宏病毒之所以流行的原因是,人们习惯认为病毒只包含在可执行文件中,因此,对实用程序的来源比较关心,一般不会启动来历不明的实用程序,但常常会打开来历不明的字处理文件或其他办公软件生成的文件。包含宏病毒的字处理文件或其他办公软件生成的文件常常作为邮件附件进行传输,人们打开邮件附件的同时激活宏病毒,导致邮件成为传播宏病毒的主要途径。
电子邮件病毒
用户通常从服务器下载感染病毒的实用程序,并运行它。随着服务器防病毒措施的提高,上传一个感染病毒的实用程序到服务器,尤其是一些著名度较高的服务器变得越来越难。电子邮件是目前常见的端到端通信方式,由于一些免费的电子信箱不提供防病毒措施,导致电子邮件成为传播病毒的良好工具。最初的电子邮件病毒将包含宏病毒的字处理文件或其他办公软件生成的文件作为邮件附件进行传输,人们打开邮件附件的同时激活宏病毒。但宏病毒除了感染本系统外,还将同样的电子邮件发送给系统地址簿中成员列表给出的邮件地址,这些邮件地址的用户因为是从熟悉的邮件地址发送来的电子邮件,往往毫无戒心地打开邮件附件,导致该邮件新一轮的传播。电子邮件病毒在攻陷某个终端后,将快速扩散到整个网络。由于许多电子邮件的用户代理(UA)支持VB脚本语言,邮件正文可以嵌入用VB脚本语言编写的病毒,在这种情况下,只要打开邮件正文,就可以激活病毒,并导致病毒的又一轮传播。
网页病毒
许多网页是嵌入脚本程序的,因此,网页中可能嵌入用脚本语言编写的病毒,一旦浏览嵌入病毒的网页,可以激活病毒,并完成病毒感染过程。
蠕虫病毒
蠕虫病毒能够自动地从一个计算机系统传播到另一个计算机系统,并激活,然后开始新一轮的传播过程。蠕虫病毒和其他病毒的不同点在于传播和激活均由病毒自身自动完成,因此,蠕虫病毒是扩散最快的病毒。
106
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
