文件型電腦病毒分類介紹
文件型病毒分類是怎樣分的呢!種類太多!你會嗎,下面由學(xué)習(xí)啦小編給你做出詳細的文件型電腦病毒分類介紹!希望對你有幫助!
文件型電腦病毒分類介紹:
文件型電腦病毒:寄生病毒
這類病毒在感染的時候,將病毒代碼加入正常程序之中,原來程序的功能部分或者全部被保留。根據(jù)病毒代碼加入的方式不同,寄生病毒可以分為"頭寄生"、"尾寄生"、"中間插入"和"空洞利用"四種:
文件型電腦病毒:"頭寄生":
實現(xiàn)將病毒代碼放到程序的頭上有兩種方法,一種是將原來程序的前面一部分拷貝到程序的最后,然后將文件頭用病毒代碼覆蓋;另外一種是生成一個新的文件,首先在頭的位置寫上病毒代碼,然后將原來的可執(zhí)行文件放在病毒代碼的后面,再用新的文件替換原來的文件從而完成感染。使用"頭寄生"方式的病毒基本上感染的是批處理病毒和COM格式的文件,因為這些文件在運行的時候不需要重新定位,所以可以任意調(diào)換代碼的位置而不發(fā)生錯誤。
當然,隨著病毒制作水平的提高,很多感染DOS下的EXE文件和視窗系統(tǒng)的EXE文件的病毒也是用了頭寄生的方式,為使得被感染的文件仍然能夠正常運行,病毒在執(zhí)行原來程序之前會還原出原來沒有感染過的文件用來正常執(zhí)行,執(zhí)行完畢之后再進行一次感染,保證硬盤上的文件處于感染狀態(tài),而執(zhí)行的文件又是一切正常的。
文件型電腦病毒:"尾寄生":
由于在頭部寄生不可避免的會遇到重新定位的問題,所以最簡單也是最常用的寄生方法就是直接將病毒代碼附加到可執(zhí)行程序的尾部。對于DOS環(huán)境下COM可執(zhí)行文件來說,由于COM文件就是簡單的二進制代碼,沒有任何結(jié)構(gòu)信息,所以可以直接將病毒代碼附加到程序的尾部,然后改動COM文件開始的3個字節(jié)為跳轉(zhuǎn)指令:
文件型電腦病毒:JMP [病毒代碼開始地址]
對于DOS環(huán)境下的EXE文件,有兩種處理的方法,一種是將EXE格式轉(zhuǎn)換成COM格式再進行感染,另外一種需要修改EXE文件的文件頭,一般會修改EXE文件頭的下面幾個部分:
代碼的開始地址
可執(zhí)行文件的長度
文件的CRC校驗值
堆棧寄存器的指針也可能被修改。
對于視窗操作系統(tǒng)下的EXE文件,病毒感染后同樣需要修改文件的頭,這次修改的是PE或者NE的頭,相對于DOS下EXE文件的頭來說,這項工作要復(fù)雜很多,需要修改程序入口地址、段的開始地址、段的屬性等等,由于這項工作的復(fù)雜性,所以很多病毒在編寫感染代碼的時候會包括一些小錯誤,造成這些病毒在感染一些文件的時候會出錯無法繼續(xù),從而幸運的造成這些病毒無法大規(guī)模的流行。
感染DOS環(huán)境下設(shè)備驅(qū)動程序(.SYS文件)的病毒會在DOS啟動之后立刻進入系統(tǒng),而且對于隨后加載的任何軟件(包括殺毒軟件)來說,所有的文件操作(包括可能的查病毒和殺病毒操作)都在病毒的監(jiān)控之下,在這種情況下干凈的清除病毒基本上是不可能的。
文件型電腦病毒:"插入寄生":
病毒將自己插入被感染的程序中,可以整段的插入,也可以分成很多段,有的病毒通過壓縮原來的代碼的方法,保持被感染文件的大小不變。前面論述的更改文件頭等基本操作同樣需要,對于中間插入來說,要求程序的編寫更加嚴謹,
所以采用這種方式的病毒相對比較少,即使采用了這種方式,很多病毒也由于程序編寫上的錯誤沒有真正流行起來。
文件型電腦病毒:"空洞利用":
對于視窗環(huán)境下的可執(zhí)行文件,還有一種更加巧妙的方法,由于視窗程序的結(jié)構(gòu)非常復(fù)雜,一般里面都會有很多沒有使用的部分,一般是空的段,或者每個段的最后部分。病毒尋找這些沒有使用的部分,然后將病毒代碼分散到其中,這樣就實現(xiàn)了神不知鬼不覺的感染(著名的"CIH"病毒就是用了這種方法)。
寄生病毒精確的實現(xiàn)了病毒的定義,"寄生在宿主程序的之上,并且不破壞宿主程序的正常功能",所以寄生病毒設(shè)計的初衷都希望能夠完整的保存原來程序的所有內(nèi)容,因此除了某些由于程序設(shè)計失誤造成原來的程序不能恢復(fù)的病毒以外,寄生型病毒基本上都是可以安全清除的。
除了改變文件頭、將自己插入被感染程序中以外,寄生病毒還會采用一些方法來隱藏自己:如果被感染文件是只讀文件,病毒在感染時首先改變文件的屬性為可讀寫,然后進行感染,感染完畢之后再把屬性改回只讀,病毒在感染時往往還會記錄文件最后一次訪問的日期,感染完畢之后再改回原來的日期,這樣用戶就不會通過日期的變化覺察到文件已經(jīng)被修改過了。
根據(jù)病毒感染后,被感染文件的信息是不是有丟失,我們把病毒感染分成兩種最基本的類型,破壞性感染和非破壞性感染,對于非破壞性感染的文件,只要殺毒軟件清楚的掌握了病毒感染的基本原理,準確的進行還原是可能的,在這種情況下,我們稱這個病毒是可清除的。而對于破壞性感染,由于病毒刪除或者覆蓋了原來文件的全部/部分內(nèi)容,所以這種病毒是不能清除的,只能刪除感染文件,或者用沒有被感染的原始文件覆蓋被感染的文件。
DOS環(huán)境下的COM和EXE文件具有完全不同的結(jié)構(gòu),所以病毒感染的方法也完全不一樣,有的病毒根據(jù)文件后綴名來判斷感染的是COM還是EXE文件,而另外一種更加準確的方法是比較文件頭,看看是不是符合EXE文件的定義。根據(jù)文件后綴名來進行感染經(jīng)常會造成錯誤,一個最典型的例子是視窗95系統(tǒng)目錄下的文件,后綴名顯示它是一個COM文件,但是這個大小超過90K的文件實際上是一個EXE文件。那些根據(jù)文件后綴名進行感染的病毒一旦感染這個文件就會造成文件的損壞,這也是很多用戶發(fā)現(xiàn)自己在視窗下無法打開DOS框的原因。
看了“文件型電腦病毒分類介紹”文章的還看了:
2.電腦病毒分類介紹
文件型電腦病毒分類介紹
上一篇:文件型電腦病毒介紹
下一篇:文件型電腦病毒冷門分類介紹