文件型電腦病毒冷門分類介紹

　　病毒的感染部分包括了一個小型的反匯編軟件，感染的時候，將被感染文件加載到內(nèi)存中，然后一條一條代碼的進行反匯編，下面由學習啦小編給你做出詳細的文件型電腦病毒冷門分類介紹!希望對你有幫助!

　　文件型電腦病毒冷門分類介紹：

　文件型電腦病毒冷門：覆蓋病毒

　　這種病毒沒有任何美感可言，也沒有體現(xiàn)出任何高明的技術(shù)，病毒制造者直接用病毒程序替換被感染的程序，這樣所有的文件頭也變成了病毒程序的文件頭，不用作任何調(diào)整。顯然，這種病毒不可能廣泛流行，因為被感染的程序立刻就不能正常工作了，用戶可以迅速的發(fā)現(xiàn)病毒的存在并采取相應的措施。

　　文件型電腦病毒冷門：無入口點病毒

　　這種病毒并不是真正沒有入口點，只是在被感染程序執(zhí)行的時候，沒有立刻跳轉(zhuǎn)到病毒的代碼處開始執(zhí)行。也就是說，沒有在COM文件的開始放置一條跳轉(zhuǎn)指令，也沒有改變EXE文件的程序入口點。病毒代碼無聲無息的潛伏在被感染的程序中，可能在非常偶然的條件下才會被觸發(fā)開始執(zhí)行，采用這種方式感染的病毒非常隱蔽，殺毒軟件很難發(fā)現(xiàn)在程序的某個隨機的部位，有這樣一些在程序運行過程中會被執(zhí)行到的病毒代碼!

　　那么，這種病毒必須修改原來程序中的某些指令，使得在原來程序運行中可以跳轉(zhuǎn)到病毒代碼處。我們知道x86機器的指令是不等長，也就是說無法斷定什么地方開始的是一條有效地、可以執(zhí)行到的指令，將這條指令改成跳轉(zhuǎn)指令就可以切換到病毒代碼了。聰明的病毒制造者從來不會被這種小兒科的問題難倒，他們發(fā)現(xiàn)了一系列的方法可以做這件事情:

　　大量的可執(zhí)行文件是使用C或者帕斯卡語言編寫的，使用這些語言編寫的程序有這樣一個特點，程序中會使用一些基本的庫函數(shù)，比如說字符串處理、基本的輸入輸出等，在啟動用戶開發(fā)的程序之前，編譯器會增加一些代碼對庫進行初始化，病毒可以尋找特定的初始化代碼，然后使用修改這段代碼的開始跳轉(zhuǎn)到病毒代碼處，執(zhí)行完病毒之后再執(zhí)行通常的初始化工作。"紐克瑞希爾"病毒就采用了這種方法進行感染。

　　病毒的感染部分包括了一個小型的反匯編軟件，感染的時候，將被感染文件加載到內(nèi)存中，然后一條一條代碼的進行反匯編，當滿足某個特定的條件的時候(病毒認為可以很安全的改變代碼了)，將原來的指令替換成一條跳轉(zhuǎn)指令，跳轉(zhuǎn)到病毒代碼中，"CNTV"和"中間感染"病毒是用這種方法插入跳轉(zhuǎn)到病毒的指令。

　　還有一種方法僅僅適用于TSR程序，病毒修改TSR程序的中斷服務代碼，這樣當操作系統(tǒng)執(zhí)行中斷的時候就會跳轉(zhuǎn)到病毒代碼中。(比如說修改21H號中斷，這樣任何DOS調(diào)用都會首先通過病毒進行了)

　　TSR(Terminal Still Resident中止仍然駐留)程序，是DOS操作系統(tǒng)下一類非常重要的程序，包括所有的DOS環(huán)境下的中文操作系統(tǒng)(CCDOS、中國龍等)等一大類程序都是TSR程序。這類程序的特點是程序執(zhí)行完畢之后仍然部分駐留在內(nèi)存中，駐留的部分基本上都是中斷服務程序，可以完成特定的中斷服務任務。

　　除此之外，還有另外一種比較少見的獲得程序控制權(quán)的方法是通過EXE文件的重定位表完成的

　　文件型電腦病毒冷門：伴隨病毒

　　這種病毒不改變被感染的文件，而是為被感染的文件創(chuàng)建一個伴隨文件(病毒文件)，這樣當你執(zhí)行被感染文件的時候，實際上執(zhí)行的是病毒文件。

　　其中一種伴隨病毒利用了DOS執(zhí)行文件的一個特性，當同一個目錄中同時存在同名的后綴名為.COM的文件和后綴名為.EXE的文件時，會首先執(zhí)行后綴名為COM的文件，例如，DOS操作系統(tǒng)帶了一個XCOPY.EXE程序，如果在DOS目錄中一個叫做XCOPY. COM的文件是一個病毒，那么當你敲入"XCOPY (回車換行)"的時候，實際執(zhí)行的是病毒文件。

　　還有一種伴隨方式是將原來的文件改名，比如說將XCOPY.EXE改成XCOPY.OLD，然后生成一個新的XCOPY.EXE(實際上就是病毒文件)，這樣你敲入"XCOPY (回車換行)"的時候，執(zhí)行的同樣是病毒文件，然后病毒文件再去加載原來的程序執(zhí)行。

　　另外一種伴隨方式利用了DOS或者視窗操作系統(tǒng)的搜索路徑，比如說視窗系統(tǒng)首先會搜索操作系統(tǒng)安裝的系統(tǒng)目錄，這樣病毒可以在最先搜索目錄存放和感染文件同名的可執(zhí)行文件，當執(zhí)行的時候首先會去執(zhí)行病毒文件，最新的"尼姆達"病毒就大量使用這種方法進行傳染。

　　文件型電腦病毒冷門：文件蠕蟲:

　　文件蠕蟲和伴隨病毒很相似，但是不利用路徑的優(yōu)先順序或者其他手段執(zhí)行，病毒只是生成一個具有"INSTALL.BAT"或者"SETUP.EXE"等名字的文件(就是病毒文件的拷貝)，誘使用戶在看到文件之后執(zhí)行。

　　還有一些蠕蟲使用了更加高級的技術(shù)，主要是針對壓縮文件的，這些病毒可以發(fā)現(xiàn)硬盤上的壓縮文件，然后直接將自己加到壓縮包中，病毒支持的壓縮包主要是ARJ和ZIP，可能主要原因是因為這兩種壓縮格式的資料最全，壓縮算法也是公開的，所以病毒可以方便的實現(xiàn)自己的壓縮/增加方法。

　　針對批處理的病毒也存在，病毒會在以BAT結(jié)尾的批處理文件中增加執(zhí)行病毒的語句，從而實現(xiàn)病毒的傳播。

　　文件型電腦病毒冷門：鏈接病毒

　　這類病毒的數(shù)量比較少，但是有一個特別是在中國鼎鼎大名的"目錄2"(DIRII)病毒。病毒并沒有在硬盤上生成一個專門的病毒文件，而是將自己隱藏在文件系統(tǒng)的某個地方，"目錄2"病毒將自己隱藏在驅(qū)動器的最后一個簇中，然后修改文件分配表，使目錄區(qū)中文件文件的開始簇指向病毒代碼，這種感染方式的特點是每一個邏輯驅(qū)動器上只有一份病毒的拷貝。

　　簇:由于硬盤上每一個扇區(qū)的大小一般只有512字節(jié)，如果一個文件分布在很多的扇區(qū)中，要想完整的在文件分配表中表示這個文件占用的扇區(qū)將會使用非常多非常多的目錄空間，例如1個1M的文件，將需要2K字節(jié)的空間表示文件占用扇區(qū)的情況。所以所有的文件系統(tǒng)都引入了簇的概念，一個簇就是很多個扇區(qū)，但是組合在一起作為文件分配的最小單位，簇的大小有4K、16K、32K等多種。

　　在視窗NT和視窗2000操作系統(tǒng)中，還有一種新的鏈接病毒，這種病毒只存在于NTFS文件系統(tǒng)的邏輯磁盤上，使用了NTFS文件系統(tǒng)的隱藏流來存放病毒代碼，被這種病毒感染之后，殺毒軟件很難找到病毒代碼并且安全的清除。

　文件型電腦病毒冷門：對象文件、庫文件和源代碼病毒

　　這類病毒的數(shù)量非常少，總數(shù)大概不會超過10個，病毒感染編譯器生成的中間對象文件(OBJ文件)，或者編譯器使用的庫文件(.LIB)文件，由于這些文件不是直接的可執(zhí)行文件，所以病毒感染這些文件之后并不能直接的傳染，必須使用被感染的OBJ或者LIB鏈接生成EXE(COM)程序之后才能實際的完成感染過程，所生成的文件中包含了病毒。

　　源代碼病毒直接對源代碼進行修改，在源代碼文件中增加病毒的內(nèi)容，例如搜索所有后綴名是".C"的文件，如果在里面找到"main("形式的字符串，則在則在這一行的后面加上病毒代碼，這樣編譯出來的文件就包括了病毒。
看了“文件型電腦病毒冷門分類介紹”文章的還看了：

1.計算機病毒分類及詳細介紹

2.電腦病毒分類大全介紹

3.各種計算機病毒分類介紹

4.電腦病毒分類介紹