檔案型電腦病毒冷門分類介紹
病毒的感染部分包括了一個小型的反彙編軟體,感染的時候,將被感染檔案載入到記憶體中,然後一條一條程式碼的進行反彙編,下面由小編給你做出詳細的!希望對你有幫助!
:
檔案型電腦病毒冷門:覆蓋病毒
這種病毒沒有任何美感可言,也沒有體現出任何高明的技術,病毒製造者直接用病毒程式替換被感染的程式,這樣所有的檔案頭也變成了病毒程式的檔案頭,不用作任何調整。顯然,這種病毒不可能廣泛流行,因為被感染的程式立刻就不能正常工作了,使用者可以迅速的發現病毒的存在並採取相應的措施。
檔案型電腦病毒冷門:無***點病毒
這種病毒並不是真正沒有***點,只是在被感染程式執行的時候,沒有立刻跳轉到病毒的程式碼處開始執行。也就是說,沒有在COM檔案的開始放置一條跳轉指令,也沒有改變EXE檔案的程式***點。病毒程式碼無聲無息的潛伏在被感染的程式中,可能在非常偶然的條件下才會被觸發開始執行,採用這種方式感染的病毒非常隱蔽,防毒軟體很難發現在程式的某個隨機的部位,有這樣一些在程式執行過程中會被執行到的病毒程式碼!
那麼,這種病毒必須修改原來程式中的某些指令,使得在原來程式執行中可以跳轉到病毒程式碼處。我們知道x86機器的指令是不等長,也就是說無法斷定什麼地方開始的是一條有效地、可以執行到的指令,將這條指令改成跳轉指令就可以切換到病毒程式碼了。聰明的病毒製造者從來不會被這種小兒科的問題難倒,他們發現了一系列的方法可以做這件事情:
大量的可執行檔案是使用C或者帕斯卡語言編寫的,使用這些語言編寫的程式有這樣一個特點,程式中會使用一些基本的庫函式,比如說字串處理、基本的輸入輸出等,在啟動使用者開發的程式之前,編譯器會增加一些程式碼對庫進行初始化,病毒可以尋找特定的初始化程式碼,然後使用修改這段程式碼的開始跳轉到病毒程式碼處,執行完病毒之後再執行通常的初始化工作。"紐克瑞希爾"病毒就採用了這種方法進行感染。
病毒的感染部分包括了一個小型的反彙編軟體,感染的時候,將被感染檔案載入到記憶體中,然後一條一條程式碼的進行反彙編,當滿足某個特定的條件的時候***病毒認為可以很安全的改變程式碼了***,將原來的指令替換成一條跳轉指令,跳轉到病毒程式碼中,"CNTV"和"中間感染"病毒是用這種方法插入跳轉到病毒的指令。
還有一種方法僅僅適用於TSR程式,病毒修改TSR程式的中斷服務程式碼,這樣當作業系統執行中斷的時候就會跳轉到病毒程式碼中。***比如說修改21H號中斷,這樣任何DOS呼叫都會首先通過病毒進行了***
TSR***Terminal Still Resident中止仍然駐留***程式,是DOS作業系統下一類非常重要的程式,包括所有的DOS環境下的中文作業系統***CCDOS、中國龍等***等一大類程式都是TSR程式。這類程式的特點是程式執行完畢之後仍然部分駐留在記憶體中,駐留的部分基本上都是中斷服務程式,可以完成特定的中斷服務任務。
除此之外,還有另外一種比較少見的獲得程式控制權的方法是通過EXE檔案的重定位表完成的
檔案型電腦病毒冷門:伴隨病毒
這種病毒不改變被感染的檔案,而是為被感染的檔案建立一個伴隨檔案***病毒檔案***,這樣當你執行被感染檔案的時候,實際上執行的是病毒檔案。
其中一種伴隨病毒利用了DOS執行檔案的一個特性,當同一個目錄中同時存在同名的字尾名為.COM的檔案和字尾名為.EXE的檔案時,會首先執行字尾名為COM的檔案,例如,DOS作業系統帶了一個XCOPY.EXE程式,如果在DOS目錄中一個叫做XCOPY. COM的檔案是一個病毒,那麼當你敲入"XCOPY ***回車換行***"的時候,實際執行的是病毒檔案。
還有一種伴隨方式是將原來的檔案改名,比如說將XCOPY.EXE改成XCOPY.OLD,然後生成一個新的XCOPY.EXE***實際上就是病毒檔案***,這樣你敲入"XCOPY ***回車換行***"的時候,執行的同樣是病毒檔案,然後病毒檔案再去載入原來的程式執行。
另外一種伴隨方式利用了DOS或者視窗作業系統的搜尋路徑,比如說視窗系統首先會搜尋作業系統安裝的系統目錄,這樣病毒可以在最先搜尋目錄存放和感染檔案同名的可執行檔案,當執行的時候首先會去執行病毒檔案,最新的"尼姆達"病毒就大量使用這種方法進行傳染。
檔案型電腦病毒冷門:檔案蠕蟲:
檔案蠕蟲和伴隨病毒很相似,但是不利用路徑的優先順序或者其他手段執行,病毒只是生成一個具有"INSTALL.BAT"或者"SETUP.EXE"等名字的檔案***就是病毒檔案的拷貝***,誘使使用者在看到檔案之後執行。
還有一些蠕蟲使用了更加高階的技術,主要是針對壓縮檔案的,這些病毒可以發現硬碟上的壓縮檔案,然後直接將自己加到壓縮包中,病毒支援的壓縮包主要是ARJ和ZIP,可能主要原因是因為這兩種壓縮格式的資料最全,壓縮演算法也是公開的,所以病毒可以方便的實現自己的壓縮/增加方法。
針對批處理的病毒也存在,病毒會在以BAT結尾的批處理檔案中增加執行病毒的語句,從而實現病毒的傳播。
檔案型電腦病毒冷門:連結病毒
這類病毒的數量比較少,但是有一個特別是在中國鼎鼎大名的"目錄2"***DIRII***病毒。病毒並沒有在硬碟上生成一個專門的病毒檔案,而是將自己隱藏在檔案系統的某個地方,"目錄2"病毒將自己隱藏在驅動器的最後一個簇中,然後修改檔案分配表,使目錄區中檔案檔案的開始簇指向病毒程式碼,這種感染方式的特點是每一個邏輯驅動器上只有一份病毒的拷貝。
簇:由於硬碟上每一個扇區的大小一般只有512位元組,如果一個檔案分佈在很多的扇區中,要想完整的在檔案分配表中表示這個檔案佔用的扇區將會使用非常多非常多的目錄空間,例如1個1M的檔案,將需要2K位元組的空間表示檔案佔用扇區的情況。所以所有的檔案系統都引入了簇的概念,一個簇就是很多個扇區,但是組合在一起作為檔案分配的最小單位,簇的大小有4K、16K、32K等多種。
在視窗NT和視窗2000作業系統中,還有一種新的連結病毒,這種病毒只存在於NTFS檔案系統的邏輯磁碟上,使用了NTFS檔案系統的隱藏流來存放病毒程式碼,被這種病毒感染之後,防毒軟體很難找到病毒程式碼並且安全的清除。
檔案型電腦病毒冷門:物件檔案、庫檔案和原始碼病毒
這類病毒的數量非常少,總數大概不會超過10個,病毒感染編譯器生成的中間物件檔案***OBJ檔案***,或者編譯器使用的庫檔案***.LIB***檔案,由於這些檔案不是直接的可執行檔案,所以病毒感染這些檔案之後並不能直接的傳染,必須使用被感染的OBJ或者LIB連結生成EXE***COM***程式之後才能實際的完成感染過程,所生成的檔案中包含了病毒。
原始碼病毒直接對原始碼進行修改,在原始碼檔案中增加病毒的內容,例如搜尋所有後綴名是".C"的檔案,如果在裡面找到"main***"形式的字串,則在則在這一行的後面加上病毒程式碼,這樣編譯出來的檔案就包括了病毒。
檔案型電腦病毒分類介紹