文件型電腦病毒分類介紹
文件型病毒分類是怎樣分的呢!種類太多!你會嗎,下面由學習啦小編給你做出詳細的文件型電腦病毒分類介紹!希望對你有幫助!
文件型電腦病毒分類介紹:
文件型電腦病毒:寄生病毒
這類病毒在感染的時候,將病毒代碼加入正常程序之中,原來程序的功能部分或者全部被保留。根據病毒代碼加入的方式不同,寄生病毒可以分為"頭寄生"、"尾寄生"、"中間插入"和"空洞利用"四種:
文件型電腦病毒:"頭寄生":
實現將病毒代碼放到程序的頭上有兩種方法,一種是將原來程序的前面一部分拷貝到程序的最后,然后將文件頭用病毒代碼覆蓋;另外一種是生成一個新的文件,首先在頭的位置寫上病毒代碼,然后將原來的可執行文件放在病毒代碼的后面,再用新的文件替換原來的文件從而完成感染。使用"頭寄生"方式的病毒基本上感染的是批處理病毒和COM格式的文件,因為這些文件在運行的時候不需要重新定位,所以可以任意調換代碼的位置而不發生錯誤。
當然,隨著病毒制作水平的提高,很多感染DOS下的EXE文件和視窗系統的EXE文件的病毒也是用了頭寄生的方式,為使得被感染的文件仍然能夠正常運行,病毒在執行原來程序之前會還原出原來沒有感染過的文件用來正常執行,執行完畢之后再進行一次感染,保證硬盤上的文件處于感染狀態,而執行的文件又是一切正常的。
文件型電腦病毒:"尾寄生":
由于在頭部寄生不可避免的會遇到重新定位的問題,所以最簡單也是最常用的寄生方法就是直接將病毒代碼附加到可執行程序的尾部。對于DOS環境下COM可執行文件來說,由于COM文件就是簡單的二進制代碼,沒有任何結構信息,所以可以直接將病毒代碼附加到程序的尾部,然后改動COM文件開始的3個字節為跳轉指令:
文件型電腦病毒:JMP [病毒代碼開始地址]
對于DOS環境下的EXE文件,有兩種處理的方法,一種是將EXE格式轉換成COM格式再進行感染,另外一種需要修改EXE文件的文件頭,一般會修改EXE文件頭的下面幾個部分:
代碼的開始地址
可執行文件的長度
文件的CRC校驗值
堆棧寄存器的指針也可能被修改。
對于視窗操作系統下的EXE文件,病毒感染后同樣需要修改文件的頭,這次修改的是PE或者NE的頭,相對于DOS下EXE文件的頭來說,這項工作要復雜很多,需要修改程序入口地址、段的開始地址、段的屬性等等,由于這項工作的復雜性,所以很多病毒在編寫感染代碼的時候會包括一些小錯誤,造成這些病毒在感染一些文件的時候會出錯無法繼續,從而幸運的造成這些病毒無法大規模的流行。
感染DOS環境下設備驅動程序(.SYS文件)的病毒會在DOS啟動之后立刻進入系統,而且對于隨后加載的任何軟件(包括殺毒軟件)來說,所有的文件操作(包括可能的查病毒和殺病毒操作)都在病毒的監控之下,在這種情況下干凈的清除病毒基本上是不可能的。
文件型電腦病毒:"插入寄生":
病毒將自己插入被感染的程序中,可以整段的插入,也可以分成很多段,有的病毒通過壓縮原來的代碼的方法,保持被感染文件的大小不變。前面論述的更改文件頭等基本操作同樣需要,對于中間插入來說,要求程序的編寫更加嚴謹,
所以采用這種方式的病毒相對比較少,即使采用了這種方式,很多病毒也由于程序編寫上的錯誤沒有真正流行起來。
文件型電腦病毒:"空洞利用":
對于視窗環境下的可執行文件,還有一種更加巧妙的方法,由于視窗程序的結構非常復雜,一般里面都會有很多沒有使用的部分,一般是空的段,或者每個段的最后部分。病毒尋找這些沒有使用的部分,然后將病毒代碼分散到其中,這樣就實現了神不知鬼不覺的感染(著名的"CIH"病毒就是用了這種方法)。
寄生病毒精確的實現了病毒的定義,"寄生在宿主程序的之上,并且不破壞宿主程序的正常功能",所以寄生病毒設計的初衷都希望能夠完整的保存原來程序的所有內容,因此除了某些由于程序設計失誤造成原來的程序不能恢復的病毒以外,寄生型病毒基本上都是可以安全清除的。
除了改變文件頭、將自己插入被感染程序中以外,寄生病毒還會采用一些方法來隱藏自己:如果被感染文件是只讀文件,病毒在感染時首先改變文件的屬性為可讀寫,然后進行感染,感染完畢之后再把屬性改回只讀,病毒在感染時往往還會記錄文件最后一次訪問的日期,感染完畢之后再改回原來的日期,這樣用戶就不會通過日期的變化覺察到文件已經被修改過了。
根據病毒感染后,被感染文件的信息是不是有丟失,我們把病毒感染分成兩種最基本的類型,破壞性感染和非破壞性感染,對于非破壞性感染的文件,只要殺毒軟件清楚的掌握了病毒感染的基本原理,準確的進行還原是可能的,在這種情況下,我們稱這個病毒是可清除的。而對于破壞性感染,由于病毒刪除或者覆蓋了原來文件的全部/部分內容,所以這種病毒是不能清除的,只能刪除感染文件,或者用沒有被感染的原始文件覆蓋被感染的文件。
DOS環境下的COM和EXE文件具有完全不同的結構,所以病毒感染的方法也完全不一樣,有的病毒根據文件后綴名來判斷感染的是COM還是EXE文件,而另外一種更加準確的方法是比較文件頭,看看是不是符合EXE文件的定義。根據文件后綴名來進行感染經常會造成錯誤,一個最典型的例子是視窗95系統目錄下的文件,后綴名顯示它是一個COM文件,但是這個大小超過90K的文件實際上是一個EXE文件。那些根據文件后綴名進行感染的病毒一旦感染這個文件就會造成文件的損壞,這也是很多用戶發現自己在視窗下無法打開DOS框的原因。
看了“文件型電腦病毒分類介紹”文章的還看了:
2.電腦病毒分類介紹
文件型電腦病毒分類介紹
上一篇:文件型電腦病毒介紹
下一篇:文件型電腦病毒冷門分類介紹
