文件型電腦病毒冷門分類介紹
文件型電腦病毒冷門分類介紹
病毒的感染部分包括了一個小型的反匯編軟件,感染的時候,將被感染文件加載到內存中,然后一條一條代碼的進行反匯編,下面由學習啦小編給你做出詳細的文件型電腦病毒冷門分類介紹!希望對你有幫助!
文件型電腦病毒冷門分類介紹:
文件型電腦病毒冷門:覆蓋病毒
這種病毒沒有任何美感可言,也沒有體現出任何高明的技術,病毒制造者直接用病毒程序替換被感染的程序,這樣所有的文件頭也變成了病毒程序的文件頭,不用作任何調整。顯然,這種病毒不可能廣泛流行,因為被感染的程序立刻就不能正常工作了,用戶可以迅速的發現病毒的存在并采取相應的措施。
文件型電腦病毒冷門:無入口點病毒
這種病毒并不是真正沒有入口點,只是在被感染程序執行的時候,沒有立刻跳轉到病毒的代碼處開始執行。也就是說,沒有在COM文件的開始放置一條跳轉指令,也沒有改變EXE文件的程序入口點。病毒代碼無聲無息的潛伏在被感染的程序中,可能在非常偶然的條件下才會被觸發開始執行,采用這種方式感染的病毒非常隱蔽,殺毒軟件很難發現在程序的某個隨機的部位,有這樣一些在程序運行過程中會被執行到的病毒代碼!
那么,這種病毒必須修改原來程序中的某些指令,使得在原來程序運行中可以跳轉到病毒代碼處。我們知道x86機器的指令是不等長,也就是說無法斷定什么地方開始的是一條有效地、可以執行到的指令,將這條指令改成跳轉指令就可以切換到病毒代碼了。聰明的病毒制造者從來不會被這種小兒科的問題難倒,他們發現了一系列的方法可以做這件事情:
大量的可執行文件是使用C或者帕斯卡語言編寫的,使用這些語言編寫的程序有這樣一個特點,程序中會使用一些基本的庫函數,比如說字符串處理、基本的輸入輸出等,在啟動用戶開發的程序之前,編譯器會增加一些代碼對庫進行初始化,病毒可以尋找特定的初始化代碼,然后使用修改這段代碼的開始跳轉到病毒代碼處,執行完病毒之后再執行通常的初始化工作。"紐克瑞希爾"病毒就采用了這種方法進行感染。
病毒的感染部分包括了一個小型的反匯編軟件,感染的時候,將被感染文件加載到內存中,然后一條一條代碼的進行反匯編,當滿足某個特定的條件的時候(病毒認為可以很安全的改變代碼了),將原來的指令替換成一條跳轉指令,跳轉到病毒代碼中,"CNTV"和"中間感染"病毒是用這種方法插入跳轉到病毒的指令。
還有一種方法僅僅適用于TSR程序,病毒修改TSR程序的中斷服務代碼,這樣當操作系統執行中斷的時候就會跳轉到病毒代碼中。(比如說修改21H號中斷,這樣任何DOS調用都會首先通過病毒進行了)
TSR(Terminal Still Resident中止仍然駐留)程序,是DOS操作系統下一類非常重要的程序,包括所有的DOS環境下的中文操作系統(CCDOS、中國龍等)等一大類程序都是TSR程序。這類程序的特點是程序執行完畢之后仍然部分駐留在內存中,駐留的部分基本上都是中斷服務程序,可以完成特定的中斷服務任務。
除此之外,還有另外一種比較少見的獲得程序控制權的方法是通過EXE文件的重定位表完成的
文件型電腦病毒冷門:伴隨病毒
這種病毒不改變被感染的文件,而是為被感染的文件創建一個伴隨文件(病毒文件),這樣當你執行被感染文件的時候,實際上執行的是病毒文件。
其中一種伴隨病毒利用了DOS執行文件的一個特性,當同一個目錄中同時存在同名的后綴名為.COM的文件和后綴名為.EXE的文件時,會首先執行后綴名為COM的文件,例如,DOS操作系統帶了一個XCOPY.EXE程序,如果在DOS目錄中一個叫做XCOPY. COM的文件是一個病毒,那么當你敲入"XCOPY (回車換行)"的時候,實際執行的是病毒文件。
還有一種伴隨方式是將原來的文件改名,比如說將XCOPY.EXE改成XCOPY.OLD,然后生成一個新的XCOPY.EXE(實際上就是病毒文件),這樣你敲入"XCOPY (回車換行)"的時候,執行的同樣是病毒文件,然后病毒文件再去加載原來的程序執行。
另外一種伴隨方式利用了DOS或者視窗操作系統的搜索路徑,比如說視窗系統首先會搜索操作系統安裝的系統目錄,這樣病毒可以在最先搜索目錄存放和感染文件同名的可執行文件,當執行的時候首先會去執行病毒文件,最新的"尼姆達"病毒就大量使用這種方法進行傳染。
文件型電腦病毒冷門:文件蠕蟲:
文件蠕蟲和伴隨病毒很相似,但是不利用路徑的優先順序或者其他手段執行,病毒只是生成一個具有"INSTALL.BAT"或者"SETUP.EXE"等名字的文件(就是病毒文件的拷貝),誘使用戶在看到文件之后執行。
還有一些蠕蟲使用了更加高級的技術,主要是針對壓縮文件的,這些病毒可以發現硬盤上的壓縮文件,然后直接將自己加到壓縮包中,病毒支持的壓縮包主要是ARJ和ZIP,可能主要原因是因為這兩種壓縮格式的資料最全,壓縮算法也是公開的,所以病毒可以方便的實現自己的壓縮/增加方法。
針對批處理的病毒也存在,病毒會在以BAT結尾的批處理文件中增加執行病毒的語句,從而實現病毒的傳播。
文件型電腦病毒冷門:鏈接病毒
這類病毒的數量比較少,但是有一個特別是在中國鼎鼎大名的"目錄2"(DIRII)病毒。病毒并沒有在硬盤上生成一個專門的病毒文件,而是將自己隱藏在文件系統的某個地方,"目錄2"病毒將自己隱藏在驅動器的最后一個簇中,然后修改文件分配表,使目錄區中文件文件的開始簇指向病毒代碼,這種感染方式的特點是每一個邏輯驅動器上只有一份病毒的拷貝。
簇:由于硬盤上每一個扇區的大小一般只有512字節,如果一個文件分布在很多的扇區中,要想完整的在文件分配表中表示這個文件占用的扇區將會使用非常多非常多的目錄空間,例如1個1M的文件,將需要2K字節的空間表示文件占用扇區的情況。所以所有的文件系統都引入了簇的概念,一個簇就是很多個扇區,但是組合在一起作為文件分配的最小單位,簇的大小有4K、16K、32K等多種。
在視窗NT和視窗2000操作系統中,還有一種新的鏈接病毒,這種病毒只存在于NTFS文件系統的邏輯磁盤上,使用了NTFS文件系統的隱藏流來存放病毒代碼,被這種病毒感染之后,殺毒軟件很難找到病毒代碼并且安全的清除。
文件型電腦病毒冷門:對象文件、庫文件和源代碼病毒
這類病毒的數量非常少,總數大概不會超過10個,病毒感染編譯器生成的中間對象文件(OBJ文件),或者編譯器使用的庫文件(.LIB)文件,由于這些文件不是直接的可執行文件,所以病毒感染這些文件之后并不能直接的傳染,必須使用被感染的OBJ或者LIB鏈接生成EXE(COM)程序之后才能實際的完成感染過程,所生成的文件中包含了病毒。
源代碼病毒直接對源代碼進行修改,在源代碼文件中增加病毒的內容,例如搜索所有后綴名是".C"的文件,如果在里面找到"main("形式的字符串,則在則在這一行的后面加上病毒代碼,這樣編譯出來的文件就包括了病毒。
看了“文件型電腦病毒冷門分類介紹”文章的還看了:
4.電腦病毒分類介紹