文件型電腦病毒分類介紹
文件型病毒分類是怎樣分的呢!種類太多!你會(huì)嗎,下面由學(xué)習(xí)啦小編給你做出詳細(xì)的文件型電腦病毒分類介紹!希望對(duì)你有幫助!
文件型電腦病毒分類介紹:
文件型電腦病毒:寄生病毒
這類病毒在感染的時(shí)候,將病毒代碼加入正常程序之中,原來程序的功能部分或者全部被保留。根據(jù)病毒代碼加入的方式不同,寄生病毒可以分為"頭寄生"、"尾寄生"、"中間插入"和"空洞利用"四種:
文件型電腦病毒:"頭寄生":
實(shí)現(xiàn)將病毒代碼放到程序的頭上有兩種方法,一種是將原來程序的前面一部分拷貝到程序的最后,然后將文件頭用病毒代碼覆蓋;另外一種是生成一個(gè)新的文件,首先在頭的位置寫上病毒代碼,然后將原來的可執(zhí)行文件放在病毒代碼的后面,再用新的文件替換原來的文件從而完成感染。使用"頭寄生"方式的病毒基本上感染的是批處理病毒和COM格式的文件,因?yàn)檫@些文件在運(yùn)行的時(shí)候不需要重新定位,所以可以任意調(diào)換代碼的位置而不發(fā)生錯(cuò)誤。
當(dāng)然,隨著病毒制作水平的提高,很多感染DOS下的EXE文件和視窗系統(tǒng)的EXE文件的病毒也是用了頭寄生的方式,為使得被感染的文件仍然能夠正常運(yùn)行,病毒在執(zhí)行原來程序之前會(huì)還原出原來沒有感染過的文件用來正常執(zhí)行,執(zhí)行完畢之后再進(jìn)行一次感染,保證硬盤上的文件處于感染狀態(tài),而執(zhí)行的文件又是一切正常的。
文件型電腦病毒:"尾寄生":
由于在頭部寄生不可避免的會(huì)遇到重新定位的問題,所以最簡(jiǎn)單也是最常用的寄生方法就是直接將病毒代碼附加到可執(zhí)行程序的尾部。對(duì)于DOS環(huán)境下COM可執(zhí)行文件來說,由于COM文件就是簡(jiǎn)單的二進(jìn)制代碼,沒有任何結(jié)構(gòu)信息,所以可以直接將病毒代碼附加到程序的尾部,然后改動(dòng)COM文件開始的3個(gè)字節(jié)為跳轉(zhuǎn)指令:
文件型電腦病毒:JMP [病毒代碼開始地址]
對(duì)于DOS環(huán)境下的EXE文件,有兩種處理的方法,一種是將EXE格式轉(zhuǎn)換成COM格式再進(jìn)行感染,另外一種需要修改EXE文件的文件頭,一般會(huì)修改EXE文件頭的下面幾個(gè)部分:
代碼的開始地址
可執(zhí)行文件的長(zhǎng)度
文件的CRC校驗(yàn)值
堆棧寄存器的指針也可能被修改。
對(duì)于視窗操作系統(tǒng)下的EXE文件,病毒感染后同樣需要修改文件的頭,這次修改的是PE或者NE的頭,相對(duì)于DOS下EXE文件的頭來說,這項(xiàng)工作要復(fù)雜很多,需要修改程序入口地址、段的開始地址、段的屬性等等,由于這項(xiàng)工作的復(fù)雜性,所以很多病毒在編寫感染代碼的時(shí)候會(huì)包括一些小錯(cuò)誤,造成這些病毒在感染一些文件的時(shí)候會(huì)出錯(cuò)無法繼續(xù),從而幸運(yùn)的造成這些病毒無法大規(guī)模的流行。
感染DOS環(huán)境下設(shè)備驅(qū)動(dòng)程序(.SYS文件)的病毒會(huì)在DOS啟動(dòng)之后立刻進(jìn)入系統(tǒng),而且對(duì)于隨后加載的任何軟件(包括殺毒軟件)來說,所有的文件操作(包括可能的查病毒和殺病毒操作)都在病毒的監(jiān)控之下,在這種情況下干凈的清除病毒基本上是不可能的。
文件型電腦病毒:"插入寄生":
病毒將自己插入被感染的程序中,可以整段的插入,也可以分成很多段,有的病毒通過壓縮原來的代碼的方法,保持被感染文件的大小不變。前面論述的更改文件頭等基本操作同樣需要,對(duì)于中間插入來說,要求程序的編寫更加嚴(yán)謹(jǐn),
所以采用這種方式的病毒相對(duì)比較少,即使采用了這種方式,很多病毒也由于程序編寫上的錯(cuò)誤沒有真正流行起來。
文件型電腦病毒:"空洞利用":
對(duì)于視窗環(huán)境下的可執(zhí)行文件,還有一種更加巧妙的方法,由于視窗程序的結(jié)構(gòu)非常復(fù)雜,一般里面都會(huì)有很多沒有使用的部分,一般是空的段,或者每個(gè)段的最后部分。病毒尋找這些沒有使用的部分,然后將病毒代碼分散到其中,這樣就實(shí)現(xiàn)了神不知鬼不覺的感染(著名的"CIH"病毒就是用了這種方法)。
寄生病毒精確的實(shí)現(xiàn)了病毒的定義,"寄生在宿主程序的之上,并且不破壞宿主程序的正常功能",所以寄生病毒設(shè)計(jì)的初衷都希望能夠完整的保存原來程序的所有內(nèi)容,因此除了某些由于程序設(shè)計(jì)失誤造成原來的程序不能恢復(fù)的病毒以外,寄生型病毒基本上都是可以安全清除的。
除了改變文件頭、將自己插入被感染程序中以外,寄生病毒還會(huì)采用一些方法來隱藏自己:如果被感染文件是只讀文件,病毒在感染時(shí)首先改變文件的屬性為可讀寫,然后進(jìn)行感染,感染完畢之后再把屬性改回只讀,病毒在感染時(shí)往往還會(huì)記錄文件最后一次訪問的日期,感染完畢之后再改回原來的日期,這樣用戶就不會(huì)通過日期的變化覺察到文件已經(jīng)被修改過了。
根據(jù)病毒感染后,被感染文件的信息是不是有丟失,我們把病毒感染分成兩種最基本的類型,破壞性感染和非破壞性感染,對(duì)于非破壞性感染的文件,只要?dú)⒍拒浖宄恼莆樟瞬《靖腥镜幕驹?,?zhǔn)確的進(jìn)行還原是可能的,在這種情況下,我們稱這個(gè)病毒是可清除的。而對(duì)于破壞性感染,由于病毒刪除或者覆蓋了原來文件的全部/部分內(nèi)容,所以這種病毒是不能清除的,只能刪除感染文件,或者用沒有被感染的原始文件覆蓋被感染的文件。
DOS環(huán)境下的COM和EXE文件具有完全不同的結(jié)構(gòu),所以病毒感染的方法也完全不一樣,有的病毒根據(jù)文件后綴名來判斷感染的是COM還是EXE文件,而另外一種更加準(zhǔn)確的方法是比較文件頭,看看是不是符合EXE文件的定義。根據(jù)文件后綴名來進(jìn)行感染經(jīng)常會(huì)造成錯(cuò)誤,一個(gè)最典型的例子是視窗95系統(tǒng)目錄下的文件,后綴名顯示它是一個(gè)COM文件,但是這個(gè)大小超過90K的文件實(shí)際上是一個(gè)EXE文件。那些根據(jù)文件后綴名進(jìn)行感染的病毒一旦感染這個(gè)文件就會(huì)造成文件的損壞,這也是很多用戶發(fā)現(xiàn)自己在視窗下無法打開DOS框的原因。
看了“文件型電腦病毒分類介紹”文章的還看了:
2.電腦病毒分類介紹
文件型電腦病毒分類介紹
上一篇:文件型電腦病毒介紹
下一篇:文件型電腦病毒冷門分類介紹