网络通信 频道

病毒的三种分类法

 病毒的定义很简单:任何可执行的会自动复制自己、影响计算机正常运行的代码都被称做病毒。病毒导致的后果或损害是多样的,通常隐藏在邮件的附件中或下载的文件中。

  总体来讲有三种病毒:

  (1)文件感染型:将自己附在可执行程序中,例如.com, .exe文件,还有一些隐藏在操作系统的执行文件中,包括.sys, .ovl, .prg, .dll文件。当程序加载时,病毒进入系统。木马病毒通常隐藏在看起来没有危害的应用程序中,但可以做为病毒繁殖的跳板。
   (2)引导扇区型:感染系统区域的可执行代码,主要影响软盘上的DOS引导扇区和硬盘上的主引导扇区。一旦加载进系统,启动时病毒会将自己加载在内存中,很难清除。然后就开始感染其他被执行的文件,唯一办法就是关闭电脑。影响很大的一类是蠕虫病毒,它并不改变文件,但将自己复制到系统内存中,而这个过程对用户通常是不可见的。病毒的影响通常到系统内存被消耗完并且已经呈停滞状态时才会被发现。
   3、宏病毒:常见病毒,但通常破坏力没有那么强。通常使用VB脚本,宏病毒影响微软的Office组件或类似的应用软件,通常通过邮件传播。高发的例子是1999年的美丽莎病毒,通过影响Outlook来分发自己并寄给其他收件人。

  根据病毒破坏的能力可划分为以下几种:

  1无害型 除了传染时减少磁盘的可用空间外,对系统没有其他影响。
   2无危险型 这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。
   3危险型 这类病毒在计算机系统操作中造成严重的错误。
   4非常危险型 这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。

  这些病毒对系统造成的危害,并不是本身的算法中存在危险的调用,而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其他的程序产生的错误也会破坏文件和扇区,这些病毒也按照它们引起的破坏能力划分。一些现在的无害型病毒也可能会对新版的DOS、Windows和其他操作系统造成破坏。例如:在早期的病毒中,有一个“Denzuk”病毒在360KB磁盘上很好的工作,不会造成任何破坏,但是在后来的高密度软盘上却能引起大量的数据丢失。

  根据病毒特有的算法,病毒又可以划分为伴随型病毒、蠕虫病毒等等:

  1伴随型病毒 这一类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随体,具有同样的名字和不同的扩展名(COM),例如:Xcopy.exe的伴随体是Xcopy.com。病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。
   2“蠕虫”型病毒 通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其他机器的内存,计算网络地址,将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其他资源。

  除了伴随和“蠕虫”型,其他病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播,按算法又可以分为:

  1)练习型病毒 病毒自身包含错误,不能进行很好地传播,例如一些病毒在调试阶段。
   2)诡秘型病毒 它们一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件缓冲区等DOS内部修改,不易看到资源,使用比较高级的技术。利用DOS空闲的数据区进行工作。
   3)变型病毒 又称幽灵病毒,这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。它们一般的做法是一段混有无关指令的解码算法和被变化过的病毒体组成。

 

转载地址:http://www.netsp.com.cn/Article/netsafe/virus/200607/20060721201141.html

0
相关文章