文件型电脑病毒分类介绍
文件型病毒分类是怎样分的呢!种类太多!你会吗,下面由小编给你做出详细的文件型电脑病毒分类介绍!希望对你有帮助!
文件型电脑病毒分类介绍:
文件型电脑病毒:寄生病毒
这类病毒在感染的时候,将病毒代码加入正常程序之中,原来程序的功能部分或者全部被保留。根据病毒代码加入的方式不同,寄生病毒可以分为"头寄生"、"尾寄生"、"中间插入"和"空洞利用"四种:
###文件型电脑病毒:###"头寄生":
实现将病毒代码放到程序的头上有两种方法,一种是将原来程序的前面一部分拷贝到程序的最后,然后将文件头用病毒代码覆盖;另外一种是生成一个新的文件,首先在头的位置写上病毒代码,然后将原来的可执行文件放在病毒代码的后面,再用新的文件替换原来的文件从而完成感染。使用"头寄生"方式的病毒基本上感染的是批处理病毒和COM格式的文件,因为这些文件在运行的时候不需要重新定位,所以可以任意调换代码的位置而不发生错误。
当然,随着病毒制作水平的提高,很多感染DOS下的EXE文件和视窗系统的EXE文件的病毒也是用了头寄生的方式,为使得被感染的文件仍然能够正常运行,病毒在执行原来程序之前会还原出原来没有感染过的文件用来正常执行,执行完毕之后再进行一次感染,保证硬盘上的文件处于感染状态,而执行的文件又是一切正常的。
###文件型电脑病毒:###"尾寄生":
由于在头部寄生不可避免的会遇到重新定位的问题,所以最简单也是最常用的寄生方法就是直接将病毒代码附加到可执行程序的尾部。对于DOS环境下COM可执行文件来说,由于COM文件就是简单的二进制代码,没有任何结构信息,所以可以直接将病毒代码附加到程序的尾部,然后改动COM文件开始的3个字节为跳转指令:
###文件型电脑病毒:###JMP [病毒代码开始地址]
对于DOS环境下的EXE文件,有两种处理的方法,一种是将EXE格式转换成COM格式再进行感染,另外一种需要修改EXE文件的文件头,一般会修改EXE文件头的下面几个部分:
代码的开始地址
可执行文件的长度
文件的CRC校验值
堆栈寄存器的指针也可能被修改。
对于视窗操作系统下的EXE文件,病毒感染后同样需要修改文件的头,这次修改的是PE或者NE的头,相对于DOS下EXE文件的头来说,这项工作要复杂很多,需要修改程序入口地址、段的开始地址、段的属性等等,由于这项工作的复杂性,所以很多病毒在编写感染代码的时候会包括一些小错误,造成这些病毒在感染一些文件的时候会出错无法继续,从而幸运的造成这些病毒无法大规模的流行。
感染DOS环境下设备驱动程序(.SYS文件)的病毒会在DOS启动之后立刻进入系统,而且对于随后加载的任何软件(包括杀毒软件)来说,所有的文件操作(包括可能的查病毒和杀病毒操作)都在病毒的监控之下,在这种情况下干净的清除病毒基本上是不可能的。
文件型电脑病毒:"插入寄生":
病毒将自己插入被感染的程序中,可以整段的插入,也可以分成很多段,有的病毒通过压缩原来的代码的方法,保持被感染文件的大小不变。前面论述的更改文件头等基本操作同样需要,对于中间插入来说,要求程序的编写更加严谨,
所以采用这种方式的病毒相对比较少,即使采用了这种方式,很多病毒也由于程序编写上的错误没有真正流行起来。
###文件型电脑病毒:###"空洞利用":
对于视窗环境下的可执行文件,还有一种更加巧妙的方法,由于视窗程序的结构非常复杂,一般里面都会有很多没有使用的部分,一般是空的段,或者每个段的最后部分。病毒寻找这些没有使用的部分,然后将病毒代码分散到其中,这样就实现了神不知鬼不觉的感染(著名的"CIH"病毒就是用了这种方法)。
寄生病毒精确的实现了病毒的定义,"寄生在宿主程序的之上,并且不破坏宿主程序的正常功能",所以寄生病毒设计的初衷都希望能够完整的保存原来程序的所有内容,因此除了某些由于程序设计失误造成原来的程序不能恢复的病毒以外,寄生型病毒基本上都是可以安全清除的。
除了改变文件头、将自己插入被感染程序中以外,寄生病毒还会采用一些方法来隐藏自己:如果被感染文件是只读文件,病毒在感染时首先改变文件的属性为可读写,然后进行感染,感染完毕之后再把属性改回只读,病毒在感染时往往还会记录文件最后一次访问的日期,感染完毕之后再改回原来的日期,这样用户就不会通过日期的变化觉察到文件已经被修改过了。
根据病毒感染后,被感染文件的信息是不是有丢失,我们把病毒感染分成两种最基本的类型,破坏性感染和非破坏性感染,对于非破坏性感染的文件,只要杀毒软件清楚的掌握了病毒感染的基本原理,准确的进行还原是可能的,在这种情况下,我们称这个病毒是可清除的。而对于破坏性感染,由于病毒删除或者覆盖了原来文件的全部/部分内容,所以这种病毒是不能清除的,只能删除感染文件,或者用没有被感染的原始文件覆盖被感染的文件。
DOS环境下的COM和EXE文件具有完全不同的结构,所以病毒感染的方法也完全不一样,有的病毒根据文件后缀名来判断感染的是COM还是EXE文件,而另外一种更加准确的方法是比较文件头,看看是不是符合EXE文件的定义。根据文件后缀名来进行感染经常会造成错误,一个最典型的例子是视窗95系统目录下的文件,后缀名显示它是一个COM文件,但是这个大小超过90K的文件实际上是一个EXE文件。那些根据文件后缀名进行感染的病毒一旦感染这个文件就会造成文件的损坏,这也是很多用户发现自己在视窗下无法打开DOS框的原因。