⑴ 病毒種類
電腦病毒的種類
惡性程序碼的類別中,電腦病毒和蠕蟲是較具破壞力,因為它們有復制的能力,從而能夠感染遠方的系統。電腦病毒一般可以分成下列各類:
引導區電腦病毒
文件型電腦病毒
復合型電腦病毒
宏病毒
特洛伊/特洛伊木馬
蠕蟲
其他電腦病毒/惡性程序碼的種類和製作技巧
--------------------------------------------------------------------------------
引導區電腦病毒
90年代中期,最為流行的電腦病毒是引導區病毒,主要通過軟盤在16位元磁碟操作系統(DOS)環境下傳播。引導區病毒會感染軟盤內的引導區及硬碟,而且也能夠感染用戶硬碟內的主引導區(MBR)。一但電腦中毒,每一個經受感染電腦讀取過的軟盤都會受到感染。
引導區電腦病毒是如此傳播:隱藏在磁碟內,在系統文件啟動以前電腦病毒已駐留在內存內。這樣一來,電腦病毒就可完全控制DOS中斷功能,以便進行病毒傳播和破壞活動。那些設計在DOS或Windows3.1上執行的引導區病毒是不能夠在新的電腦操作系統上傳播,所以這類的電腦病毒已經比較罕見了。
典型例子:
Michelangelo是一種引導區病毒。它會感染引導區內的磁碟及硬碟內的MBR。當此電腦病毒常駐內存時,便會感染所有讀取中及沒有寫入保護的磁碟。除此以外,Michelangelo會於3月6日當天刪除受感染電腦內的所有文件。
文件型電腦病毒
文件型電腦病毒,又稱寄生病毒,通常感染執行文件(.EXE),但是也有些會感染其它可執行文件,如DLL,SCR等等...每次執行受感染的文件時,電腦病毒便會發作:電腦病毒會將自己復制到其他可執行文件,並且繼續執行原有的程序,以免被用戶所察覺。
典型例子:
CIH會感染Windows95/98的.EXE文件,並在每月的26號發作日進行嚴重破壞。於每月的26號當日,此電腦病毒會試圖把一些隨機資料覆寫在系統的硬碟,令該硬碟無法讀取原有資料。此外,這病毒又會試圖破壞FlashBIOS內的資料。
復合型電腦病毒
復合型電腦病毒具有引導區病毒和文件型病毒的雙重特點。
宏病毒
與其他電腦病毒類型的分別是宏病毒是攻擊數據文件而不是程序文件。
宏病毒專門針對特定的應用軟體,可感染依附於某些應用軟體內的宏指令,它可以很容易透過電子郵件附件、軟盤、文件下載和群組軟體等多種方式進行傳播如MicrosoftWord和Excel。宏病毒採用程序語言撰寫,例如VisualBasic或CorelDraw,而這些又是易於掌握的程序語言。宏病毒最先在1995年被發現,在不久後已成為最普遍的電腦病毒。
典型例子:
JulyKiller這個電腦病毒通過VB宏在MSWord97文件中傳播。一但打開染毒文件,這病毒首先感染共用範本(normal.dot),從而導致其它被打開的文件一一遭到感染。此電腦病毒的破壞力嚴重。如果當月份是7月時,這病毒就會刪除c:\的所有文件。
特洛伊/特洛伊木馬
特洛伊或特洛伊木馬是一個看似正當的程序,但事實上當執行時會進行一些惡性及不正當的活動。特洛伊可用作黑客工具去竊取用戶的密碼資料或破壞硬碟內的程序或數據。與電腦病毒的分別是特洛伊不會復制自己。它的傳播技倆通常是誘騙電腦用戶把特洛伊木馬植入電腦內,例如通過電子郵件上的游戲附件等。
典型例子:
BackOrifice特洛伊木馬於1998年發現,是一個Windows遠程管理工具,讓用戶利用簡單控制台或視窗應用程序,透過TCP/IP去遠程遙控電腦。
蠕蟲
蠕蟲是另一種能自行復制和經由網路擴散的程序。它跟電腦病毒有些不同,電腦病毒通常會專注感染其它程序,但蠕蟲是專注於利用網路去擴散。從定義上,電腦病毒和蠕蟲是非不可並存的。隨著互聯網的普及,蠕蟲利用電子郵件系統去復制,例如把自己隱藏於附件並於短時間內電子郵件予多個用戶。有些蠕蟲(如CodeRed),更會利用軟體上的漏洞去擴散和進行破壞。
典型例子:
於1999年6月發現的Worm.ExploreZip是一個可復制自己的蠕蟲。當執行時,它會把自己隱藏在附件,經電子郵件傳送予通訊錄內的收件人。在Windows環境下,若用戶開啟附件,就會自動執行蠕蟲。在Windows95/98環境下,此蠕蟲以Explore.exe為名,把自己復制到C:\windows\system目錄,以及更改WIN.INI文件,以便系統每次啟動時便會自動執行蠕蟲。
管理工具,讓用戶利用簡單控制台或視窗應用程序,透過TCP/IP去遠程遙控電腦。
其他病毒/惡性程序碼的種類和製作技巧
電腦病毒及防毒科技不斷變更。因應用戶轉移至新的平台或新的科技,電腦病毒編寫者會試圖研製及傳播新的電腦病毒。例如,在Java及LotusNotes平台上的電腦病毒已在近幾年出現,其中首隻Java病毒(Java.StrangeBrew)是在一九九八年九月上被發現的。所以,我們不應對於有關電腦病毒將會侵佔新的電腦平台的報導,例如Macromedia、個人PDA、流動儀器或.NET等等而感到驚訝。
以下是現今電腦病毒普遍所採用的技巧:
ActiveContent
VBScript病毒
對於電腦病毒的發展,以下有一於趨勢預計:
與軟體上的保安漏洞更多結合
採用多種途徑去散播
可感染多種不同的電腦平台
其實,以上所提出的預測己經發現在現今一些先進的電腦病毒中。例如在Nimda中,它會使用IIS和IE的保安漏洞去感染伺服器和工作站。Nimda這種復雜的電腦病毒還採用多種途徑去散播,其中包括電子郵件、網路上的共用資源、由CodeRedII所留下的後門、和通過瀏覽已感染了Nimda的伺服器上的網頁。此外,可以同時感染Windows和Linux的電腦病毒,已經在2001年被首次發現。
回答者:wahhltt - 同進士出身 七級 2-23 16:08
電腦病毒的種類
電腦病毒一般分類如下:
開機磁區病毒
檔案型病毒
巨集病毒
其他新種類的病毒
資料由香港特別行政區政府資訊科技署提供
開機磁區病毒
在九十年代中期以前,開機磁區病毒是最常見的病毒種類。這種病毒藏於已受感染的硬磁碟機的主開機磁區,或磁碟操作系統開機磁區內。當軟磁碟插入已受感染的個人電腦時,病毒便會把軟磁碟開機磁區感染,藉此把病毒擴散。
使用受感染的軟磁碟進行啟動程序時,電腦便會受到感染。在啟動電腦的過程中,基本輸入輸出系統會執行駐於軟磁碟開機磁區的病毒編碼,因此系統便改為受病毒控制。病毒控制了電腦系統後,便會把病毒編碼寫入硬磁碟的主開機磁區。之後,便會恢復正常的啟動程序。從用戶的角度來看,一切情況似乎與正常無異。
日後啟動電腦時,駐於受感染的主開機磁區的病毒便會啟動執行。因此,病毒會進入記憶體,並可隨時感染其他經使用的軟磁碟。
[主開機磁區是硬磁碟的第一個磁區,這個磁區載有執行操作系統的分割控製表及編碼。主開機磁區後的16個或以上的磁區通常是空置不用的。
硬磁碟機最多可分割為4個儲存分區,而磁碟操作系統的擴展分區可細分為多個邏輯驅動器。
每個分區的第一個磁區便是開機磁區,這個磁區包含載入分區的操作系統的資料及編碼。
軟磁碟沒有主開機磁區。以標准磁碟操作系統格式進行格式化後的軟磁碟,在結構上與硬磁碟的磁碟操作系統分區相同。]
檔案型病毒
檔案型病毒是一種依附在檔案內,經由程式檔而非資料檔擴散的病毒。電腦在執行受感染的程式時,便會受到感染。這些受感染的程式可能經由軟磁碟、唯讀光碟、網路及互聯網等途徑傳播。在執行受感染的程式後,隨附的病毒便會立即感染其他程式,或可能成為一個常駐程式,以便在日後感染其他程式。在完成這些步驟後,病毒便會恢復執行原本的正常程式。因此,用戶在執行受感染的程式時,不易發覺有任何異常的情況。
檔案型病毒一般會感染有特定副檔名的檔案。副檔名為COM、EXE及SYS的檔案,均是常見的病毒感染對象。
巨集病毒
一九九五年七月,一種新的電腦病毒被人發現,立即使電腦界大感震驚。這種新的病毒稱為巨集病毒,它與一直以來出現的病毒不同,可感染資料檔而非執行檔。其實,這並非一種新的概念,因為有關以巨集語言編寫病毒的可行性的研究,始於八十年代後期。在Word程式出現的巨集病毒可以在多個不同的操作平台活動,而且,只要電腦的Word程式是支援Word 檔案格式的話,便有機會受到感染。換言之,無論使用的是OS/2或Windows版本的Word程式,或是個人電腦或麥金塔(Macintosh)電腦,也可能受到巨集病毒的感染。
其他新種類的病毒
病毒和抗禦病毒技術不斷轉變,日新月異。隨著電腦用戶使用新的操作平台/電腦技術,編寫病毒的人也會隨之而發展新病毒,再作擴散。下文列出部分可能出現新病毒種類的新操作平台/電腦技術:
Java
ActiveX
Visual Basic (VB) Script
HTML
Lotus Notes
Java
Java 病毒一直是一個富爭議的話題:究竟可否編寫Java 病毒?Java 病毒可否在電腦之間或經由互聯網擴散?以上問題,均曾在不同的新聞組進行討論。由於Java微應用程式的設計是在受控的環境 (稱為「sandbox」) 內執行,接觸不到電腦的檔案或網路的接駁,因此,Java病毒在電腦之間擴散的可能性極低。
但由於 Java 亦像其他標準的程式一樣,可讓開發人員建立可控制整個系統的應用程式,故Java 病毒有其產生及存在的空間。
第一種被發現以Java電腦程式開發語言為本的病毒稱為「 Java.StrangeBrew」。 首次發現日期是一九九八年九月,會感染屬Java類別的檔案。但這種病毒只會影響獨立的Java應用程式檔案,以微應用程式執行的檔案則不受感染。雖然Java應用程式並不常見,「 Java.StrangeBrew」病毒的擴散也只屬於初步階段,但這種病毒的影響實在不容忽視。隨著Java 應用程式日趨普及,預料Java 病毒的種類也會逐漸增加。
ActiveX
跟Java的情況一樣,ActiveX 被視為將會受病毒入侵的操作平台。若就設計方面將兩者比較,在 ActiveX 擴散病毒的機會較Java為大。基本上,ActiveX 是 Object Linking and Embedding (OLE) 的精簡版本,會直接接觸電腦的 Windows 系統,因此可連接到任何的系統功能。此外,ActiveX 的用戶並非只局限於MS Internet Explorer的用戶;現在,Netscape Navigator的附加程式(plug-in)也可使用這種技術。相比之下,Java是在「受控的環境」下執行,或經由一個名為「Java Virtual Machine」的程式才可執行,因此可使Java與操作系統的各項服務隔開。
Visual Basic (VB) Script
過去, 編寫病毒的人若要成功編寫一種可感染其他電腦的病毒,必須對電腦的基本操作具備相當程度的知識。但隨著 Microsoft Office 內巨集的出現,編寫病毒的工具已准備就緒,而編寫的人毋須具備很多資訊科技知識也能勝任。同樣,VB Script 病毒所發揮作用的操作環境很快便會普及,擴散也甚為容易。
VB Script 病毒已對電腦用戶構成真正威脅。微軟公司的原意是包括一種功能強大而易於使用的語言以便輕易取用 Windows 98/NT 系統內的資源。VB Script 是以人類可閱讀的方式編寫,所以易於明白。正是這個原因,很多並沒有具備高深資訊科技知識的編寫病毒的人也可侵入這個領域。
以 VB Script 編寫的程式的第一代病毒藏在以 HTML 編寫的網頁內,經由互聯網擴散開去。現時散播力強的 VB Script 編寫的病毒通常以寄發電子郵件的方式擴散,按用戶地址冊所列的電郵地址把病毒程式一同寄出。用戶執行附件中的程式時,便會幫助病毒擴散。
超文本標示語言(英文簡稱「HTML」)
藉由 HTML 擴散的病毒是另一個在互聯網上引起廣泛討論的話題。有人甚至聲稱/宣告已發明/發現首隻屬 HTML 種類的病毒。
HTML 是一種控制網頁設計的編寫語言。本來,純 HTML 是不會受到感染, 因此,只支援 HTML 的瀏覽器也不會有受病毒感染的危險。所謂「HTML 病毒」出現的機會實在微乎其微。因此,真正的威脅並非來自瀏覽互聯網的網頁,而是來自從互聯網下載已感染病毒編碼的程式並加以執行。
但現時的瀏覽器大部分都支援其他編寫網頁的語言,而所謂的「HTML 病毒」通常會利用這些編寫文本的語言進行擴散。在文本內的病毒通常會藉著網頁感染電腦,VBS.Offline 便是一個典型的例子。目前,最普遍的文本病毒便是剛討論過的 VB Script 病毒。
Lotus Notes
Lotus Notes 用戶眾多,會是編寫病毒的人針對的軟體。雖然目前尚未發現本機的 Lotus Notes 病毒,但在 Lotus Notes 資料庫內的 rich-text 欄位卻提供了可供傳統病毒(例如:檔案型病毒及巨集病毒)駐存的地方。因為有關記錄曾進行壓縮,所以一般抗禦病毒軟體不能偵測在 Notes 資料庫內的病毒。為防範電腦病毒入侵 Notes 的操作環境,我們建議用戶安裝專為 Notes 軟體而編制的抗禦病毒軟體。
另外,黑客不是病毒Hacker -- 黑客
熱衷研究、撰寫程序的專才,且必須具備樂於追根究底、窮究問題的特質。
在黑客圈中,hacker一詞無疑是帶有正面的意義,例如system hacker熟悉操作系統的設計與維護;password hacker精於找出使用者的密碼,若是computer hacker則是通曉計算機,可讓計算機乖乖聽話的高手。
黑客基本上是一項業余嗜好,通常是出於自己的興趣,而非為了賺錢或工作需要。
根據開放原始碼計劃創始人Eric Raymond對此字的解釋,hacker與cracker是分屬兩個不同世界的族群,基本差異在於,hacker是有建設性的,而cracker則專門搞破壞。
hacker原意是指用斧頭砍材的工人,最早被引進計算機圈則可追溯自1960年代。
加州柏克萊大學計算機教授Brian Harvey在考證此字時曾寫到,當時在麻省理工學院中(MIT)的學生通常分成兩派,一是tool,意指乖乖牌學生,成績都拿甲等;另一則是所謂的hacker,也就是常逃課,上課愛睡覺,但晚上卻又精力充沛喜歡搞課外活動的學生。
這跟計算機有什麼關系?一開始並沒有。不過當時hacker也有區分等級,就如同tool用成績比高下一樣。真正一流hacker並非整天不學無術,而是會熱衷追求某種特殊嗜好,比如研究電話、鐵道(模型或者真的)、科幻小說,無線電,或者是計算機。也因此後來才有所謂的computer hacker出現,意指計算機高手。
對一個黑客來說,學會入侵和破解是必要的,但最主要的還是編程,畢竟,使用工具是體現別人的思路,而程序是自己的想法.一句話--編程實現一切!
對於一個駭客來說,他們只追求入侵的快感,不在乎技術,他們不會編程,不知道入侵的具體細節.
"黑客"在人們腦中的形象就是一個蓬頭亂發,戴著高度眼鏡,駝著背弓著腰,成天趴在電腦面前的人.其實黑客和正常人一模一樣,他們並無什麼特殊之處.有些人也許很少上電腦,成天運動,工作,但他們的技術和精神已經達到的黑客的標准,有些人天天爬在電腦前,到處瞎混,但他們仍不是黑客.
人們總是認為黑客就是破壞者,其實從某種意義上來說,黑客也在為計算機技術的發展做出很大的貢獻.如果沒有高明的黑客,就沒有資深的網管;如果沒有完美的木馬,就沒有傑出的殺毒軟體;沒有了黑客,網路技術就很難發展下去.當然,網管其實也是黑客,如果他不知道別人怎麼進攻,自己要怎麼防守呢??
黑客一詞在圈外或媒體上通常被定義為:專門入侵他人系統進行不法行為的計算機高手。不過這類人士在hacker眼中是屬於層次較低的cracker(駭客)。如果黑客是炸彈製造專家,那麼CRACKER就是恐怖分子.
現在,網路上出現了越來越多的Cracker,他們只會入侵,使用掃描器到處亂掃,用IP炸彈炸人家,毫無目的地入侵,破壞著,他們並無益於電腦技術的發展,反而有害於網路的安全和造成網路癱瘓,給人們帶來巨大的經濟和精神損失.
我們不能做Cracker,我們要力求當HACKER!!
⑵ 病毒文件都有那幾種
從第一個病毒出世以來,究竟世界上有多少種病毒,說法不一。無論多少種,病毒的數量仍在不斷增加。據國外統計,計算機病毒以10種周的速度遞增,另據我國公安部統計,國內以4至6種月的速度遞增。不過,孫悟空再厲害,也逃不了如來佛的手掌心,病毒再多,也逃不出下列種類。病毒分類是為了更好地了解它們。
按照計算機病毒的特點及特性,計算機病毒的分類方法有許多種。因此,同一種病毒可能有多種不同的分法。
1.按照計算機病毒攻擊的系統分類(1)攻擊DOS系統的病毒。這類病毒出現最早、最多,變種也最多,目前我國出現的計算機病毒基本上都是這類病毒,此類病毒占病毒總數的99%。
(2)攻擊Windows系統的病毒。由於Windows的圖形用戶界面(GUI)和多任務操作系統深受用戶的歡迎,Windows正逐漸取代DOS,從而成為病毒攻擊的主要對象。目前發現的首例破壞計算機硬體的CIH病毒就是一個Windows 9598病毒。
(3)攻擊UNIX系統的病毒。當前,UNIX系統應用非常廣泛,並且許多大型的操作系統均採用UNIX作為其主要的操作系統,所以UNIX病毒的出現,對人類的信息處理也是一個嚴重的威脅。
(4)攻擊OS2系統的病毒。世界上已經發現第一個攻擊OS2系統的病毒,它雖然簡單,但也是一個不祥之兆。
2.按照病毒的攻擊機型分類(1)攻擊微型計算機的病毒。這是世界上傳染是最為廣泛的一種病毒。
(2)攻擊小型機的計算機病毒。小型機的應用范圍是極為廣泛的,它既可以作為網路的一個節點機,也可以作為小的計算機網路的計算機網路的主機。起初,人們認為計算機病毒只有在微型計算機上才能發生而小型機則不會受到病毒的侵擾,但自1988年11月份Internet網路受到worm程序的攻擊後,使得人們認識到小型機也同樣不能免遭計算機病毒的攻擊。
(3)攻擊工作站的計算機病毒。近幾年,計算機工作站有了較大的進展,並且應用范圍也有了較大的發展,所以我們不難想像,攻擊計算機工作站的病毒的出現也是對信息系統的一大威脅。
3.按照計算機病毒的鏈結方式分類由於計算機病毒本身必須有一個攻擊對象以實現對計算機系統的攻擊,計算機病毒所攻擊的對象是計算機系統可執行的部分。
(1)源碼型病毒該病毒攻擊高級語言編寫的程序,該病毒在高級語言所編寫的程序編譯前插入到原程序中,經編譯成為合法程序的一部分。
(2)嵌入型病毒這種病毒是將自身嵌入到現有程序中,把計算機病毒的主體程序與其攻擊的對象以插入的方式鏈接。這種計算機病毒是難以編寫的,一旦侵入程序體後也較難消除。如果同時採用多態性病毒技術,超級病毒技術和隱蔽性病毒技術,將給當前的反病毒技術帶來嚴峻的挑戰。
(3)外殼型病毒外殼型病毒將其自身包圍在主程序的四周,對原來的程序不作修改。這種病毒最為常見,易於編寫,也易於發現,一般測試文件的大小即可知。
(4)操作系統型病毒這種病毒用它自已的程序意圖加入或取代部分操作系統進行工作,具有很強的破壞力,可以導致整個系統的癱瘓。圓點病毒和大麻病毒就是典型的操作系統型病毒。
這種病毒在運行時,用自己的邏輯部分取代操作系統的合法程序模塊,根據病毒自身的特點和被替代的操作系統中合法程序模塊在操作系統中運行的地位與作用以及病毒取代操作系統的取代方式等,對操作系統進行破壞。
4.按照計算機病毒的破壞情況分類
按照計算機病毒的破壞情況可分兩類:
(1)良性計算機病毒良性病毒是指其不包含有立即對計算機系統產生直接破壞作用的代碼。這類病毒為了表現其存在,只是不停地進行擴散,從一台計算機傳染到另一台,並不破壞計算機內的數據。有些人對這類計算機病毒的傳染不以為然,認為這只是惡作劇,沒什麼關系。其實良性、惡性都是相對而言的。良性病毒取得系統控制權後,會導致整個系統和應用程序爭搶CPU的控制權,時時導致整個系統死鎖,給正常操作帶來麻煩。有時系統內還會出現幾種病毒交叉感染的現象,一個文件不停地反復被幾種病毒所感染。例如原來只有10KB存儲空間,而且整個計算機系統也由於多種病毒寄生於其中而無法正常工作。因此也不能輕視所謂良性病毒對計算機系統造成的損害。
(2)惡性計算機病毒惡性病毒就是指在其代碼中包含有損傷和破壞計算機系統的操作,在其傳染或發作時會對系統產生直接的破壞作用。這類病毒是很多的,如米開朗基羅病毒。當米氏病毒發作時,硬碟的前17個扇區將被徹底破壞,使整個硬碟上的數據無法被恢復,造成的損失是無法挽回的。有的病毒還會對硬碟做格式化等破壞。這些操作代碼都是刻意編寫進病毒的,這是其本性之一。因此這類惡性病毒是很危險的,應當注意防範。所幸防病毒系統可以通過監控系統內的這類異常動作識別出計算機病毒的存在與否,或至少發出警報提醒用戶注意。
5.按照計算機病毒的寄生部位或傳染對象分類
傳染性是計算機病毒的本質屬性,根據寄生部位或傳染對象分類,也即根據計算機病毒傳染方式進行分類,有以下幾種:
(1)磁碟引導區傳染的計算機病毒磁碟引導區傳染的病毒主要是用病毒的全部或部分邏輯取代正常的引導記錄,而將正常的引導記錄隱藏在磁碟的其他地方。由於引導區是磁碟能正常使用的先決條件,因此,這種病毒在運行的一開始(如系統啟動)就能獲得控制權,其傳染性較大。由於在磁碟的引導區內存儲著需要使用的重要信息,如果對磁碟上被移走的正常引導記錄不進行保護,則在運行過程中就會導致引導記錄的破壞。引導區傳染的計算機病毒較多,例如,「大麻」和「小球」病毒就是這類病毒。
(2)操作系統傳染的計算機病毒操作系統是一個計算機系統得以運行的支持環境,它包括。com、。exe等許多可執行程序及程序模塊。操作系統傳染的計算機病毒就是利用操作系統中所提供的一些程序及程序模塊寄生並傳染的。通常,這類病毒作為操作系統的一部分,只要計算機開始工作,病毒就處在隨時被觸發的狀態。而操作系統的開放性和不絕對完善性給這類病毒出現的可能性與傳染性提供了方便。操作系統傳染的病毒目前已廣泛存在,「黑色星期五」即為此類病毒。
(3)可執行程序傳染的計算機病毒可執行程序傳染的病毒通常寄生在可執行程序中,一旦程序被執行,病毒也就被激活,病毒程序首先被執行,並將自身駐留內存,然後設置觸發條件,進行傳染。
對於以上三種病毒的分類,實際上可以歸納為兩大類:一類是引導區型傳染的計算機病毒;另一類是可執行文件型傳染的計算機病毒。
6.按照計算機病毒激活的時間分類
按照計算機病毒激活時間可分為定時的和隨機的。
定時病毒僅在某一特定時間才發作,而隨機病毒一般不是由時鍾來激活的。
7.按照傳播媒介分類
按照計算機病毒的傳播媒介來分類,可分為單機病毒和網路病毒。
(1)單機病毒單機病毒的載體是磁碟,常見的是病毒從軟盤傳入硬碟,感染系統,然後再傳染其他軟盤,軟盤又傳染其他系統。
(2)網路病毒網路病毒的傳播媒介不再是移動式載體,而是網路通道,這種病毒的傳染能力更強,破壞力更大。
8.按照寄生方式和傳染途徑分類人們習慣將計算機病毒按寄生方式和傳染途徑來分類。計算機病毒按其寄生方式大致可分為兩類,一是引導型病毒,二是文件型病毒;它們再按其傳染途徑又可分為駐留內存型和不駐留內存型,駐留內存型按其駐留內存方式又可細分。
混合型病毒集引導型和文件型病毒特性於一體。
引導型病毒會去改寫(即一般所說的「感染」)磁碟上的引導扇區(BOOT SECTOR)的內容,軟盤或硬碟都有可能感染病毒。再不然就是改寫硬碟上的分區表(FAT)。如果用已感染病毒的軟盤來啟動的話,則會感染硬碟。
引導型病毒是一種在ROM BIOS之後,系統引導時出現的病毒,它先於操作系統,依託的環境是BIOS中斷服務程序。引導型病毒是利用操作系統的引導模塊放在某個固定的位置,並且控制權的轉交方式是以物理地址為依據,而不是以操作系統引導區的內容為依據,因而病毒占據該物理位置即可獲得控制權,而將真正的引導區內容搬家轉移或替換,待病毒程序被執行後,將控制權交給真正的引導區內容,使得這個帶病毒的系統看似正常運轉,而病毒已隱藏在系統中伺機傳染、發作。
有的病毒會潛伏一段時間,等到它所設置的日期時才發作。有的則會在發作時在屏幕上顯示一些帶有「宣示」或「警告」意味的信息。這些信息不外是叫您不要非法拷貝軟體,不然就是顯示特定拒絕芫雁圖形,再不然就是放一段音樂給您聽。病毒發作後,不是摧毀分區表,導致無法啟動,就是直接FORMAT硬碟。也有一部分引導型病毒的「手段」沒有那麼狠,不會破壞硬碟數據,只是搞些「聲光效果」讓您虛驚一場。
引導型病毒幾乎清一色都會常駐在內存中,差別只在於內存中的位置。(所謂「常駐」,是指應用程序把要執行的部分在內存中駐留一份。這樣就可不必在每次要執行它的時候都到硬碟中搜尋,以提高效率)。
引導型病毒按其寄生對象的不同又可分為兩類,即MBR(主引導區)病毒、BR(引導區)病毒。MBR病毒也稱為分區病毒,將病毒寄生在硬碟分區主引導程序所佔據的硬碟0頭0柱面第1個扇區中。典型的病毒有大麻(Stoned)、2708等。BR病毒是將病毒寄生在硬碟邏輯0扇區或軟盤邏輯0扇區(即0面0道第1個扇區)。典型的病毒有Brain、小球病毒等。
顧名思義,文件型病毒主要以感染文件擴展名為。com、。exe和。ovl等可執行程序為主。它的安裝必須藉助於病毒的載體程序,即要運行病毒的載體程序,方能把文件型病毒引入內存。已感染病毒的文件執行速度會減緩,甚至完全無法執行。有些文件遭感染後,一執行就會遭到刪除。大多數的文件型病毒都會把它們自己的代碼復制到其宿主的開頭或結尾處。這會造成已感染病毒文件的長度變長,但用戶不一定能用DIR命令列出其感染病毒前的長度。也有部分病毒是直接改寫「受害文件」的程序碼,因此感染病毒後文件的長度仍然維持不變。
感染病毒的文件被執行後,病毒通常會趁機再對下一個文件進行感染。有的高明一點的病毒,會在每次進行感染的時候,針對其新宿主的狀況而編寫新的病毒碼,然後才進行感染。因此,這種病毒沒有固定的病毒碼——以掃描病毒碼的方式來檢測病毒的查毒軟體,遇上這種病毒可就一點用都沒有了。但反病毒軟體隨病毒技術的發展而發展,針對這種病毒現在也有了有效手段。
大多數文件型病毒都是常駐在內存中的。
文件型病毒分為源碼型病毒、嵌入型病毒和外殼型病毒。源碼型病毒是用高級語言編寫的,若不進行匯編、鏈接則無法傳染擴散。嵌入型病毒是嵌入在程序的中間,它只能針對某個具體程序,如dBASE病毒。這兩類病毒受環境限制尚不多見。目前流行的文件型病毒幾乎都是外殼型病毒,這類病毒寄生在宿主程序的前面或後面,並修改程序的第一個執行指令,使病毒先於宿主程序執行,這樣隨著宿主程序的使用而傳染擴散。
混合型病毒綜合系統型和文件型病毒的特性,它的「性情」也就比系統型和文件型病毒更為「兇殘」。這種病毒透過這兩種方式來感染,更增加了病毒的傳染性以及存活率。不管以哪種方式傳染,只要中毒就會經開機或執行程序而感染其他的磁碟或文件,此種病毒也是最難殺滅的。
引導型病毒相對文件型病毒來講,破壞性較大,但為數較少,直到90年代中期,文件型病毒還是最流行的病毒。但近幾年情形有所變化,宏病毒後來居上,據美國國家計算機安全協會統計,這位「後起之秀」已佔目前全部病毒數量的80%以上。另外,宏病毒還可衍生出各種變形病毒,這種「父生子子生孫」的傳播方式實在讓許多系統防不勝防,這也使宏病毒成為威脅計算機系統的「第一殺手」。
隨著微軟公司Word字處理軟體的廣泛使用和計算機網路尤其是Internet的推廣普及,病毒家族又出現一種新成員,這就是宏病毒。宏病毒是一種寄存於文檔或模板的宏中的計算機病毒。一旦打開這樣的文檔,宏病毒就會被激活,轉移到計算機上,並駐留在Normal模板上。從此以後,所有自動保存在文檔都會「感染」上這種宏病毒,而且如果其他用戶打開了感染病毒的文檔,宏病毒又會轉移到他的計算機上。
⑶ 怎樣知道諾頓殺毒軟體病毒庫的類型
諾頓病毒庫的類型有X86、I32、I64三種。
一、I32
此病毒碼適用於:
NAV
2000
for
Win9x/NT/2000
NAV
2001
for
Win95b/98/NT/2000/Me
NAV
2002
Professional
Edition
NAV
2002
for
Win98/Me/NT/2000/XP
Home/XP
Pro
NAV
4.0,
5.0
and
2000
for
Win9x
NAV
4.0,
5.0
and
2000
for
WinNT
NAV
for
Firewalls
1.5
or
higher
NAV
for
Lotus
Notes
(Intel)
NAV
for
MS
Exchange
(Intel)
Norton
SystemWorks
(all
versions)
Norton
Utilities
for
Windows
95/98
(all
versions)
pcAnywhere32
7.5
and
higher
for
WinNT.
二、I64
Symantec
AntiVirus
8.1
Corporate
Edition
Client
for
64-bit
OS
only
Symantec
AntiVirus
9.0
Corporate
Edition
Client
for
64-bit
OS
only
這個是針對特定用戶的。
三、X86
一般情況下,I32不適合你的,下載這個准沒錯。這個版本幾乎適用於任何用戶(除I32和I64以外)。推薦下載這個。
此病毒碼適用於:
NAV
2000
for
Win9x/NT/2000
NAV
2001
for
Win95b/98/NT/2000/Me
NAV
2002
Professional
Edition
NAV
2002
for
Win98/Me/NT/2000/XP
Home/XP
Pro
NAV
3.0
&
4.0
for
DOS/Win3x
NAV
4.0
for
NetWare
NAV
4.0,
5.0
and
2000
for
Win9x
NAV
4.0,
5.0
and
2000
for
WinNT
NAV
6.0
&
7.x
Corporate
Edition
NAV
for
Gateways
2.x
(WinNT/2000)
NAV
for
Internet
Email
Gateways
1.x
(WinNT
only)
NAV
for
Lotus
Notes
(Intel)
NAV
for
MS
Exchange
(Intel)
Norton
NT
Tools
Norton
Utilities
2.0
for
WinNT
pcAnywhere32
7.5
and
higher
for
WinNT
你下載病毒庫時,一般會有下列字樣(以6月23日為例)
諾頓殺毒軟體Norton
Antivirus病毒庫x86
Build
2006.06.23
http://www.down927.com/downinfo/1684.html
下載後的文件名為:SymantecNortonAntivirusx86.exe
諾頓殺毒軟體Norton
Antivirus病毒庫i32
Build
2006.06.23
http://www.down927.com/downinfo/1685.html
下載後的文件名為:SymantecNortonAntivirusi32.exe
簡單點說,下載x86就可以了。
附:諾頓每日病毒庫下載地址:
http://down.ddvip.com/list/74.html
⑷ 病毒可以分為哪幾類
計算機通用病毒定義及命名規范詳解
病毒名是由以下6欄位組成的:主行為類型.子行為類型.宿主文件類型.主名稱.版本信息.主名稱變種號#附屬名稱.附屬名稱變種號.病毒長度。其中欄位之間使用「.」分隔,#號以後屬於內部信息,為推舉結構。
主行為類型與病毒子行為類型
病毒可能包含多個主行為類型,這種情況可以通過每種主行為類型的危害級別確定危害級別最高的作為病毒的主行為類型。同樣的,病毒也可能包含多個子行為類 型,這種情況可以通過每種主行為類型的危害級別確定危害級別最高的作為病毒的子行為類型。其中危害級別是指對病毒所在計算機的危害。
病毒主行為類型有是否顯示的屬性,用於生成病毒名時隱藏主行為名稱。它與病毒子行為類型存在對應關系,見下表:
主行為類型 子行為類型
Backdoor
危害級別:1
說明:
中文名稱—「後門」, 是指在用戶不知道也不允許的情況下,在被感染的系統上以隱蔽的方式運行可以對被感染的系統進行遠程式控制制,而且用戶無法通過正常的方法禁止其運行。「後門」 其實是木馬的一種特例,它們之間的區別在於「後門」可以對被感染的系統進行遠程式控制制(如:文件管理、進程式控制制等)。
Worm
危害級別:2
說明:
中文名稱—「蠕蟲」,是指利用系統的漏洞、外發郵件、共享目錄、可傳輸文件的軟體(如:MSN、OICQ、IRC等)、可移動存儲介質(如:U盤、軟 盤),這些方式傳播自己的病毒。這種類型的病毒其子型行為類型用於表示病毒所使用的傳播方式。
Mail
危害級別:1
說明:通過郵件傳播
IM
危害級別:2
說明:通過某個不明確的載體或多個明確的載體傳播自己
MSN
危害級別:3
說明:通過MSN傳播
QQ
危害級別:4
說明:通過OICQ傳播
ICQ
危害級別:5
說明:通過ICQ傳播
P2P
危害級別:6
說明:通過P2P軟體傳播
IRC
危害級別:7
說明:通過ICR傳播
說明:不依賴其他軟體進行傳播的傳播方式,如:利用系統漏洞、共享目錄、可移動存儲介質。
Trojan
危害級別:3
說明:
中文名稱—「木馬」,是指在用戶不知道也不允許的情況下,在被感染的系統上以隱蔽的方式運行,而且用戶無法通過正常的方法禁止其運行。這種病毒通常都有利益目的,它的利益目的也就是這種病毒的子行為。
Spy
危害級別:1
說明:竊取用戶信息(如:文件等)
PSW
危害級別:2
說明:具有竊取密碼的行為
DL
危害級別:3
說明:下載病毒並運行
一、判定條款:
沒有可調出的任何界面,邏輯功能為:從某網站上下載文件載入或運行.
二、邏輯條件引發的事件:
事件1、.不能正常下載或下載的文件不能判定為病毒。
操作準則:該文件不能符合正常軟體功能組件標識條款的,確定為:Trojan.DL
事件2.下載的文件是病毒
操作準則: 下載的文件是病毒,確定為: Trojan.DL
IMMSG
危害級別:4
說明:通過某個不明確的載體或多個明確的載體傳播即時消息(這一行為與蠕蟲的傳播行為不同,蠕蟲是傳播病毒自己,木馬僅僅是傳播消息)
MSNMSG
危害級別:5
說明:通過MSN傳播即時消息
QQMSG
危害級別:6
說明:通過OICQ傳播即時消息
ICQMSG
危害級別:7
說明:通過ICQ傳播即時消息
UCMSG
危害級別:8
說明:通過UC傳播即時消息
Proxy
危害級別:9
說明:將被感染的計算機作為代理伺服器
Clicker
危害級別:10
說明:點擊指定的網頁
判定條款:
沒有可調出的任何界面,邏輯功能為:點擊某網頁。
操作準則:
該文件不符合正常軟體功能組件標識條款的,確定為:Trojan.Clicker。
(該文件符合正常軟體功能組件標識條款,就參考流氓軟體判定規則進行流氓軟體判定)
Dialer
危害級別:12
說明:通過撥號來騙取Money的程序
說明:無法描述其利益目的但又符合木馬病毒的基本特徵,則不用具體的子行為進行描述
AOL
按照原來病毒名命名保留。
Notifier
按照原來病毒名命名保留。
Virus
危害級別:4
說明:中文名稱—「感染型病毒」,是指將病毒代碼附加到被感染的宿主文件(如:PE文件、DOS下的COM文件、VBS文件、具有可運行宏的文件)中,使病毒代碼在被感染宿主文件運行時取得運行權的病毒。
Harm
危害級別:5
說明:中文名稱—「破壞性程序」,是指那些不會傳播也不感染,運行後直接破壞本地計算機(如:格式化硬碟、大量刪除文件等)導致本地計算機無法正常使用的程序。
Dropper
危害級別:6
說明:中文名稱—「釋放病毒的程序」,是指不屬於正常的安裝或自解壓程序,並且運行後釋放病毒並將它們運行。
一.Dropper判定條款:
沒有可調出的任何界面,邏輯功能為:自釋放文件載入或運行。
二.邏輯條件引發的事件:
事件1:.釋放的文件不是病毒。
操作準則: 釋放的文件和釋放者本身沒邏輯關系並該文件不符合正常軟體功能組件標識條款的,確定為:Droper
事件2:釋放的文件是病毒。
操作準則: 釋放的文件是病毒,確定該文件為:Droper
Hack
危害級別:無
說明:中文名稱—「黑客工具」,是指可以在本地計算機通過網路攻擊其他計算機的工具。
Exploit
說明:漏洞探測攻擊工具
DDoser
說明:拒絕服務攻擊工具
Flooder
說明:洪水攻擊工具
說明:不能明確攻擊方式並與黑客相關的軟體,則不用具體的子行為進行描述
Spam
說明:垃圾郵件。
Nuker
Sniffer
Spoofer
Anti
說明:免殺的黑客工具
Binder
危害級別:無
說明:捆綁病毒的工具
正常軟體功能組件標識條款:被檢查的文件體內有以下信息能標識出該文件是正常軟體的功能組件:文件版本信息,軟體信息(注冊表鍵值、安裝目錄)等。
宿主文件
宿主文件是指病毒所使用的文件類型,有是否顯示的屬性。目前的宿主文件有以下幾種。
JS 說明:JavaScript腳本文件
VBS 說明:VBScript腳本文件
HTML 說明:HTML文件
Java 說明:Java的Class文件
COM 說明:Dos下的Com文件
EXE 說明:Dos下的Exe文件
Boot 說明:硬碟或軟盤引導區
Word 說明:MS公司的Word文件
Excel 說明:MS公司的Excel文件
PE 說明:PE文件
WinREG 說明:注冊表文件
Ruby 說明:一種腳本
Python 說明:一種腳本
BAT 說明:BAT腳本文件
IRC 說明:IRC腳本
主名稱
病毒的主名稱是由分析員根據病毒體的特徵字元串、特定行為或者所使用的編譯平台來定的,如果無法確定則可以用字元串」Agent」來代替主名稱,小於10k大小的文件可以命名為「Samll」。
版本信息
版本信息只允許為數字,對於版本信息不明確的不加版本信息。
主名稱變種號
如果病毒的主行為類型、行為類型、宿主文件類型、主名稱均相同,則認為是同一家族的病毒,這時需要變種號來區分不同的病毒記錄。如果一位版本號不夠用則 最多可以擴展3位,並且都均為小寫字母a—z,如:aa、ab、aaa、aab以此類推。由系統自動計算,不需要人工輸入或選擇。
附屬名稱
病毒所使用的有輔助功能的可運行的文件,通常也作為病毒添加到病毒庫中,這種類型的病毒記錄需要附屬名稱來與病毒主體的病毒記錄進行區分。附屬名稱目前有以下幾種:
Client 說明:後門程序的控制端
KEY_HOOK 說明:用於掛接鍵盤的模塊
API_HOOK 說明:用於掛接API的模塊
Install 說明:用於安裝病毒的模塊
Dll 說明:文件為動態庫,並且包含多種功能
(空) 說明:沒有附屬名稱,這條記錄是病毒主體記錄
附屬名稱變種號
如果病毒的主行為類型、行為類型、宿主文件類型、主名稱、主名稱變種號、附屬名稱均相同,則認為是同一家族的病毒,這時需要變種號來區分不同的病毒記 錄。變種號為不寫字母a—z,如果一位版本號不夠用則最多可以擴展3位,如:aa、ab、aaa、aab以此類推。由系統自動計算,不需要人工輸入或選 擇。
病毒長度
病毒長度欄位只用於主行為類型為感染型(Virus)的病毒,欄位的值為數字。欄位值為0,表示病毒長度可變。
⑸ 計算機病毒的最常見的文件類型有哪些
2樓真是2。
.exe&.com最為常見。大部分病毒都是如此。
.dll&.sys
常見的病毒的重要組成部分。實現大部分主要功能。
.vbs
常見於u盤類病毒。
.js
腳本類病毒也很多。
再有就不太好舉叻,一般有.scr/.reg&.bat等(為了逃避殺軟監控,使用正常的文件類型)
⑹ 哪種殺毒軟體的病毒庫種類最多
應該是Bitdefender,號稱病毒庫最大
其次應該是卡巴和熊貓衛士
⑺ 病毒的種類
1.按照計算機病毒攻擊的系統分類
(1)攻擊DOS系統的病毒。這類病毒出現最早、最多,變種也最多,目前我國出現的計算機病毒基本上都是這類病毒,此類病毒占病毒總數的99%。
(2)攻擊Windows系統的病毒。由於Windows的圖形用戶界面(GUI)和多任務操作系統深受用戶的歡迎,Windows正逐漸取代DOS,從而成為病毒攻擊的主要對象。目前發現的首例破壞計算機硬體的CIH病毒就是一個Windows 95/98病毒。
(3)攻擊UNIX系統的病毒。當前,UNIX系統應用非常廣泛,並且許多大型的操作系統均採用UNIX作為其主要的操作系統,所以UNIX病毒的出現,對人類的信息處理也是一個嚴重的威脅。
(4)攻擊OS/2系統的病毒。世界上已經發現第一個攻擊OS/2系統的病毒,它雖然簡單,但也是一個不祥之兆。
2.按照病毒的攻擊機型分類
(1)攻擊微型計算機的病毒。這是世界上傳染是最為廣泛的一種病毒。
(2)攻擊小型機的計算機病毒。小型機的應用范圍是極為廣泛的,它既可以作為網路的一個節點機,也可以作為小的計算機網路的計算機網路的主機。起初,人們認為計算機病毒只有在微型計算機上才能發生而小型機則不會受到病毒的侵擾,但自1988年11月份Internet網路受到worm程序的攻擊後,使得人們認識到小型機也同樣不能免遭計算機病毒的攻擊。
(3)攻擊工作站的計算機病毒。近幾年,計算機工作站有了較大的進展,並且應用范圍也有了較大的發展,所以我們不難想像,攻擊計算機工作站的病毒的出現也是對信息系統的一大威脅。
3.按照計算機病毒的鏈結方式分類
由於計算機病毒本身必須有一個攻擊對象以實現對計算機系統的攻擊,計算機病毒所攻擊的對象是計算機系統可執行的部分。
(1)源碼型病毒
該病毒攻擊高級語言編寫的程序,該病毒在高級語言所編寫的程序編譯前插入到原程序中,經編譯成為合法程序的一部分。
(2)嵌入型病毒
這種病毒是將自身嵌入到現有程序中,把計算機病毒的主體程序與其攻擊的對象以插入的方式鏈接。這種計算機病毒是難以編寫的,一旦侵入程序體後也較難消除。如果同時採用多態性病毒技術,超級病毒技術和隱蔽性病毒技術,將給當前的反病毒技術帶來嚴峻的挑戰。
(3)外殼型病毒
外殼型病毒將其自身包圍在主程序的四周,對原來的程序不作修改。這種病毒最為常見,易於編寫,也易於發現,一般測試文件的大小即可知。
(4)操作系統型病毒
這種病毒用它自已的程序意圖加入或取代部分操作系統進行工作,具有很強的破壞力,可以導致整個系統的癱瘓。圓點病毒和大麻病毒就是典型的操作系統型病毒。
這種病毒在運行時,用自己的邏輯部分取代操作系統的合法程序模塊,根據病毒自身的特點和被替代的操作系統中合法程序模塊在操作系統中運行的地位與作用以及病毒取代操作系統的取代方式等,對操作系統進行破壞。
4.按照計算機病毒的破壞情況分類
按照計算機病毒的破壞情況可分兩類:
(1)良性計算機病毒
良性病毒是指其不包含有立即對計算機系統產生直接破壞作用的代碼。這類病毒為了表現其存在,只是不停地進行擴散,從一台計算機傳染到另一台,並不破壞計算機內的數據。有些人對這類計算機病毒的傳染不以為然,認為這只是惡作劇,沒什麼關系。其實良性、惡性都是相對而言的。良性病毒取得系統控制權後,會導致整個系統和應用程序爭搶CPU的控制權,時時導致整個系統死鎖,給正常操作帶來麻煩。有時系統內還會出現幾種病毒交叉感染的現象,一個文件不停地反復被幾種病毒所感染。例如原來只有10KB存儲空間,而且整個計算機系統也由於多種病毒寄生於其中而無法正常工作。因此也不能輕視所謂良性病毒對計算機系統造成的損害。
(2)惡性計算機病毒
惡性病毒就是指在其代碼中包含有損傷和破壞計算機系統的操作,在其傳染或發作時會對系統產生直接的破壞作用。這類病毒是很多的,如米開朗基羅病毒。當米氏病毒發作時,硬碟的前17個扇區將被徹底破壞,使整個硬碟上的數據無法被恢復,造成的損失是無法挽回的。有的病毒還會對硬碟做格式化等破壞。這些操作代碼都是刻意編寫進病毒的,這是其本性之一。因此這類惡性病毒是很危險的,應當注意防範。所幸防病毒系統可以通過監控系統內的這類異常動作識別出計算機病毒的存在與否,或至少發出警報提醒用戶注意。
5.按照計算機病毒的寄生部位或傳染對象分類
傳染性是計算機病毒的本質屬性,根據寄生部位或傳染對象分類,也即根據計算機病毒傳染方式進行分類,有以下幾種:
(1)磁碟引導區傳染的計算機病毒
磁碟引導區傳染的病毒主要是用病毒的全部或部分邏輯取代正常的引導記錄,而將正常的引導記錄隱藏在磁碟的其他地方。由於引導區是磁碟能正常使用的先決條件,因此,這種病毒在運行的一開始(如系統啟動)就能獲得控制權,其傳染性較大。由於在磁碟的引導區內存儲著需要使用的重要信息,如果對磁碟上被移走的正常引導記錄不進行保護,則在運行過程中就會導致引導記錄的破壞。引導區傳染的計算機病毒較多,例如,「大麻」和「小球」病毒就是這類病毒。
(2)操作系統傳染的計算機病毒
操作系統是一個計算機系統得以運行的支持環境,它包括.com、.exe等許多可執行程序及程序模塊。操作系統傳染的計算機病毒就是利用操作系統中所提供的一些程序及程序模塊寄生並傳染的。通常,這類病毒作為操作系統的一部分,只要計算機開始工作,病毒就處在隨時被觸發的狀態。而操作系統的開放性和不絕對完善性給這類病毒出現的可能性與傳染性提供了方便。操作系統傳染的病毒目前已廣泛存在,「黑色星期五」即為此類病毒。
(3)可執行程序傳染的計算機病毒
可執行程序傳染的病毒通常寄生在可執行程序中,一旦程序被執行,病毒也就被激活,病毒程序首先被執行,並將自身駐留內存,然後設置觸發條件,進行傳染。
對於以上三種病毒的分類,實際上可以歸納為兩大類:一類是引導區型傳染的計算機病毒;另一類是可執行文件型傳染的計算機病毒。
6.按照計算機病毒激活的時間分類
按照計算機病毒激活時間可分為定時的和隨機的。
定時病毒僅在某一特定時間才發作,而隨機病毒一般不是由時鍾來激活的。
7.按照傳播媒介分類
按照計算機病毒的傳播媒介來分類,可分為單機病毒和網路病毒。
(1)單機病毒
單機病毒的載體是磁碟,常見的是病毒從軟盤傳入硬碟,感染系統,然後再傳染其他軟盤,軟盤又傳染其他系統。
(2)網路病毒
網路病毒的傳播媒介不再是移動式載體,而是網路通道,這種病毒的傳染能力更強,破壞力更大。
8.按照寄生方式和傳染途徑分類
人們習慣將計算機病毒按寄生方式和傳染途徑來分類。計算機病毒按其寄生方式大致可分為兩類,一是引導型病毒,二是文件型病毒;它們再按其傳染途徑又可分為駐留內存型和不駐留內存型,駐留內存型按其駐留內存方式又可細分。
混合型病毒集引導型和文件型病毒特性於一體。
引導型病毒會去改寫(即一般所說的「感染」)磁碟上的引導扇區(BOOT SECTOR)的內容,軟盤或硬碟都有可能感染病毒。再不然就是改寫硬碟上的分區表(FAT)。如果用已感染病毒的軟盤來啟動的話,則會感染硬碟。
引導型病毒是一種在ROM BIOS之後,系統引導時出現的病毒,它先於操作系統,依託的環境是BIOS中斷服務程序。引導型病毒是利用操作系統的引導模塊放在某個固定的位置,並且控制權的轉交方式是以物理地址為依據,而不是以操作系統引導區的內容為依據,因而病毒占據該物理位置即可獲得控制權,而將真正的引導區內容搬家轉移或替換,待病毒程序被執行後,將控制權交給真正的引導區內容,使得這個帶病毒的系統看似正常運轉,而病毒已隱藏在系統中伺機傳染、發作。
有的病毒會潛伏一段時間,等到它所設置的日期時才發作。有的則會在發作時在屏幕上顯示一些帶有「宣示」或「警告」意味的信息。這些信息不外是叫您不要非法拷貝軟體,不然就是顯示特定拒絕芫雁圖形,再不然就是放一段音樂給您聽。病毒發作後,不是摧毀分區表,導致無法啟動,就是直接FORMAT硬碟。也有一部分引導型病毒的「手段」沒有那麼狠,不會破壞硬碟數據,只是搞些「聲光效果」讓您虛驚一場。
引導型病毒幾乎清一色都會常駐在內存中,差別只在於內存中的位置。(所謂「常駐」,是指應用程序把要執行的部分在內存中駐留一份。這樣就可不必在每次要執行它的時候都到硬碟中搜尋,以提高效率)。
引導型病毒按其寄生對象的不同又可分為兩類,即MBR(主引導區)病毒、BR(引導區)病毒。MBR病毒也稱為分區病毒,將病毒寄生在硬碟分區主引導程序所佔據的硬碟0頭0柱面第1個扇區中。典型的病毒有大麻(Stoned)、2708等。BR病毒是將病毒寄生在硬碟邏輯0扇區或軟盤邏輯0扇區(即0面0道第1個扇區)。典型的病毒有Brain、小球病毒等。
顧名思義,文件型病毒主要以感染文件擴展名為.com、.exe和.ovl等可執行程序為主。它的安裝必須藉助於病毒的載體程序,即要運行病毒的載體程序,方能把文件型病毒引入內存。已感染病毒的文件執行速度會減緩,甚至完全無法執行。有些文件遭感染後,一執行就會遭到刪除。大多數的文件型病毒都會把它們自己的代碼復制到其宿主的開頭或結尾處。這會造成已感染病毒文件的長度變長,但用戶不一定能用DIR命令列出其感染病毒前的長度。也有部分病毒是直接改寫「受害文件」的程序碼,因此感染病毒後文件的長度仍然維持不變。
感染病毒的文件被執行後,病毒通常會趁機再對下一個文件進行感染。有的高明一點的病毒,會在每次進行感染的時候,針對其新宿主的狀況而編寫新的病毒碼,然後才進行感染。因此,這種病毒沒有固定的病毒碼----以掃描病毒碼的方式來檢測病毒的查毒軟體,遇上這種病毒可就一點用都沒有了。但反病毒軟體隨病毒技術的發展而發展,針對這種病毒現在也有了有效手段。
大多數文件型病毒都是常駐在內存中的。
文件型病毒分為源碼型病毒、嵌入型病毒和外殼型病毒。源碼型病毒是用高級語言編寫的,若不進行匯編、鏈接則無法傳染擴散。嵌入型病毒是嵌入在程序的中間,它只能針對某個具體程序,如dBASE病毒。這兩類病毒受環境限制尚不多見。目前流行的文件型病毒幾乎都是外殼型病毒,這類病毒寄生在宿主程序的前面或後面,並修改程序的第一個執行指令,使病毒先於宿主程序執行,這樣隨著宿主程序的使用而傳染擴散。
混合型病毒綜合系統型和文件型病毒的特性,它的「性情」也就比系統型和文件型病毒更為「兇殘」。這種病毒透過這兩種方式來感染,更增加了病毒的傳染性以及存活率。不管以哪種方式傳染,只要中毒就會經開機或執行程序而感染其他的磁碟或文件,此種病毒也是最難殺滅的。
引導型病毒相對文件型病毒來講,破壞性較大,但為數較少,直到90年代中期,文件型病毒還是最流行的病毒。但近幾年情形有所變化,宏病毒後來居上,據美國國家計算機安全協會統計,這位「後起之秀」已佔目前全部病毒數量的80%以上。另外,宏病毒還可衍生出各種變形病毒,這種「父生子子生孫」的傳播方式實在讓許多系統防不勝防,這也使宏病毒成為威脅計算機系統的「第一殺手」。
隨著微軟公司Word字處理軟體的廣泛使用和計算機網路尤其是Internet的推廣普及,病毒家族又出現一種新成員,這就是宏病毒。宏病毒是一種寄存於文檔或模板的宏中的計算機病毒。一旦打開這樣的文檔,宏病毒就會被激活,轉移到計算機上,並駐留在Normal模板上。從此以後,所有自動保存在文檔都會「感染」上這種宏病毒,而且如果其他用戶打開了感染病毒的文檔,宏病毒又會轉移到他的計算機上。
⑻ 計算機病毒種類有哪些
計算機病毒種類有以下幾種:
1 網路病毒——通過計算機網路傳播感染網路中的可執行文件。
2 文件病毒——感染計算機中的文件(如:COM,EXE,DOC等)。
3 引導型病毒——感染啟動扇區(Boot)和硬碟的系統引導扇區(MBR)。
4 還有這三種情況的混合型,例如:多型病毒(文件和引導型)感染文件和引導扇區兩種目標,這樣的病毒通常都具有復雜的演算法,它們使用非常規的辦法侵入系統,同時使用了加密和變形演算法。
計算機病毒具有傳播性、隱蔽性、感染性、潛伏性、可激發性、表現性或破壞性。計算機病毒的生命周期:開發期→傳染期→潛伏期→發作期→發現期→消化期→消亡期。
計算機病毒是一個程序,一段可執行碼。就像生物病毒一樣,具有自我繁殖、互相傳染以及激活再生等生物病毒特徵。計算機病毒有獨特的復制能力,它們能夠快速蔓延,又常常難以根除。它們能把自身附著在各種類型的文件上,當文件被復制或從一個用戶傳送到另一個用戶時,它們就隨同文件一起蔓延開來。
(8)病毒庫存儲種類擴展閱讀:
原理:
病毒依附存儲介質軟盤、 硬碟等構成傳染源。病毒傳染的媒介由工作的環境來定。病毒激活是將病毒放在內存, 並設置觸發條件,觸發的條件是多樣化的, 可以是時鍾,系統的日期,用戶標識符,也可以是系統一次通信等。條件成熟病毒就開始自我復制到傳染對象中,進行各種破壞活動等。
病毒的傳染是病毒性能的一個重要標志。在傳染環節中,病毒復制一個自身副本到傳染對象中去。
第一次病毒入侵網路是在1988年1月,美國康奈爾大學學生莫里斯將其編寫的蠕蟲程序輸入計算機網路,程序輸入後迅速膨脹,幾小時內造成網路堵塞,造成960萬美元的經濟損失。
計算機病毒通常是指某些有問題的計算機軟體或程序,能夠在計算機內把問題反復地自我繁殖和擴散,危及計算機系統的工作,就像病毒在生物體內繁殖導致生物患病一樣。
計算機病毒最初起源於美國。本世紀80年代,美國電話電報公司貝爾實驗室的工作人員,由於工作失誤製造出病毒。後來,一些惡作劇者為了顯示自己手段高明或尋求刺激,製造了不少病毒。
計算機病毒是計算機程序設計者的惡作劇,已成為世界公害。人類現在已採取了積極的預防措施,對計算機進行「接種疫苗」,但這對於層出不窮的病毒來說,顯然處於被動狀態。從根本上控制計算機病毒的危害還有待高科技界的大力研究。