計算機病毒的分類詳細介紹
有好多人都不清楚計算機病毒的分類,導致各種電腦染上有毒的病毒以至於電腦癱瘓!所以今天小編就給大家說說計算機的病毒的分類,科普下大家的病毒知識以達到預防的意識。下面就跟著小編一起來看看吧!!!
從第一個病毒出世以來,究竟世界上有多少種病毒,說法不一。無論多少種,病毒的數量仍在不斷增加。據國外統計,計算機病毒以10種/周的速度遞增,另據我國公安部統計,國內以4至6種/月的速度遞增。不過,孫悟空再厲害,也逃不了如來佛的手掌心,病毒再多,也逃不出下列種類。病毒分類是為了更好地瞭解它們。
按照計算機病毒的特點及特性,計算機病毒的分類方法有許多種。因此,同一種病毒可能有多種不同的分法。
1.按照計算機病毒攻擊的系統分類
1攻擊DOS系統的病毒。這類病毒出現最早、最多,變種也最多,目前我國出現的計算機病毒基本上都是這類病毒,此類病毒佔病毒總數的99%。
2攻擊Windows系統的病毒。由於Windows的圖形使用者介面GUI和多工作業系統深受使用者的歡迎,Windows正逐漸取代DOS,從而成為病毒攻擊的主要物件。目前發現的首例破壞計算機硬體的CIH病毒就是一個Windows 95/98病毒。
3攻擊UNIX系統的病毒。當前,UNIX系統應用非常廣泛,並且許多大型的作業系統均採用UNIX作為其主要的作業系統,所以UNIX病毒的出現,對人類的資訊處理也是一個嚴重的威脅。
4攻擊OS/2系統的病毒。世界上已經發現第一個攻擊OS/2系統的病毒,它雖然簡單,但也是一個不祥之兆。
2.按照病毒的攻擊機型分類
1攻擊微型計算機的病毒。這是世界上傳染是最為廣泛的一種病毒。
2攻擊小型機的計算機病毒。小型機的應用範圍是極為廣泛的,它既可以作為網路的一個節點機,也可以作為小的計算機網路的計算機網路的主機。起初,人們認為計算機病毒只有在微型計算機上才能發生而小型機則不會受到病毒的侵擾,但自1988年11月份Internet網路受到worm程式的攻擊後,使得人們認識到小型機也同樣不能免遭計算機病毒的攻擊。
3攻擊工作站的計算機病毒。近幾年,計算機工作站有了較大的進展,並且應用範圍也有了較大的發展,所以我們不難想象,攻擊計算機工作站的病毒的出現也是對資訊系統的一大威脅。
3.按照計算機病毒的鏈結方式分類
由於計算機病毒本身必須有一個攻擊物件以實現對計算機系統的攻擊,計算機病毒所攻擊的物件是計算機系統可執行的部分。
1原始碼型病毒
該病毒攻擊高階語言編寫的程式,該病毒在高階語言所編寫的程式編譯前插入到原程式中,經編譯成為合法程式的一部分。
2嵌入型病毒
這種病毒是將自身嵌入到現有程式中,把計算機病毒的主體程式與其攻擊的物件以插入的方式連結。這種計算機病毒是難以編寫的,一旦侵入程式體後也較難消除。如果同時採用多型性病毒技術,超級病毒技術和隱蔽性病毒技術,將給當前的反病毒技術帶來嚴峻的挑戰。
3外殼型病毒
外殼型病毒將其自身包圍在主程式的四周,對原來的程式不作修改。這種病毒最為常見,易於編寫,也易於發現,一般測試檔案的大小即可知。
4作業系統型病毒
這種病毒用它自已的程式意圖加入或取代部分作業系統進行工作,具有很強的破壞力,可以導致整個系統的癱瘓。圓點病毒和大麻病毒就是典型的作業系統型病毒。
這種病毒在執行時,用自己的邏輯部分取代作業系統的合法程式模組,根據病毒自身的特點和被替代的作業系統中合法程式模組在作業系統中執行的地位與作用以及病毒取代作業系統的取代方式等,對作業系統進行破壞。
4.按照計算機病毒的破壞情況分類
按照計算機病毒的破壞情況可分兩類:
1良性計算機病毒
良性病毒是指其不包含有立即對計算機系統產生直接破壞作用的程式碼。這類病毒為了表現其存在,只是不停地進行擴散,從一臺計算機傳染到另一臺,並不破壞計算機內的資料。有些人對這類計算機病毒的傳染不以為然,認為這只是惡作劇,沒什麼關係。其實良性、惡性都是相對而言的。良性病毒取得系統控制權後,會導致整個系統和應用程式爭搶CPU的控制權,時時導致整個系統死鎖,給正常操作帶來麻煩。有時系統內還會出現幾種病毒交叉感染的現象,一個檔案不停地反覆被幾種病毒所感染。例如原來只有10KB儲存空間,而且整個計算機系統也由於多種病毒寄生於其中而無法正常工作。因此也不能輕視所謂良性病毒對計算機系統造成的損害。
2惡性計算機病毒
惡性病毒就是指在其程式碼中包含有損傷和破壞計算機系統的操作,在其傳染或發作時會對系統產生直接的破壞作用。這類病毒是很多的,如米開朗基羅病毒。當米氏病毒發作時,硬碟的前17個扇區將被徹底破壞,使整個硬碟上的資料無法被恢復,造成的損失是無法挽回的。有的病毒還會對硬碟做格式化等破壞。這些操作程式碼都是刻意編寫進病毒的,這是其本性之一。因此這類惡性病毒是很危險的,應當注意防範。所幸防病毒系統可以通過監控系統內的這類異常動作識別出計算機病毒的存在與否,或至少發出警報提醒使用者注意。
5.按照計算機病毒的寄生部位或傳染物件分類
傳染性是計算機病毒的本質屬性,根據寄生部位或傳染物件分類,也即根據計算機病毒傳染方式進行分類,有以下幾種:
1磁碟引導區傳染的計算機病毒
磁碟引導區傳染的病毒主要是用病毒的全部或部分邏輯取代正常的引導記錄,而將正常的引導記錄隱藏在磁碟的其他地方。由於引導區是磁碟能正常使用的先決條件,因此,這種病毒在執行的一開始如系統啟動就能獲得控制權,其傳染性較大。由於在磁碟的引導區記憶體儲著需要使用的重要資訊,如果對磁碟上被移走的正常引導記錄不進行保護,則在執行過程中就會導致引導記錄的破壞。引導區傳染的計算機病毒較多,例如,“大麻”和“小球”病毒就是這類病毒。
2作業系統傳染的計算機病毒
作業系統是一個計算機系統得以執行的支援環境,它包括、.exe等許多可執行程式及程式模組。作業系統傳染的計算機病毒就是利用作業系統中所提供的一些程式及程式模組寄生並傳染的。通常,這類病毒作為作業系統的一部分,只要計算機開始工作,病毒就處在隨時被觸發的狀態。而作業系統的開放性和不絕對完善性給這類病毒出現的可能性與傳染性提供了方便。作業系統傳染的病毒目前已廣泛存在,“黑色星期五”即為此類病毒。
3可執行程式傳染的計算機病毒
可執行程式傳染的病毒通常寄生在可執行程式中,一旦程式被執行,病毒也就被啟用,病毒程式首先被執行,並將自身駐留記憶體,然後設定觸發條件,進行傳染。
對於以上三種病毒的分類,實際上可以歸納為兩大類:一類是引導區型傳染的計算機病毒;另一類是可執行檔案型傳染的計算機病毒。
6.按照計算機病毒啟用的時間分類
按照計算機病毒啟用時間可分為定時的和隨機的。
定時病毒僅在某一特定時間才發作,而隨機病毒一般不是由時鐘來啟用的。
7.按照傳播媒介分類
按照計算機病毒的傳播媒介來分類,可分為單機病毒和網路病毒。
1單機病毒
單機病毒的載體是磁碟,常見的是病毒從軟盤傳入硬碟,感染系統,然後再傳染其他軟盤,軟盤又傳染其他系統。
2網路病毒
網路病毒的傳播媒介不再是移動式載體,而是網路通道,這種病毒的傳染能力更強,破壞力更大。
8.按照寄生方式和傳染途徑分類
人們習慣將計算機病毒按寄生方式和傳染途徑來分類。計算機病毒按其寄生方式大致可分為兩類,一是引導型病毒,二是檔案型病毒;它們再按其傳染途徑又可分為駐留記憶體型和不駐留記憶體型,駐留記憶體型按其駐留記憶體方式又可細分。
混合型病毒集引導型和檔案型病毒特性於一體。
引導型病毒會去改寫即一般所說的“感染”磁碟上的引導扇區BOOT SECTOR的內容,軟盤或硬碟都有可能感染病毒。再不然就是改寫硬碟上的分割槽表FAT。如果用已感染病毒的軟盤來啟動的話,則會感染硬碟。
引導型病毒是一種在ROM BIOS之後,系統引導時出現的病毒,它先於作業系統,依託的環境是BIOS中斷服務程式。引導型病毒是利用作業系統的引導模組放在某個固定的位置,並且控制權的轉交方式是以實體地址為依據,而不是以作業系統引導區的內容為依據,因而病毒佔據該物理位置即可獲得控制權,而將真正的引導區內容搬家轉移或替換,待病毒程式被執行後,將控制權交給真正的引導區內容,使得這個帶病毒的系統看似正常運轉,而病毒已隱藏在系統中伺機傳染、發作。
有的病毒會潛伏一段時間,等到它所設定的日期時才發作。有的則會在發作時在螢幕上顯示一些帶有“宣示”或“警告”意味的資訊。這些資訊不外是叫您不要非法拷貝軟體,不然就是顯示特定拒絕芫鴈圖形,再不然就是放一段音樂給您聽。病毒發作後,不是摧毀分割槽表,導致無法啟動,就是直接FORMAT硬碟。也有一部分引導型病毒的“手段”沒有那麼狠,不會破壞硬碟資料,只是搞些“聲光效果”讓您虛驚一場。
引導型病毒幾乎清一色都會常駐在記憶體中,差別只在於記憶體中的位置。所謂“常駐”,是指應用程式把要執行的部分在記憶體中駐留一份。這樣就可不必在每次要執行它的時候都到硬碟中搜尋,以提高效率。
引導型病毒按其寄生物件的不同又可分為兩類,即MBR主引導區病毒、BR引導區病毒。MBR病毒也稱為分割槽病毒,將病毒寄生在硬碟分割槽主載入程式所佔據的硬碟0頭0柱面第1個扇區中。典型的病毒有大麻Stoned、2708等。BR病毒是將病毒寄生在硬碟邏輯0扇區或軟盤邏輯0扇區即0面0道第1個扇區。典型的病毒有Brain、小球病毒等。
顧名思義,檔案型病毒主要以感染副檔名為、.exe和.ovl等可執行程式為主。它的安裝必須藉助於病毒的載體程式,即要執行病毒的載體程式,方能把檔案型病毒引入記憶體。已感染病毒的檔案執行速度會減緩,甚至完全無法執行。有些檔案遭感染後,一執行就會遭到刪除。大多數的檔案型病毒都會把它們自己的程式碼複製到其宿主的開頭或結尾處。這會造成已感染病毒檔案的長度變長,但使用者不一定能用DIR命令列出其感染病毒前的長度。也有部分病毒是直接改寫“受害檔案”的程式碼,因此感染病毒後文件的長度仍然維持不變。
感染病毒的檔案被執行後,病毒通常會趁機再對下一個檔案進行感染。有的高明一點的病毒,會在每次進行感染的時候,針對其新宿主的狀況而編寫新的病毒碼,然後才進行感染。因此,這種病毒沒有固定的病毒碼----以掃描病毒碼的方式來檢測病毒的查毒軟體,遇上這種病毒可就一點用都沒有了。但反病毒軟體隨病毒技術的發展而發展,針對這種病毒現在也有了有效手段。
大多數檔案型病毒都是常駐在記憶體中的。
檔案型病毒分為原始碼型病毒、嵌入型病毒和外殼型病毒。原始碼型病毒是用高階語言編寫的,若不進行彙編、連結則無法傳染擴散。嵌入型病毒是嵌入在程式的中間,它只能針對某個具體程式,如dBASE病毒。這兩類病毒受環境限制尚不多見。目前流行的檔案型病毒幾乎都是外殼型病毒,這類病毒寄生在宿主程式的前面或後面,並修改程式的第一個執行指令,使病毒先於宿主程式執行,這樣隨著宿主程式的使用而傳染擴散。
混合型病毒綜合系統型和檔案型病毒的特性,它的“性情”也就比系統型和檔案型病毒更為“凶殘”。這種病毒透過這兩種方式來感染,更增加了病毒的傳染性以及存活率。不管以哪種方式傳染,只要中毒就會經開機或執行程式而感染其他的磁碟或檔案,此種病毒也是最難殺滅的。
引導型病毒相對檔案型病毒來講,破壞性較大,但為數較少,直到90年代中期,檔案型病毒還是最流行的病毒。但近幾年情形有所變化,巨集病毒後來居上,據美國國家電腦保安協會統計,這位“後起之秀”已佔目前全部病毒數量的80%以上。另外,巨集病毒還可衍生出各種變形病毒,這種“父生子子生孫”的傳播方式實在讓許多系統防不勝防,這也使巨集病毒成為威脅計算機系統的“第一殺手”。
隨著微軟公司Word字處理軟體的廣泛使用和計算機網路尤其是Internet的推廣普及,病毒家族又出現一種新成員,這就是巨集病毒。巨集病毒是一種寄存於文件或模板的巨集中的計算機病毒。一旦開啟這樣的文件,巨集病毒就會被啟用,轉移到計算機上,並駐留在Normal模板上。從此以後,所有自動儲存在文件都會“感染”上這種巨集病毒,而且如果其他使用者打開了感染病毒的文件,巨集病毒又會轉移到他的計算機上。