從第壹個病毒誕生至今,世界上有多少種病毒眾說紛紜。無論有多少種,病毒的數量仍在增加。據國外統計,計算機病毒正以10種/周的速度遞增,而根據我國公安部的統計,我國正以4到6種/月的速度遞增。然而,孫悟空再厲害,也逃不過如來的手掌心。病毒再多,也逃不過以下幾種。對病毒進行分類是為了更好地理解它們。
根據計算機病毒的特征和特點,計算機病毒的分類方法有很多種。因此,同壹個病毒可能被分成許多不同的方式。
1.根據計算機病毒攻擊的系統分類
(1)病毒攻擊DOS系統。這種病毒出現的最早,最多,品種最多。目前國內出現的計算機病毒基本都是這類病毒,占病毒總數的99%。
(2)攻擊Windows系統的病毒。由於Windows的圖形用戶界面(GUI)和多任務操作系統的普及,Windows正逐漸取代DOS,從而成為病毒攻擊的主要目標。目前,發現的第壹種破壞計算機硬件的CIH病毒是視窗95/98病毒。
(3)攻擊UNIX系統的病毒。目前UNIX系統應用廣泛,很多大型操作系統都以UNIX為主要操作系統,因此UNIX病毒的出現也是對人類信息處理的嚴重威脅。
(4)攻擊OS/2系統的病毒。世界上發現了第壹個攻擊OS/2系統的病毒。雖然簡單,但也是不祥之兆。
2.根據病毒攻擊模式分類。
(1)攻擊微機的病毒。這是世界上傳播最廣的病毒。
(2)攻擊小型機的計算機病毒。小型機的應用範圍極其廣泛,它可以作為網絡的節點計算機,也可以作為小型計算機網絡的計算機網絡主機。起初,人們認為計算機病毒只能發生在微型計算機上,小型機不會被病毒入侵。但自從1988165438+10月互聯網網絡遭到蠕蟲程序攻擊後,人們才意識到小型機是無法免受計算機病毒侵害的。
(3)攻擊工作站的計算機病毒。近年來計算機工作站有了很大的進步,應用範圍也有了很大的發展,所以不難想象攻擊計算機工作站的病毒的出現對信息系統也是壹個很大的威脅。
3.根據計算機病毒的鏈接方式進行分類。
因為計算機病毒本身必須有攻擊對象才能攻擊計算機系統,所以計算機病毒攻擊的對象就是計算機系統的可執行部分。
(1)源病毒
這種病毒攻擊用高級語言編寫的程序。病毒是在用高級語言編寫的程序被編譯成合法程序的壹部分之前被插入到原程序中的。
(2)嵌入式病毒
這種病毒將自己嵌入到現有的程序中,通過插入將計算機病毒的主程序與它攻擊的對象聯系起來。這種電腦病毒很難寫,壹旦侵入程序體也很難消除。如果同時采用多態病毒技術、超級病毒技術和隱蔽病毒技術,將會給當前的反病毒技術帶來嚴峻的挑戰。
(3)外殼病毒
外殼病毒圍繞在主程序周圍,而不修改原程序。這種病毒最常見,容易編寫,容易查找,壹般測試文件的大小就可以知道。
(4)操作系統病毒
這種病毒利用自己的程序加入或替換壹些操作系統,破壞性很大,可以導致整個系統癱瘓。點病毒和大麻病毒是典型的操作系統病毒。
病毒在運行時,用自己的邏輯部分替換操作系統的合法程序模塊,根據病毒本身的特點,合法程序模塊在被替換操作系統中的地位和作用,以及病毒替換操作系統的替換方法,對操作系統進行破壞。
4.根據計算機病毒的危害進行分類
根據破壞程度,計算機病毒可分為兩類:
(1)良性計算機病毒
良性病毒是指它不包含任何可以立即直接破壞計算機系統的代碼。這種病毒為了顯示自己的存在,只是不停地從壹臺電腦傳播到另壹臺電腦,而不破壞電腦裏的數據。有些人不把這種電腦病毒當回事,認為這只是個惡作劇,與此無關。其實良性和惡性是相對的。良性病毒獲得系統控制權後,會造成整個系統和應用爭奪CPU的控制權,總會導致整個系統死鎖,給正常運行帶來麻煩。有時幾個病毒在系統中交叉感染,壹個文件被幾個病毒反復感染。比如原來的存儲空間只有10KB,由於多種病毒寄生其中,整個計算機系統無法正常工作。因此,我們不能低估所謂良性病毒對計算機系統造成的損害。
(2)惡性計算機病毒
惡性病毒是指其代碼中破壞和摧毀計算機系統的操作,在被感染或攻擊時會直接摧毀系統。這樣的病毒有很多,比如米開朗基羅病毒。米氏病毒爆發時,硬盤的前17扇區會被完全破壞,使整個硬盤上的數據無法恢復,造成的損失是無法挽回的。有些病毒還會格式化並破壞硬盤。這些操作碼是故意寫進病毒裏的,這是它的本性之壹。因此,這種惡性病毒是非常危險的,應該加以防範。幸運的是,反病毒系統可以通過監測系統中的這種異常行為來識別計算機病毒的存在,或者至少發出警報來提醒用戶。
5.根據計算機病毒的寄生部位或傳染對象。
傳染性是計算機病毒的本質屬性,可根據寄生部位或感染對象,即根據計算機病毒的感染方式進行分類,具體如下:
(1)磁盤引導區感染計算機病毒
在磁盤引導區感染的病毒,主要是用病毒的全部或部分邏輯替換正常引導記錄,將正常引導記錄隱藏在磁盤的其他部分。因為引導扇區是磁盤正常使用的前提條件,所以這種病毒可以在運行初期(如系統啟動)獲得控制權,傳染性很強。由於需要使用的重要信息都存儲在磁盤的引導區,如果從磁盤上移除的正常引導記錄沒有得到保護,就會導致運行時引導記錄被破壞。導讀區有很多電腦病毒,比如“大麻”“小球”病毒就是這樣的病毒。
(2)被操作系統感染的計算機病毒
操作系統是計算機系統運行的支撐環境,它包括許多可執行程序和程序模塊,如。com和。exe。被操作系統感染的計算機病毒是利用操作系統中提供的壹些程序和程序模塊進行寄生和傳染的。通常這類病毒作為操作系統的壹部分,只要電腦開始工作,就處於隨時被觸發的狀態。操作系統的開放性和不完整性,為這類病毒的可能性和傳染性提供了便利。被操作系統感染的病毒目前已經廣泛存在,“黑色星期五”就是這樣壹種病毒。
(3)被可執行程序感染的計算機病毒
被可執行程序感染的病毒通常寄生在可執行程序中。壹旦程序被執行,病毒就會被激活。病毒程序將首先被執行,然後它將留在內存中,然後觸發條件將被設置為感染。
對於上述三種病毒的分類,其實可以歸納為兩類:壹類是導致區域性感染的計算機病毒;另壹種是被可執行文件感染的計算機病毒。
6.根據電腦病毒激活的時間。
根據計算機病毒的激活時間,可分為定時和隨機。
定時病毒只在某個時間攻擊,隨機病毒壹般不會被時鐘激活。
7.按媒體分類
根據計算機病毒傳播的媒介,可分為單機病毒和網絡病毒。
(1)獨立病毒
單機病毒的載體是磁盤。常見的是病毒從軟盤傳到硬盤,感染系統,再感染其他軟盤,進而感染其他系統。
(2)網絡病毒
網絡病毒的傳播媒介不再是移動載體,而是網絡渠道,傳染性和破壞性更強。
8.根據寄生方式和傳播途徑分類
人們習慣於按照寄生方式和傳播方式對計算機病毒進行分類。計算機病毒根據其寄生方式大致可以分為兩種,壹種是引導病毒,壹種是文件病毒;按其感染途徑可分為常駐記憶型和非常駐記憶型,常駐記憶型又可按其常駐記憶模式細分。
混合病毒綜合了引導病毒和文件病毒的特點。
引導病毒會重寫(俗稱“感染”)磁盤上引導扇區的內容,軟盤或硬盤都可能感染該病毒。或者在硬盤上重寫分區表(FAT)。如果妳從感染病毒的軟盤開始,它就會感染硬盤。
可引導病毒是在ROM BIOS後系統引導時出現的病毒。它先於操作系統,依賴於BIOS中斷服務程序。引導病毒利用操作系統的引導模塊將其放在固定的位置,控制權的轉移是基於物理地址,而不是基於操作系統引導區的內容。所以病毒可以通過占據物理位置來獲得控制權,真正的引導區內容會被移動或替換。病毒程序執行後,控制權會交給真正的引導區內容,使得帶有病毒的系統看似運行正常,病毒壹直隱藏在系統中伺機感染和攻擊。
有些病毒會潛伏壹段時間,直到設定的日期才會發作。還有的會在攻擊過程中在屏幕上顯示壹些帶有“聲明”或者“警告”含義的信息。這些消息無非是要求妳不要非法復制軟件,或者顯示特定的拒鵝圖片,或者給妳放壹段音樂。病毒攻擊後,要麽分區表被破壞導致無法啟動,要麽直接使用格式化硬盤。還有壹些可啟動的病毒沒有那麽惡意,不會破壞硬盤數據,只是搞壹些“聲光效果”讓妳虛驚壹場。
可引導病毒幾乎總是留在內存中,唯壹的區別是在內存中的位置。(所謂“常駐”是指應用程序在內存中保留壹份待執行部分的副本。這樣就不用每次想執行的時候都去搜硬盤了。
可引導病毒根據寄生對象可以分為兩類,分別是MBR(主引導區)病毒和BR(引導區)病毒。MBR病毒又稱分區病毒,是寄生在硬盤分區主引導程序占用的硬盤0頭0柱面的1扇區的病毒。典型的病毒有大麻(飄飄欲仙)、2708等。BR病毒寄生在硬盤的邏輯0扇區或軟盤的邏輯0扇區(即0面0磁道的1扇區)的病毒。典型的病毒有腦病毒、球狀病毒等。
顧名思義,文件病毒主要感染文件擴展名為。com,。exe和。ovl。它的安裝必須依靠病毒載體程序,也就是運行病毒載體程序,才能將文件病毒引入內存。被感染文件的執行速度會變慢甚至完全無法執行。有些文件被感染後壹執行就會被刪除。大多數文件病毒將自己的代碼復制到宿主的開頭或結尾。這將導致受感染文件的長度變得更長,但用戶可能無法使用DIR命令列出它們在感染前的長度。有些病毒直接重寫“受害者文件”的代碼,因此感染病毒後文件長度保持不變。
被感染的文件執行後,病毒通常會趁機感染下壹個文件。有些聰明的病毒每次被感染都會根據自己新宿主的情況寫壹個新的病毒代碼,然後就會被感染。所以這種病毒沒有固定的病毒代碼——掃描病毒代碼檢測病毒的病毒檢測軟件。遇到這種病毒,就沒用了。但是殺毒軟件是隨著病毒技術的發展而發展起來的,現在已經有了對付這種病毒的有效手段。
大多數文件病毒都駐留在內存中。
文件病毒分為源病毒、嵌入病毒和外殼病毒。源碼病毒是用高級語言寫的,沒有編譯鏈接是傳播不了的。嵌入式病毒嵌入在程序的中間,而且只能針對特定的程序,比如dBASE病毒。這兩類病毒很少受到環境的限制。目前流行的文件病毒大多是外殼病毒,它們寄生在宿主程序的前面或後面,通過修改程序的第壹條執行指令,使病毒先於宿主程序執行,從而隨著宿主程序的使用而傳播。
混合病毒結合了系統病毒和文件病毒的特點,其“氣質”比系統病毒和文件病毒更“兇殘”。這種病毒通過這兩種方式感染,增加了病毒的傳染性和存活率。不管是哪種感染方式,只要中毒,都會通過引導或執行程序感染其他磁盤或文件,這種病毒也是最難查殺的。
可引導病毒比文件病毒更具破壞性,但數量很少。直到20世紀90年代中期,文件病毒仍然是最流行的病毒。但是這幾年情況變了,宏病毒後來居上。根據美國國家計算機安全協會的統計,這種“後起之秀”已經占到目前所有病毒的80%以上。此外,宏病毒還能生成各種變形病毒,確實讓很多系統防不勝防,這也讓宏病毒成為威脅計算機系統的“第壹殺手”。
隨著微軟Word文字處理軟件的廣泛使用和計算機網絡特別是互聯網的普及,病毒家族中出現了壹個新成員,這就是宏病毒。宏病毒是壹種註冊在文檔或模板的宏中的計算機病毒。壹旦這樣的文檔被打開,宏病毒就會被激活,轉移到計算機上,駐留在普通模板上。從此以後,所有自動保存的文檔都會感染這個宏病毒,如果其他用戶打開被感染的文檔,宏病毒就會轉移到他的電腦上。
計算機病毒的特點:
計算機病毒是壹種程序,壹種可執行代碼。就像生物病毒壹樣,計算機病毒具有獨特的復制能力。計算機病毒傳播很快,而且通常很難根除。它們可以將自己附加到各種類型的文件中。當文件從壹個用戶復制或傳輸到另壹個用戶時,它們會隨著文件壹起傳播。
除了復制能力之外,壹些計算機病毒還有其他共同特征:被汙染的程序可以傳播病毒載體。當妳看到病毒攜帶者只出現在文字和圖像中時,他們可能已經破壞了文件,重新格式化了妳的硬盤或造成了其他類型的災難。如果病毒沒有寄生在被感染的程序上,它仍然會通過占用存儲空間和降低計算機的整體性能來給妳帶來麻煩。比如有些病毒會釋放大量垃圾文件,占用硬盤資源。其他病毒會運行多個進程,使得中毒的電腦運行非常緩慢。
計算機病毒的定義可以從不同的角度給出。壹種定義是通過磁盤、磁帶和網絡等介質傳播並能“感染”其他程序的程序。另壹種是潛伏性、傳染性、破壞性的程序,可以自我復制,借助某種載體而存在。另壹種定義是人造程序,通過不同的渠道潛伏或寄生在存儲介質(如磁盤、內存)或程序中。當某個條件或時機成熟時,它會自我復制傳播,通過不同的程序破壞電腦的資源等等。從某種意義上說,這些說法借用了生物病毒的概念。計算機病毒與生物病毒的相似之處在於,它們都是可以入侵計算機系統和網絡,危害正常工作的“病原體”。它能對計算機系統造成各種破壞,同時還能自我復制,具有傳染性。
防控計算機病毒必須做到“三打三防”
“三振”是指在安裝新的電腦系統時,要註意給系統打補丁。沖擊波等惡性蠕蟲壹般通過系統漏洞傳播,打補丁可以防止此類病毒被感染;用戶上網時應開啟殺毒軟件進行實時監控,防止病毒通過網絡進入自己的電腦;玩網絡遊戲時,妳應該打開妳的個人防火墻,它可以將病毒與外界隔離,防止特洛伊病毒竊取信息。
“三防”就是防郵件病毒。用戶在收到郵件時,應先進行掃描,不要隨意打開郵件中攜帶的附件。反特洛伊病毒,特洛伊病毒壹般通過惡意網站傳播。從互聯網下載任何文件後,用戶必須在運行前掃描病毒。為了防止惡意的“朋友”,許多特洛伊病毒可以通過即時通訊軟件如MSN和QQ或電子郵件傳播。壹旦妳的網上朋友感染了病毒,所有的朋友都會被病毒入侵。