文件型电脑病毒冷门分类介绍
病毒的感染部分包括了一个小型的反汇编软件,感染的时候,将被感染文件加载到内存中,然后一条一条代码的进行反汇编,下面由学习啦小编给你做出详细的文件型电脑病毒冷门分类介绍!希望对你有帮助!
文件型电脑病毒冷门分类介绍:
文件型电脑病毒冷门:覆盖病毒
这种病毒没有任何美感可言,也没有体现出任何高明的技术,病毒制造者直接用病毒程序替换被感染的程序,这样所有的文件头也变成了病毒程序的文件头,不用作任何调整。显然,这种病毒不可能广泛流行,因为被感染的程序立刻就不能正常工作了,用户可以迅速的发现病毒的存在并采取相应的措施。
文件型电脑病毒冷门:无入口点病毒
这种病毒并不是真正没有入口点,只是在被感染程序执行的时候,没有立刻跳转到病毒的代码处开始执行。也就是说,没有在COM文件的开始放置一条跳转指令,也没有改变EXE文件的程序入口点。病毒代码无声无息的潜伏在被感染的程序中,可能在非常偶然的条件下才会被触发开始执行,采用这种方式感染的病毒非常隐蔽,杀毒软件很难发现在程序的某个随机的部位,有这样一些在程序运行过程中会被执行到的病毒代码!
那么,这种病毒必须修改原来程序中的某些指令,使得在原来程序运行中可以跳转到病毒代码处。我们知道x86机器的指令是不等长,也就是说无法断定什么地方开始的是一条有效地、可以执行到的指令,将这条指令改成跳转指令就可以切换到病毒代码了。聪明的病毒制造者从来不会被这种小儿科的问题难倒,他们发现了一系列的方法可以做这件事情:
大量的可执行文件是使用C或者帕斯卡语言编写的,使用这些语言编写的程序有这样一个特点,程序中会使用一些基本的库函数,比如说字符串处理、基本的输入输出等,在启动用户开发的程序之前,编译器会增加一些代码对库进行初始化,病毒可以寻找特定的初始化代码,然后使用修改这段代码的开始跳转到病毒代码处,执行完病毒之后再执行通常的初始化工作。"纽克瑞希尔"病毒就采用了这种方法进行感染。
病毒的感染部分包括了一个小型的反汇编软件,感染的时候,将被感染文件加载到内存中,然后一条一条代码的进行反汇编,当满足某个特定的条件的时候(病毒认为可以很安全的改变代码了),将原来的指令替换成一条跳转指令,跳转到病毒代码中,"CNTV"和"中间感染"病毒是用这种方法插入跳转到病毒的指令。
还有一种方法仅仅适用于TSR程序,病毒修改TSR程序的中断服务代码,这样当操作系统执行中断的时候就会跳转到病毒代码中。(比如说修改21H号中断,这样任何DOS调用都会首先通过病毒进行了)
TSR(Terminal Still Resident中止仍然驻留)程序,是DOS操作系统下一类非常重要的程序,包括所有的DOS环境下的中文操作系统(CCDOS、中国龙等)等一大类程序都是TSR程序。这类程序的特点是程序执行完毕之后仍然部分驻留在内存中,驻留的部分基本上都是中断服务程序,可以完成特定的中断服务任务。
除此之外,还有另外一种比较少见的获得程序控制权的方法是通过EXE文件的重定位表完成的
文件型电脑病毒冷门:伴随病毒
这种病毒不改变被感染的文件,而是为被感染的文件创建一个伴随文件(病毒文件),这样当你执行被感染文件的时候,实际上执行的是病毒文件。
其中一种伴随病毒利用了DOS执行文件的一个特性,当同一个目录中同时存在同名的后缀名为.COM的文件和后缀名为.EXE的文件时,会首先执行后缀名为COM的文件,例如,DOS操作系统带了一个XCOPY.EXE程序,如果在DOS目录中一个叫做XCOPY. COM的文件是一个病毒,那么当你敲入"XCOPY (回车换行)"的时候,实际执行的是病毒文件。
还有一种伴随方式是将原来的文件改名,比如说将XCOPY.EXE改成XCOPY.OLD,然后生成一个新的XCOPY.EXE(实际上就是病毒文件),这样你敲入"XCOPY (回车换行)"的时候,执行的同样是病毒文件,然后病毒文件再去加载原来的程序执行。
另外一种伴随方式利用了DOS或者视窗操作系统的搜索路径,比如说视窗系统首先会搜索操作系统安装的系统目录,这样病毒可以在最先搜索目录存放和感染文件同名的可执行文件,当执行的时候首先会去执行病毒文件,最新的"尼姆达"病毒就大量使用这种方法进行传染。
文件型电脑病毒冷门:文件蠕虫:
文件蠕虫和伴随病毒很相似,但是不利用路径的优先顺序或者其他手段执行,病毒只是生成一个具有"INSTALL.BAT"或者"SETUP.EXE"等名字的文件(就是病毒文件的拷贝),诱使用户在看到文件之后执行。
还有一些蠕虫使用了更加高级的技术,主要是针对压缩文件的,这些病毒可以发现硬盘上的压缩文件,然后直接将自己加到压缩包中,病毒支持的压缩包主要是ARJ和ZIP,可能主要原因是因为这两种压缩格式的资料最全,压缩算法也是公开的,所以病毒可以方便的实现自己的压缩/增加方法。
针对批处理的病毒也存在,病毒会在以BAT结尾的批处理文件中增加执行病毒的语句,从而实现病毒的传播。
文件型电脑病毒冷门:链接病毒
这类病毒的数量比较少,但是有一个特别是在中国鼎鼎大名的"目录2"(DIRII)病毒。病毒并没有在硬盘上生成一个专门的病毒文件,而是将自己隐藏在文件系统的某个地方,"目录2"病毒将自己隐藏在驱动器的最后一个簇中,然后修改文件分配表,使目录区中文件文件的开始簇指向病毒代码,这种感染方式的特点是每一个逻辑驱动器上只有一份病毒的拷贝。
簇:由于硬盘上每一个扇区的大小一般只有512字节,如果一个文件分布在很多的扇区中,要想完整的在文件分配表中表示这个文件占用的扇区将会使用非常多非常多的目录空间,例如1个1M的文件,将需要2K字节的空间表示文件占用扇区的情况。所以所有的文件系统都引入了簇的概念,一个簇就是很多个扇区,但是组合在一起作为文件分配的最小单位,簇的大小有4K、16K、32K等多种。
在视窗NT和视窗2000操作系统中,还有一种新的链接病毒,这种病毒只存在于NTFS文件系统的逻辑磁盘上,使用了NTFS文件系统的隐藏流来存放病毒代码,被这种病毒感染之后,杀毒软件很难找到病毒代码并且安全的清除。
文件型电脑病毒冷门:对象文件、库文件和源代码病毒
这类病毒的数量非常少,总数大概不会超过10个,病毒感染编译器生成的中间对象文件(OBJ文件),或者编译器使用的库文件(.LIB)文件,由于这些文件不是直接的可执行文件,所以病毒感染这些文件之后并不能直接的传染,必须使用被感染的OBJ或者LIB链接生成EXE(COM)程序之后才能实际的完成感染过程,所生成的文件中包含了病毒。
源代码病毒直接对源代码进行修改,在源代码文件中增加病毒的内容,例如搜索所有后缀名是".C"的文件,如果在里面找到"main("形式的字符串,则在则在这一行的后面加上病毒代码,这样编译出来的文件就包括了病毒。
看了“文件型电脑病毒冷门分类介绍”文章的还看了:
4.电脑病毒分类介绍
