文件型電腦病毒冷門分類介紹
文件型電腦病毒冷門分類介紹
病毒的感染部分包括了一個小型的反匯編軟件,感染的時候,將被感染文件加載到內存中,然后一條一條代碼的進行反匯編,下面由學習啦小編給你做出詳細的文件型電腦病毒冷門分類介紹!希望對你有幫助!
文件型電腦病毒冷門分類介紹:
文件型電腦病毒冷門:覆蓋病毒
這種病毒沒有任何美感可言,也沒有體現(xiàn)出任何高明的技術,病毒制造者直接用病毒程序替換被感染的程序,這樣所有的文件頭也變成了病毒程序的文件頭,不用作任何調整。顯然,這種病毒不可能廣泛流行,因為被感染的程序立刻就不能正常工作了,用戶可以迅速的發(fā)現(xiàn)病毒的存在并采取相應的措施。
文件型電腦病毒冷門:無入口點病毒
這種病毒并不是真正沒有入口點,只是在被感染程序執(zhí)行的時候,沒有立刻跳轉到病毒的代碼處開始執(zhí)行。也就是說,沒有在COM文件的開始放置一條跳轉指令,也沒有改變EXE文件的程序入口點。病毒代碼無聲無息的潛伏在被感染的程序中,可能在非常偶然的條件下才會被觸發(fā)開始執(zhí)行,采用這種方式感染的病毒非常隱蔽,殺毒軟件很難發(fā)現(xiàn)在程序的某個隨機的部位,有這樣一些在程序運行過程中會被執(zhí)行到的病毒代碼!
那么,這種病毒必須修改原來程序中的某些指令,使得在原來程序運行中可以跳轉到病毒代碼處。我們知道x86機器的指令是不等長,也就是說無法斷定什么地方開始的是一條有效地、可以執(zhí)行到的指令,將這條指令改成跳轉指令就可以切換到病毒代碼了。聰明的病毒制造者從來不會被這種小兒科的問題難倒,他們發(fā)現(xiàn)了一系列的方法可以做這件事情:
大量的可執(zhí)行文件是使用C或者帕斯卡語言編寫的,使用這些語言編寫的程序有這樣一個特點,程序中會使用一些基本的庫函數(shù),比如說字符串處理、基本的輸入輸出等,在啟動用戶開發(fā)的程序之前,編譯器會增加一些代碼對庫進行初始化,病毒可以尋找特定的初始化代碼,然后使用修改這段代碼的開始跳轉到病毒代碼處,執(zhí)行完病毒之后再執(zhí)行通常的初始化工作。"紐克瑞希爾"病毒就采用了這種方法進行感染。
病毒的感染部分包括了一個小型的反匯編軟件,感染的時候,將被感染文件加載到內存中,然后一條一條代碼的進行反匯編,當滿足某個特定的條件的時候(病毒認為可以很安全的改變代碼了),將原來的指令替換成一條跳轉指令,跳轉到病毒代碼中,"CNTV"和"中間感染"病毒是用這種方法插入跳轉到病毒的指令。
還有一種方法僅僅適用于TSR程序,病毒修改TSR程序的中斷服務代碼,這樣當操作系統(tǒng)執(zhí)行中斷的時候就會跳轉到病毒代碼中。(比如說修改21H號中斷,這樣任何DOS調用都會首先通過病毒進行了)
TSR(Terminal Still Resident中止仍然駐留)程序,是DOS操作系統(tǒng)下一類非常重要的程序,包括所有的DOS環(huán)境下的中文操作系統(tǒng)(CCDOS、中國龍等)等一大類程序都是TSR程序。這類程序的特點是程序執(zhí)行完畢之后仍然部分駐留在內存中,駐留的部分基本上都是中斷服務程序,可以完成特定的中斷服務任務。
除此之外,還有另外一種比較少見的獲得程序控制權的方法是通過EXE文件的重定位表完成的
文件型電腦病毒冷門:伴隨病毒
這種病毒不改變被感染的文件,而是為被感染的文件創(chuàng)建一個伴隨文件(病毒文件),這樣當你執(zhí)行被感染文件的時候,實際上執(zhí)行的是病毒文件。
其中一種伴隨病毒利用了DOS執(zhí)行文件的一個特性,當同一個目錄中同時存在同名的后綴名為.COM的文件和后綴名為.EXE的文件時,會首先執(zhí)行后綴名為COM的文件,例如,DOS操作系統(tǒng)帶了一個XCOPY.EXE程序,如果在DOS目錄中一個叫做XCOPY. COM的文件是一個病毒,那么當你敲入"XCOPY (回車換行)"的時候,實際執(zhí)行的是病毒文件。
還有一種伴隨方式是將原來的文件改名,比如說將XCOPY.EXE改成XCOPY.OLD,然后生成一個新的XCOPY.EXE(實際上就是病毒文件),這樣你敲入"XCOPY (回車換行)"的時候,執(zhí)行的同樣是病毒文件,然后病毒文件再去加載原來的程序執(zhí)行。
另外一種伴隨方式利用了DOS或者視窗操作系統(tǒng)的搜索路徑,比如說視窗系統(tǒng)首先會搜索操作系統(tǒng)安裝的系統(tǒng)目錄,這樣病毒可以在最先搜索目錄存放和感染文件同名的可執(zhí)行文件,當執(zhí)行的時候首先會去執(zhí)行病毒文件,最新的"尼姆達"病毒就大量使用這種方法進行傳染。
文件型電腦病毒冷門:文件蠕蟲:
文件蠕蟲和伴隨病毒很相似,但是不利用路徑的優(yōu)先順序或者其他手段執(zhí)行,病毒只是生成一個具有"INSTALL.BAT"或者"SETUP.EXE"等名字的文件(就是病毒文件的拷貝),誘使用戶在看到文件之后執(zhí)行。
還有一些蠕蟲使用了更加高級的技術,主要是針對壓縮文件的,這些病毒可以發(fā)現(xiàn)硬盤上的壓縮文件,然后直接將自己加到壓縮包中,病毒支持的壓縮包主要是ARJ和ZIP,可能主要原因是因為這兩種壓縮格式的資料最全,壓縮算法也是公開的,所以病毒可以方便的實現(xiàn)自己的壓縮/增加方法。
針對批處理的病毒也存在,病毒會在以BAT結尾的批處理文件中增加執(zhí)行病毒的語句,從而實現(xiàn)病毒的傳播。
文件型電腦病毒冷門:鏈接病毒
這類病毒的數(shù)量比較少,但是有一個特別是在中國鼎鼎大名的"目錄2"(DIRII)病毒。病毒并沒有在硬盤上生成一個專門的病毒文件,而是將自己隱藏在文件系統(tǒng)的某個地方,"目錄2"病毒將自己隱藏在驅動器的最后一個簇中,然后修改文件分配表,使目錄區(qū)中文件文件的開始簇指向病毒代碼,這種感染方式的特點是每一個邏輯驅動器上只有一份病毒的拷貝。
簇:由于硬盤上每一個扇區(qū)的大小一般只有512字節(jié),如果一個文件分布在很多的扇區(qū)中,要想完整的在文件分配表中表示這個文件占用的扇區(qū)將會使用非常多非常多的目錄空間,例如1個1M的文件,將需要2K字節(jié)的空間表示文件占用扇區(qū)的情況。所以所有的文件系統(tǒng)都引入了簇的概念,一個簇就是很多個扇區(qū),但是組合在一起作為文件分配的最小單位,簇的大小有4K、16K、32K等多種。
在視窗NT和視窗2000操作系統(tǒng)中,還有一種新的鏈接病毒,這種病毒只存在于NTFS文件系統(tǒng)的邏輯磁盤上,使用了NTFS文件系統(tǒng)的隱藏流來存放病毒代碼,被這種病毒感染之后,殺毒軟件很難找到病毒代碼并且安全的清除。
文件型電腦病毒冷門:對象文件、庫文件和源代碼病毒
這類病毒的數(shù)量非常少,總數(shù)大概不會超過10個,病毒感染編譯器生成的中間對象文件(OBJ文件),或者編譯器使用的庫文件(.LIB)文件,由于這些文件不是直接的可執(zhí)行文件,所以病毒感染這些文件之后并不能直接的傳染,必須使用被感染的OBJ或者LIB鏈接生成EXE(COM)程序之后才能實際的完成感染過程,所生成的文件中包含了病毒。
源代碼病毒直接對源代碼進行修改,在源代碼文件中增加病毒的內容,例如搜索所有后綴名是".C"的文件,如果在里面找到"main("形式的字符串,則在則在這一行的后面加上病毒代碼,這樣編譯出來的文件就包括了病毒。
看了“文件型電腦病毒冷門分類介紹”文章的還看了:
4.電腦病毒分類介紹