文件型電腦病毒分類介紹

　　文件型病毒分類是怎樣分的呢!種類太多!你會嗎，下面由學(xué)習(xí)啦小編給你做出詳細(xì)的文件型電腦病毒分類介紹!希望對你有幫助!

　　文件型電腦病毒分類介紹：

　　文件型電腦病毒：寄生病毒

　　這類病毒在感染的時候，將病毒代碼加入正常程序之中，原來程序的功能部分或者全部被保留。根據(jù)病毒代碼加入的方式不同，寄生病毒可以分為"頭寄生"、"尾寄生"、"中間插入"和"空洞利用"四種:

　　文件型電腦病毒："頭寄生":

　　實(shí)現(xiàn)將病毒代碼放到程序的頭上有兩種方法，一種是將原來程序的前面一部分拷貝到程序的最后，然后將文件頭用病毒代碼覆蓋;另外一種是生成一個新的文件，首先在頭的位置寫上病毒代碼，然后將原來的可執(zhí)行文件放在病毒代碼的后面，再用新的文件替換原來的文件從而完成感染。使用"頭寄生"方式的病毒基本上感染的是批處理病毒和COM格式的文件，因?yàn)檫@些文件在運(yùn)行的時候不需要重新定位，所以可以任意調(diào)換代碼的位置而不發(fā)生錯誤。

　　當(dāng)然，隨著病毒制作水平的提高，很多感染DOS下的EXE文件和視窗系統(tǒng)的EXE文件的病毒也是用了頭寄生的方式，為使得被感染的文件仍然能夠正常運(yùn)行，病毒在執(zhí)行原來程序之前會還原出原來沒有感染過的文件用來正常執(zhí)行，執(zhí)行完畢之后再進(jìn)行一次感染，保證硬盤上的文件處于感染狀態(tài)，而執(zhí)行的文件又是一切正常的。

　　文件型電腦病毒："尾寄生":

　　由于在頭部寄生不可避免的會遇到重新定位的問題，所以最簡單也是最常用的寄生方法就是直接將病毒代碼附加到可執(zhí)行程序的尾部。對于DOS環(huán)境下COM可執(zhí)行文件來說，由于COM文件就是簡單的二進(jìn)制代碼，沒有任何結(jié)構(gòu)信息，所以可以直接將病毒代碼附加到程序的尾部，然后改動COM文件開始的3個字節(jié)為跳轉(zhuǎn)指令:

　　文件型電腦病毒：JMP [病毒代碼開始地址]

　　對于DOS環(huán)境下的EXE文件，有兩種處理的方法，一種是將EXE格式轉(zhuǎn)換成COM格式再進(jìn)行感染，另外一種需要修改EXE文件的文件頭，一般會修改EXE文件頭的下面幾個部分:

　　代碼的開始地址

　　可執(zhí)行文件的長度

　　文件的CRC校驗(yàn)值

　　堆棧寄存器的指針也可能被修改。

　　對于視窗操作系統(tǒng)下的EXE文件，病毒感染后同樣需要修改文件的頭，這次修改的是PE或者NE的頭，相對于DOS下EXE文件的頭來說，這項(xiàng)工作要復(fù)雜很多，需要修改程序入口地址、段的開始地址、段的屬性等等，由于這項(xiàng)工作的復(fù)雜性，所以很多病毒在編寫感染代碼的時候會包括一些小錯誤，造成這些病毒在感染一些文件的時候會出錯無法繼續(xù)，從而幸運(yùn)的造成這些病毒無法大規(guī)模的流行。

　　感染DOS環(huán)境下設(shè)備驅(qū)動程序(.SYS文件)的病毒會在DOS啟動之后立刻進(jìn)入系統(tǒng)，而且對于隨后加載的任何軟件(包括殺毒軟件)來說，所有的文件操作(包括可能的查病毒和殺病毒操作)都在病毒的監(jiān)控之下，在這種情況下干凈的清除病毒基本上是不可能的。

　　文件型電腦病毒："插入寄生":

　　病毒將自己插入被感染的程序中，可以整段的插入，也可以分成很多段，有的病毒通過壓縮原來的代碼的方法，保持被感染文件的大小不變。前面論述的更改文件頭等基本操作同樣需要，對于中間插入來說，要求程序的編寫更加嚴(yán)謹(jǐn)，

　　所以采用這種方式的病毒相對比較少，即使采用了這種方式，很多病毒也由于程序編寫上的錯誤沒有真正流行起來。

　 文件型電腦病毒："空洞利用":

　　對于視窗環(huán)境下的可執(zhí)行文件，還有一種更加巧妙的方法，由于視窗程序的結(jié)構(gòu)非常復(fù)雜，一般里面都會有很多沒有使用的部分，一般是空的段，或者每個段的最后部分。病毒尋找這些沒有使用的部分，然后將病毒代碼分散到其中，這樣就實(shí)現(xiàn)了神不知鬼不覺的感染(著名的"CIH"病毒就是用了這種方法)。

　　寄生病毒精確的實(shí)現(xiàn)了病毒的定義，"寄生在宿主程序的之上，并且不破壞宿主程序的正常功能"，所以寄生病毒設(shè)計(jì)的初衷都希望能夠完整的保存原來程序的所有內(nèi)容，因此除了某些由于程序設(shè)計(jì)失誤造成原來的程序不能恢復(fù)的病毒以外，寄生型病毒基本上都是可以安全清除的。

　　除了改變文件頭、將自己插入被感染程序中以外，寄生病毒還會采用一些方法來隱藏自己:如果被感染文件是只讀文件，病毒在感染時首先改變文件的屬性為可讀寫，然后進(jìn)行感染，感染完畢之后再把屬性改回只讀，病毒在感染時往往還會記錄文件最后一次訪問的日期，感染完畢之后再改回原來的日期，這樣用戶就不會通過日期的變化覺察到文件已經(jīng)被修改過了。

　　根據(jù)病毒感染后，被感染文件的信息是不是有丟失，我們把病毒感染分成兩種最基本的類型，破壞性感染和非破壞性感染，對于非破壞性感染的文件，只要?dú)⒍拒浖宄恼莆樟瞬《靖腥镜幕驹?，?zhǔn)確的進(jìn)行還原是可能的，在這種情況下，我們稱這個病毒是可清除的。而對于破壞性感染，由于病毒刪除或者覆蓋了原來文件的全部/部分內(nèi)容，所以這種病毒是不能清除的，只能刪除感染文件，或者用沒有被感染的原始文件覆蓋被感染的文件。

　　DOS環(huán)境下的COM和EXE文件具有完全不同的結(jié)構(gòu)，所以病毒感染的方法也完全不一樣，有的病毒根據(jù)文件后綴名來判斷感染的是COM還是EXE文件，而另外一種更加準(zhǔn)確的方法是比較文件頭，看看是不是符合EXE文件的定義。根據(jù)文件后綴名來進(jìn)行感染經(jīng)常會造成錯誤，一個最典型的例子是視窗95系統(tǒng)目錄下的文件，后綴名顯示它是一個COM文件，但是這個大小超過90K的文件實(shí)際上是一個EXE文件。那些根據(jù)文件后綴名進(jìn)行感染的病毒一旦感染這個文件就會造成文件的損壞，這也是很多用戶發(fā)現(xiàn)自己在視窗下無法打開DOS框的原因。
看了“文件型電腦病毒分類介紹”文章的還看了：

1.電腦病毒分類介紹大全有哪些

2.電腦病毒分類介紹

3.電腦病毒分類大全介紹

4.電腦病毒病毒分類介紹