最常见的电脑病毒是那些?电脑病毒有哪几种类型?以及其有什么危害?计算机病毒的分类方法有多种,但最为流行且科学的分类方法则是按病毒对计算机破坏的程度和传染方式来分。按前者分类,主要有良性病毒和恶性两大种,若按后者,即病毒
最常见的电脑病毒是那些?
电脑病毒有哪几种类型?以及其有什么危害?
计算机病毒的分类方法有多种,但最为流行且科学的分类方法则是按病毒对计算机破坏的程度和传染方式来分。按前者分类,主要有良性病毒和恶性两大种,若按后者,即病毒在计算机中的传播方式来分有引导型病毒、文件型病毒及深入型三种。 (1)、良性病毒 与生物学的良性病毒一样,计算机中的良性病毒是指那些只表现自己而不破坏系统数据的病毒。它多数是恶作剧者的产物,其目的不是为了对系统数据进行破坏,而是为了让使用这种被传染的计算机系统用户通过屏幕显示的表现形式,了解一下病毒程序编写者在计算机编程技术与技巧方面的超群才华。但这种病毒在一定程度上对系统也有破坏作用(称之为副作用)。 通常来说,良性病毒在发作时,仅占用CPU的时间,进行与当前执行程序无关的事件来干扰系统工作(如小球病毒、巴基斯坦病毒)。 (2)、恶性病毒 恶性病毒的目的在于人为地破坏计算机系统的数据、删除文件或对硬盘进行格式化,甚至有些病毒既不删除计算机系统的数据,也不格式化硬盘,而只是对系统数据进行修改,这样的病毒所造成的危害具有较大破坏性,有的占用系统资源(如大麻病毒等),有的可能删除执行文件(如黑色星期五病毒等),甚至在某种条件下使机器死锁。 (3)、引导扇型病毒(BOOT Sector Virus) 开机启动时,在DOS的引导过程中被引入内存的病毒称之为引导病毒。它不以文件的形式存在磁盘上,没有文件名,不能用DIR命令显示,也不能用DEL命令删除,十分隐蔽。常见圆点病毒、大麻病毒、巴基斯坦智囊病毒及BRAIN病毒等均属这类。 由于引导区是磁盘的一部分,它在开机启动时控制计算机系统。而引导区病毒则用它自身来代替磁盘上原来的引导区代码,并将病毒装入内存。一旦装入内存,病毒就向其它磁盘或文件扩散。这类病毒通常将整个病毒或病毒的一部分装入引导扇区,而把原引导记录和病毒的其它部分转移到磁盘的其它扇区保存起来,这类病毒在系统启动时便可获得控制权,进行传播和破坏活动。 引导型病毒通常分为两部分:第一部分放在磁盘引导扇区中;另一部分和原引导记录放在磁盘上连续几个簇中,其位置一般放在第一部分中。这些簇在文件分配表FAT中做上坏簇的标记,使其不被覆盖而永久地驻留在磁盘中(磁盘已使用的簇必须在文件分配表FAT中做上簇的标记,否则会因其它文件的使用而被覆盖)。引导型病毒也可能驻留在硬盘的主引导记录中,其原理和驻留在引导扇区的病毒基本相同,因此这里只介绍驻留在引导扇区的病毒。 引导程序放在磁盘的引导扇区中。开机启动时,磁盘引导扇区的程序会读到内存中,如果是健康盘,得到控制权的引导程序把两个隐含文件(IBMBIO.COM)和COMMAND.COM引入内存,启动完成。如果是染上病毒的盘,读到内存的是病毒程序的第一部分,它得到控制权后修改内存可用空间的大小,在内存高端辟出一块区域,并把第一部分移至该区,接着读入放在磁盘”坏簇”中的第二部分,并和第一部分拼起来,使病毒程序全部驻留在内存的高端,然后修改INT13H的中断向量或其它中断向量,使其向高端的病毒程序,这时即可把原引导程序读到内存中,并把控制权交给它以完成系统的启动。由于修改了中断向量,病毒程序在计算机的运行中经常能得到CPU的控制权。 各类引导型病毒引入存储过程大致相同。它们都要修改内存可用空间的大小,都植入内存的高端,并在内存高端为病毒传播留出工作空间,否则在运行其它程序时可能被覆盖;都要修改中断向量表,以便将来有机会占领CPU,否则即使在内存也如同冬眠一样,不能进行传播和破坏。 带病毒系统盘启动后,病毒程序就安装到内存的高端,如仅此而已,只耗去部分内存空间,对系统没有什么影响,那么病毒是如何传播的呢? 病毒是一段程序,必须占领CPU,运行时才能传播。由于在病毒装入内存时,中断向量表已被修改,其入口地址指向内存高端的病毒程序,因此读写盘或产生其它中断时首先运行的是病毒程序,造成了传播机会。传播前一般要先判断磁盘是否已感染过,若已感染,则不再感染,否则就搜索盘中连续几个未用簇,把第二部分和原引导记录写到这些簇中,把这几簇的位置和病毒标志记载在第一部分,在FAT表中给这几个簇置上坏簇标记,再把在内存高端的病毒程序第一部分写到磁盘的引导扇区,就完成了传播。 由于中断向量表已被修改,因此读写盘或产生其它中断时,病毒程序占领了CPU,就可以发作。 为了尽可能地扩散,一般在感染后一段时间内,病毒只悄悄地传播而不发作,不易察觉。只有在一定条件下才会发作,条件多半和时间有关,病毒常使用1NT 1AH中断读取计算机系统的时间,满足一定条件就会发作。 (4)、文件型病毒 文件型病毒也常称之为外壳型病毒。这种病毒的载体是可执行文件,即文件扩展名为.COM和.EXE等的程序,它们存放在可执行文件的头部或尾部。将病毒的代码加载到运行程序的文件中,只要运行该程序,病毒就会被激活,同时又会传染给其它文件。这类病毒主要只传染可执行文件,并且当染有该灯病毒的文件运行时,病毒即可得到控制权,进行传播得控制破坏活动。 这类病毒的载体是可执行程序,只有用户键入该程序名,或用其它方法运行该程序,病毒方能引入内存,并占领CPU,运行病毒程序。 一旦用户键入染上这种病毒的可执行文件名,该文件就会进入内存并运行,但首先执行的是藏在其中的病毒程序。病毒会在磁盘中寻找尚未染上此病毒的可执行文件,将自身植入其首部或尾部,修改文件的长度使病毒程序合法化,还修改该程序,使执行该文件前首先挂靠病毒程序,在病毒程序的出口处再跳向原程序开始处。该可执行文件就成为了新的病毒源。 一旦病毒占领了CPU,运行后随时可又以发动攻击。 这种病毒依附在源程序等不可执行的文件中是没有意义的,其传染的目的是可执行文件,只有运行该可执行程序时病毒才能调入内存运行,因此文件型病毒激活的机会少。 可执行程序分为应用类和系统类。应用类由用户编写,进入内存的机会少,而系统类由系统提供,如COMMAND.COM、FILE1.EXE、CCCC.EXE等,是常驻内存或经常引入内存的。为了有更多的“作案”机会,这种病毒常传染系统文件。此外如EDLIN.COM、PCTOOLS.EXE、DEBUG.COM、DISKCOPY.COM以及一些编译、汇编、链接程序,它们进入内存的机会较多,因此也被传染,诊治时首先要从这些文件入手。 (5)深入型病毒 深入型病毒也称之为混合型病毒,具有引导区病毒和文件型病毒两种特征,以两促方式进行传染。这种病毒它们既可以传染引导扇区又可以传染可执行文件,从而使它们的传播范围更广。也更难于被消除干净(如FILP病毒就属此类)。 这类病毒不仅感染引导记录,也感染磁盘文件。如果只将病毒从被感染的文件中清除掉,当系统重新启动时,病毒将从硬盘引导记录进入内存,这之后文件又会被感染;如果只将隐藏在引导记录里的病毒消除掉,当文件运行时,引导记录又会被重新感染。例如,侵入者、3544幽灵等就属于这类病毒。 深入型病毒的传染过程与引导型病毒和文件型病毒的传染过程类似,只不它既感染磁盘的引导扇区又感染磁盘文件。
创业项目群,学习操作 18个小项目,添加 微信:niuben22 备注:小项目!
如若转载,请注明出处:https://www.whowearswhat.cn/15105.html