病毒 | 说明 | 备注 | |
1 | 引导型病毒 | 通过感染系统引导区而控制系统,病毒修改或替换真实引导区内容,当病毒程序执行后,才启动操作系统 系统看似正常运转,实际病毒己隐藏在系统中,等待时机传染和发作 形式:内存驻留 | 磁盘杀手病毒 AntiExe病毒 |
2 | 宏病毒 (Macro Viruses) | 宏是1995年出现的编程语言,使文档处理中繁复的敲键操作自动化 宏病毒:利用宏语言来实现的计算机病毒 ①改变病毒载体模式(可执行文件→文档或数据) ②实现病毒跨平台传播(感染任何运行Office计算机) 载体软件:Word、Excel、Access、PowerPoint、Project、Lotus、AutoCAD和Corel Draw | Office病毒(跨系统) Word宏病毒(典型,含多个自动宏) |
过程:宏病毒触发用户打开被感染文件并让宏程序执行,宏病毒将自身复制到全局模板,通过全局模板把宏病毒传染到新打开文件中 原理:任何Word文件都有对应模版 ①打开(或创建)Word文档时,系统自动装入模板(默认Normal.dot)并执行其中的宏 ②Word处理文档时,各种不同操作(打开关闭、读取数据、存储及打印)都对应特定宏命令 ③Word系统退出时,会自动把所有通用宏和病毒宏一起保存到模板文件中 | |||
3 | 多态病毒( Polymorphic Viruses) | 每次感染新对象后,更换加密算法,改变其存在形式 一些多态病毒具有超过20亿种呈现形式,反病毒软件难以检测,需要采用启发式分析方法来发现 组成部分:杂乱病毒体、解密例程、变化引擎 ①变化引擎和病毒体都被加密 ②用户执行染毒程序,解密例程获取系统控制权,将病毒体和变化引擎进行解密 ③解密例程把控制权转让给病毒,病毒自我复制,调用变化引擎,随机产生能够解开新病毒的解密例程。病毒加密产生新病毒体和变化引擎,开始感染新的程序 特点:没有固定特征、没有固定加密例程,能逃避基于静态特征的病毒检测 | |
4 | 隐蔽病毒( Stealth Viruses) | 试图将自身存在形式进行隐藏,使操作系统和反病毒软件不能发现 使用技术: ①隐藏文件日期、时间变化 ③隐藏文件大小的变化 病毒加密 | |
5 | 文件型病毒 | 所有通过操作系统的文件系统进行感染的病毒。它会将自己附加到可执行文件中,当用户运行该文件时,病毒就会被激活并开始感染其他文件。传染对象主要是.COM和.EXE文件。可以感染BAT批处理文件、驱动程序SYS文件、DLL或VXD文件以及普通COM/EXE可执行文件。 | |