充分了解敵人,就要對其進行分析和細化。
對病毒的分類有不同的標準。
按破壞性可分為:
良性病毒:僅僅顯示信息、奏樂、發出聲響,自我復制的。除了傳染時減少磁盤的可用空間外,對系統沒有其它影響。
惡性病毒:封鎖、幹擾、中斷輸入輸出、使用戶無法打印等正常工作,甚至電腦中止運行。這類病毒在計算機系統操作中造成嚴重的錯誤。
極惡性病毒:死機、系統崩潰、刪除普通程序或系統文件,破壞系統配置導致系統死機、崩潰、無法重啟。 這些病毒對系統造成的危害,並不是本身的算法中存在危險的調用,而是當它們傳染時會引起無法預料的和災難性的破壞。
災難性病毒:破壞分區表信息、主引導信息、FAT,刪除數據文件,甚至格式化硬盤等。
按傳染方式分為:
文件型病毒:壹般只傳染磁盤上的可執行文件(COM,EXE)。在用戶調用染毒的可執行文件時,病毒首先被運行,然後病毒駐留內存伺機傳染其他文件或直接傳染其他文件。其特點是附著於正常程序文件,成為程序文件的壹個外殼或部件。這是較為常見的傳染方式。
混合型病毒:兼有以上兩種病毒的特點,既染引導區又染文件,因此擴大了這種病毒的傳染途徑。
按連接方式分為:
源碼型病毒:較為少見,亦難以編寫。因為它要攻擊高級語言編寫的源程序,在源程序編譯之前插入其中,並隨源程序壹起編譯、連接成可執行文件。此時剛剛生成的可執行文件便已經帶毒了。
入侵型病毒:可用自身代替正常程序種的部分模塊或堆棧區。因此這類病毒只攻擊某些特定程序,針對性強。壹般情況下也難以被發現,清除起來也較困難。
操作系統型病毒:可用其自身部分加入或替代操作系統的部分功能。因其直接感染操作系統,這類病毒的危害性也較大。
外殼型病毒:將自身附在正常程序的開頭或結尾,相當於給正常程序加了個外殼。大部份的文件型病毒都屬於這壹類。
根據病毒特有的算法可以劃分為:
伴隨型病毒:這壹類病毒並不改變文件本身,它們根據算法產生EXE文件的伴隨體,具有同樣的名字和不同的擴展名(COM),例如:XCOPY.EXE的伴隨體是XCOPY.COM。病毒把自身寫入COM文件並不改變EXE文件,當DOS加載文件時,伴隨體優先被執行到,再由伴隨體加載執行原來的EXE文件。
"蠕蟲"型病毒:通過計算機網絡傳播,不改變文件和資料信息,利用網絡從壹臺機器的內存傳播到其它機器的內存,計算網絡地址,將自身的病毒通過網絡發送。有時它們在系統存在,壹般除了內存不占用其它資源。 寄生型病毒:除了伴隨和"蠕蟲"型,其它病毒均可稱為寄生型病毒,它們依附在系統的引導扇區或文件中,通過系統的功能進行傳播,
練習型病毒:病毒自身包含錯誤,不能進行很好的傳播,例如壹些病毒在調試階段。
詭秘型病毒:它們壹般不直接修改DOS中斷和扇區數據,而是通過設備技術和文件緩沖區等DOS內部修改,不易看到資源,使用比較高級的技術。利用DOS空閑的數據區進行工作。
變型病毒(又稱幽靈病毒):這壹類病毒使用壹個復雜的算法,使自己每傳播壹份都具有不同的內容和長度。它們壹般的作法是壹段混有無關指令的解碼算法和被變化過的病毒體組成。
計算機病毒的種類雖多,但對病毒代碼進行分析、比較可看出,它們的主要結構是類似的,有其***同特點。整個病毒代碼雖短小但也包含三部分:引導部分,傳染部分,表現部分。
1、引導部分的作用是將病毒主體加載到內存,為傳染部分做準備(如駐留內存,修改中斷,修改高端內存,保存原中斷向量等操作)。
2、傳染部分的作用是將病毒代碼復制到傳染目標上去。不同類型的病毒在傳染方式,傳染條件上各有不同。
3、表現部分是病毒間差異最大的部分,前兩個部分也是為這部分服務的。大部分的病毒都是有壹定條件才會觸發其表現部分的。如:以時鐘、計數器作為觸發條件的或用鍵盤輸入特定字符來觸發的。這壹部分也是最為靈活的部分,這部分根據編制者的不同目的而千差萬別,或者根本沒有這部分。