病毒分類知識掃盲

gao0907

病毒分類知識掃盲
要真正地識別病毒，及時的查殺病毒，我們還有必要對病毒有一番較詳細的了解，而且越詳細越好！
病毒因為由眾多分散的個人或組織單獨編寫，也沒有一個標準去衡量、去劃分，所以病毒的分類可按多個角度大體去分。如按傳染對象來分，病毒可以劃分為以下幾類：
a、引導(dǎo)型病毒
這類病毒攻擊的對象就是磁盤的引導(dǎo)扇區(qū)，這樣就能使系統(tǒng)在啟動時獲得優(yōu)先的執(zhí)行權(quán)，從而達到控制整個系統(tǒng)的目的，這類病毒因為感染的是引導(dǎo)扇區(qū)，所以造成的損失也就比較大，一般來說會造成系統(tǒng)無法正常啟動，但查殺這類病毒也較容易，多數(shù)殺毒軟件都能查殺這類病毒，如KV300、KILL系列等。
b、文件型病毒
早期的這類病毒一般是感染以exe、com等為擴展名的可執(zhí)行文件，這樣的話當你執(zhí)行某個可執(zhí)行文件時病毒程序就跟著激活。近期也有一些病毒感染以dll、ovl、sys等為擴展名的文件，因為這些文件通常是某程序的配置、鏈接文件，所以執(zhí)行某程序時病毒也就自動被子加載了。它們加載的方法是通過插入病毒代碼整段落或分散插入到這些文件的空白字節(jié)中，如CIH病毒就是把自己拆分成9段嵌入到PE結(jié)構(gòu)的可執(zhí)行文件中，感染后通常文件的字節(jié)數(shù)并不見增加，這就是它的隱蔽性的一面。
c、網(wǎng)絡(luò)型病毒
這種病毒是近幾來網(wǎng)絡(luò)的高速發(fā)展的產(chǎn)物，感染的對象不再局限于單一的模式和單一的可執(zhí)行文件，而是更加綜合、更加隱蔽。現(xiàn)在一些網(wǎng)絡(luò)型病毒幾乎可以對所有的OFFICE文件進行感染，如WORD、EXCEL、電子郵件等。其攻擊方式也有轉(zhuǎn)變，從原始的刪除、修改文件到現(xiàn)在進行文件加密、竊取用戶有用信息（如黑客程序）等，傳播的途經(jīng)也發(fā)生了質(zhì)的飛躍，不再局限磁盤，而是通過更加隱蔽的網(wǎng)絡(luò)進行，如電子郵件、電子廣告等。
d、復(fù)合型病毒
把它歸為“復(fù)合型病毒”，是因為它們同時具備了“引導(dǎo)型”和“文件型”病毒的某些特點，它們即可以感染磁盤的引導(dǎo)扇區(qū)文件，也可以感染某此可執(zhí)行文件，如果沒有對這類病毒進行全面的清除，則殘留病毒可自我恢復(fù)，還會造成引導(dǎo)扇區(qū)文件和可執(zhí)行文件的感染，所以這類病毒查殺難度極大，所用的殺毒軟件要同時具備查殺兩類病毒的功能。

如果按病毒的破壞程度來分，我們又可以將病毒劃分為以下幾種：
a、良性病毒：
這些病毒之所以把它們稱之為良性病毒，是因為它們?nèi)肭值哪康牟皇瞧茐哪愕南到y(tǒng)，只是想玩一玩而已，多數(shù)是一些初級病毒發(fā)燒友想測試一下自己的開發(fā)病毒程序的水平。它們并不想破壞你的系統(tǒng)，只是發(fā)出
某種聲音，或出現(xiàn)一些提示，除了占用一定的硬盤空間和CPU處理時間外別無其它壞處。如一些木馬病毒程序也是這樣，只是想竊取你電腦中的一些通訊信息，如密碼、IP地址等，以備有需要時用。
b、惡性病毒
我們把只對軟件系統(tǒng)造成干擾、竊取信息、修改系統(tǒng)信息，不會造成硬件損壞、數(shù)據(jù)丟失等嚴重后果的病毒歸之為“惡性病毒”，這類病毒入侵后系統(tǒng)除了不能正常使用之外，別無其它損失，系統(tǒng)損壞后一般只需要重裝系統(tǒng)的某個部分文件后即可恢復(fù)，當然還是要殺掉這些病毒之后重裝系統(tǒng)。
c、極惡性病毒
這類病毒比上述b類病毒損壞的程度又要大些，一般如果是感染上這類病毒你的系統(tǒng)就要徹底崩潰，根本無法正常啟動，你保分留在硬盤中的有用數(shù)據(jù)也可能隨之不能獲取，輕一點的還只是刪除系統(tǒng)文件和應(yīng)用程序等。

d、災(zāi)難性病毒
  這類病毒從它的名字我們就可以知道它會給我們帶來的破壞程度，這類病毒一般是破壞磁盤的引導(dǎo)扇區(qū)文件、修改文件分配表和硬盤分區(qū)表，造成系統(tǒng)根本無法啟動，有時甚至會格式化或鎖死你的硬盤，使你無法使用硬盤。如果一旦染上這類病毒，你的系統(tǒng)就很難恢復(fù)了，保留在硬盤中的數(shù)據(jù)也就很難獲取了，所造成的損失是非常巨大的，所以我們進化論什么時候應(yīng)作好最壞的打算，特別是針對企業(yè)用戶，應(yīng)充分作好災(zāi)難性備份，還好現(xiàn)在大多數(shù)大型企業(yè)都已認識到備份的意義所在，花巨資在每天的系統(tǒng)和數(shù)據(jù)備份上，雖然大家都知道或許幾年也不可能遇到過這樣災(zāi)難性的后果，但是還是放松這“萬一”。我所在的雀巢就是這樣，而且還非常重視這個問題。如98年4.26發(fā)作的CIH病毒就可劃歸此類，因為它不僅對軟件造成破壞，更直接對硬盤、主板的BIOS等硬件造成破壞。

如按病毒的入侵的方式來分為以下幾種：
a、源代碼嵌入攻擊型
從它的名字我們就知道這類病毒入侵的主要是高級語言的源程序，病毒是在源程序編譯之前插入病毒代碼，最后隨源程序一起被編譯成可執(zhí)行文件，這樣剛生成的文件就是帶毒文件。當然這類文件是極少數(shù)，因為這些病毒開發(fā)者不可能輕易得到那些軟件開發(fā)公司編譯前的源程序，況且這種入侵的方式難度較大，需要非常專業(yè)的編程水平。
b、代碼取代攻擊型
這類病毒主要是用它自身的病毒代碼取代某個入侵程序的整個或部分模塊，這類病毒也少見，它主要是攻擊特定的程序，針對性較強，但是不易被發(fā)現(xiàn)，清除起來也較困難。
c、系統(tǒng)修改型
這類病毒主要是用自身程序覆蓋或修改系統(tǒng)中的某些文件來達到調(diào)用或替代操作系統(tǒng)中的部分功能，由于是直接感染系統(tǒng)，危害較大，也是最為多見的一種病毒類型，多為文件型病毒。
d、外殼附加型
這類病毒通常是將其病毒附加在正常程序的頭部或尾部，相當于給程序添加了一個外殼，在被感染的程序執(zhí)行時，病毒代碼先被執(zhí)行，然后才將正常程序調(diào)入內(nèi)存。目前大多數(shù)文件型的病毒屬于這一類。有了病毒的一些基本知識后現(xiàn)在我們就可以來檢查你的電腦中是否含有病毒，要知道這些我們可以按以下幾個方法來判斷。