标签:
定义:
文件型病毒是指能够寄生在文件中的以文件为主要感染对象的病毒。这类病毒程序感染可执行文件或数据文件。文件型病毒是所有病毒种类中数量最庞大的一种。
文件型病毒的复制机制:
1.当一个被感染的程序运行之后,病毒控制后台及后续操作。如果该病毒是一个宏病毒,那么当打开一个带有宏程序的文档时,病毒就开始控制系统。
2.如果这个病毒是常驻内存型的,则会将自己载入内存,监视文件运行并打开服务的调用,当系统调用该类操作时,病毒将感染新的文件。
3.如果该类病毒不是常驻内存型的,则会立即找寻一个新的感染对象,取得其控制权。
文件型病毒的分类:
1.伴随型病毒
2.蠕虫型病毒
3.寄生型病毒
文件型病毒的发展史:
1.DOS可执行阶段的病毒。
1989年,可执行文件型病毒出现,它们利用DOS系统加载可执行文件的机制工作。 其代表为“耶路撒冷”和“星期天”病毒。病毒代码在系统执行可执行文件时取得 控制权,修改DOS终端,在系统调用时进行感染,并将自己附加在可执行文件中, 使文件长度增加。
2.伴随型与批次型阶段的病毒。
1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作。具有代 表性的是“金蝉”病毒。
3.幽灵与多型阶段的病毒。
1994年,随着汇编语言的发展,人们可以用不同方式实现同一功能,这些方式的 组合使一段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点,每 感染一次就产生不同的代码。
4.生成器与变体机阶段的病毒
在汇编语言中,一些数据的运算被放在不同的通用寄存器中进行,但却得出了同样 的结果,随机插入的一些空操作和无关指令并没有影响运算的结果,这样,一段解 码算法就可以由生成器生成。具有代表型的是“病毒制造机”VCL,查杀这类病毒 时就不能使用传统的特征码扫描法,而是需要 在宏观上分析指令,解码后查杀病 毒。
5.网络和蠕虫阶段的病毒。
有时存在于服务器和启动文件中。
6.视窗阶段的病毒
1996年,随着Windows和Windows95的日益普及,使用Windows进行工作的病毒开始得到发展。这类病毒修改(NE,PE)文件,其代表是V3783病毒。这类病毒的工作机制更为复杂,它们利用保护模式和API调用接口工作,清除方法也更为复杂。
标签:
原文地址:http://blog.csdn.net/linukey/article/details/43936803
