码迷,mamicode.com
首页 > 其他好文 > 详细

文件型病毒

时间:2015-02-25 14:14:50      阅读:149      评论:0      收藏:0      [点我收藏+]

标签:

定义:

文件型病毒是指能够寄生在文件中的以文件为主要感染对象的病毒。这类病毒程序感染可执行文件或数据文件。文件型病毒是所有病毒种类中数量最庞大的一种。

 

文件型病毒的复制机制:

1.当一个被感染的程序运行之后,病毒控制后台及后续操作。如果该病毒是一个宏病毒,那么当打开一个带有宏程序的文档时,病毒就开始控制系统。

2.如果这个病毒是常驻内存型的,则会将自己载入内存,监视文件运行并打开服务的调用,当系统调用该类操作时,病毒将感染新的文件。

3.如果该类病毒不是常驻内存型的,则会立即找寻一个新的感染对象,取得其控制权。

 

文件型病毒的分类:

1.伴随型病毒

2.蠕虫型病毒

3.寄生型病毒

 

文件型病毒的发展史:

1.DOS可执行阶段的病毒。

1989年,可执行文件型病毒出现,它们利用DOS系统加载可执行文件的机制工作。 其代表为“耶路撒冷”和“星期天”病毒。病毒代码在系统执行可执行文件时取得 控制权,修改DOS终端,在系统调用时进行感染,并将自己附加在可执行文件中, 使文件长度增加。

2.伴随型与批次型阶段的病毒。

1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作。具有代 表性的是“金蝉”病毒。

3.幽灵与多型阶段的病毒。

1994年,随着汇编语言的发展,人们可以用不同方式实现同一功能,这些方式的 组合使一段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点,每 感染一次就产生不同的代码。

4.生成器与变体机阶段的病毒

在汇编语言中,一些数据的运算被放在不同的通用寄存器中进行,但却得出了同样 的结果,随机插入的一些空操作和无关指令并没有影响运算的结果,这样,一段解 码算法就可以由生成器生成。具有代表型的是“病毒制造机”VCL,查杀这类病毒 时就不能使用传统的特征码扫描法,而是需要 在宏观上分析指令,解码后查杀病 毒。

5.网络和蠕虫阶段的病毒。

有时存在于服务器和启动文件中。

6.视窗阶段的病毒

1996年,随着WindowsWindows95的日益普及,使用Windows进行工作的病毒开始得到发展。这类病毒修改(NE,PE)文件,其代表是V3783病毒。这类病毒的工作机制更为复杂,它们利用保护模式和API调用接口工作,清除方法也更为复杂。

文件型病毒

标签:

原文地址:http://blog.csdn.net/linukey/article/details/43936803

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!