病毒分类
　　从第一个病毒出世以来，究竟世界上有多少种病毒，说法不一。无论多少种，病毒的数量仍在不断增加。据国外统计，计算机病毒以10种/周的速度递增，另据我国公安部统计，国内以4种/月的速度递增。如此多的种类，做一下分类可更好地了解它们。

按传染方式分为：引导型病毒、文件型病毒和混合型病毒。

　　文件型病毒一般只传染磁盘上的可执行文件（COM，EXE）。在用户调用染毒的可执行文件时，病毒首先被运行，然后病毒驻留内存伺机传染其他文件或直接传染其他文件。其特点是附着于正常程序文件，成为程序文件的一个外壳或部件。这是较为常见的传染方式。

　　混合型病毒兼有以上两种病毒的特点，既染引导区又染文件，因此扩大了这种病毒的传染途径（如97年国内流行较广的“TPVO-3783（SPY）”）。

按连接方式分为：源码型病毒、入侵型病毒、操作系统型病毒、外壳型病毒。

　　源码病毒较为少见，亦难以编写。因为它要攻击高级语言编写的源程序，在源程序编译之前插入其中，并随源程序一起编译、连接成可执行文件。此时刚刚生成的可执行文件便已经带毒了。

　　入侵型病毒可用自身代替正常程序种的部分模块或堆栈区。因此这类病毒只攻击某些特定程序，针对性强。一般情况下也难以被发现，清除起来也较困难。

　　操作系统病毒可用其自身部分加入或替代操作系统的部分功能。因其直接感染操作系统，这类病毒的危害性也较大。

　　外壳病毒将自身附在正常程序的开头或结尾，相当于给正常程序加了个外壳。大部份的文件型病毒都属于这一类。

按破坏性可分为：良性病毒，恶性病毒。前面已介绍过。

新兴一族：宏病毒。宏病毒是近两年才出现的，如分类它可算做文件型。在此对其专门介绍。

病毒命名
　　对病毒命名，各个反毒软件亦不尽相同，有时对一种病毒不同的软件会报出不同的名称。如“SPY”病毒，KILL起名为SPY，KV300则叫“TPVO-3783”。给病毒起名的方法不外乎以下几种：

　　按病毒出现的地点，如“ZHENJIANG_JES”其样本最先来自镇江某用户。按病毒中出现的人名或特征字符，如“ZHANGFANG—1535”，“DISK KILLER”，“上海一号”。按病毒发作时的症状命名，如“火炬”，“蠕虫”。按病毒发作的时间，如“NOVEMBER 9TH”在11月9日发作。有些名称包含病毒代码的长度，如“PIXEL.xxx”系列,“KO.xxx”等。

病毒初步分析
　　计算机病毒的种类虽多，但对病毒代码进行分析、比较可看出，它们的主要结构是类似的，有其共同特点。整个病毒代码虽短小但也包含三部分：引导部分，传染部分，表现部分。

　　引导部分的作用是将病毒主体加载到内存，为传染部分做准备（如驻留内存，修改中断，修改高端内存，保存原中断向量等操作）。

　　传染部分的作用是将病毒代码复制到传染目标上去。不同类型的病毒在传染方式，传染条件上各有不同。
         表现部分是病毒间差异最大的部分，前两个部分也是为这部分服务的。大部分的病毒都是有一定条件才会触发其表现部分的。如：以时钟、计数器作为触发条件的或用键盘输入特定字符来触发的。这一部分也是最为灵活的部分，这部分根据编制者的不同目的而千差万别，或者根本没有这部分。

病毒的初步识别与预防
　　想要知道自己的计算机中是否染有病毒，最简单的方法是实用较新的反病毒软件对磁盘进行全面的检测。但反病毒软件对于病毒来说总是致后的。如何及早地发现新病毒呢？用户可做以下简单判断：无论如何高明的病毒，在其侵入系统后总会留下一些“蛛丝马迹”。

　　首先应注意内存情况，绝大部分的病毒是要驻留内存的。对于DOS用户可用C盘启动机器，然后用“MEM”命令查看全部基本内存是否为640K（因为大多数引导型病毒驻留内存时会更改此数）。如果有病毒可能会被改为638K，637K，有些机器在正常情况下639K亦是正常的（如某些COMPAQ机）。还应注意被占用的内存数是否无故减少。

　　其次应注意常用的可执行文件（如COMMAND.COM)的字节数。绝大多数的病毒在对文件进行传染后会使文件的长度增加。在查看文件字节数时应首先用干净系统盘启动。

　　对于软盘，则应注意是否无故出现坏块（有些病毒会在盘上做坏簇标记，以便将其自身部分隐藏其中）。其他如出现软件运行速度变慢（磁盘读盘速度影响除外），输出端口异常等现象都有可能是病毒造成的。最准确的方法是查看中断向量及引导扇区是否被无故改变，当然这需要对系统及磁盘格式有一定的了解。

上一页  [1] [2] [3]