计算机病毒的分类和识别方法

自从第一种病毒诞生以来，人们对2113种病毒有5261种存在不同的看法. 无论有4102种是多少，1653种病毒的数量仍在增加. 根据国外

根据统计，计算机病毒以每周10种的速度增长. 根据我国部的统计，计算机病毒的数量以每月4-6种的速度增长. 但是，无论孙悟空有多强大，

您无法逃脱佛陀的掌心. 没有数量的病毒可以逃脱以下类型. 病毒的分类是为了更好地理解它们.

根据计算机病毒的特征和特点，有许多方法可以对计算机病毒进行分类. 因此，可能有很多不同的方法来划分同一病毒.

1. 根据计算机病毒攻击的系统分类

（1）攻击DOS系统的病毒. 这种类型的病毒最早出现，变种最多. 目前，在我国出现的计算机病毒基本上就是这些疾病

有毒，这类病毒占病毒总数的99％.

（2）攻击Windows系统的病毒. 由于Windows的图形用户界面（GUI）和多任务操作系统在用户中非常受欢迎，因此Windows

它正在逐步取代DOS，并成为病毒攻击的主要目标. 发现的第一种破坏计算机硬件的CIH病毒是Windows 95/98病毒.

（3）攻击UNIX系统的病毒. 当前，UNIX系统被广泛使用，许多大型操作系统都将UNIX作为其主要操作

作为系统，UNIX病毒的出现对人类信息处理也构成了严重威胁.

（4）攻击OS / 2系统的病毒. 已发现世界上第一个攻击OS / 2系统的病毒. 尽管很简单，但它也是不祥之兆.

2. 按病毒攻击模型分类

（1）一种攻击微型计算机的病毒. 这是世界上传播最广泛的病毒.

（2）攻击小型计算机的计算机病毒. 小型计算机的应用范围非常广泛，可以用作网络的节点机，也可以用作

小型计算机网络的主机. 最初，人们认为计算机病毒只能在微型计算机上发生，而微型计算机不会被病毒入侵，而是

自1988年11月，Internet网络受到该蠕虫程序的攻击以来，它已经使人们意识到小型计算机也可以免受计算机病毒的感染.

（3）攻击工作站的计算机病毒. 近年来，计算机工作站取得了长足的进步，应用范围也得到了很大的发展，因此

不难想象，攻击计算机工作站的病毒的出现也是对信息系统的主要威胁.

3. 根据计算机病毒链接的分类

由于计算机病毒本身必须具有攻击目标才能实现对计算机系统的攻击，因此攻击计算机系统的计算机病毒是可执行的

该行的一部分.

（1）源型病毒

该病毒攻击以高级语言编写的程序. 在将以高级语言编写的程序编译为合法程序之前，会将病毒插入原始程序中

零件.

（2）嵌入式病毒

此病毒将自身嵌入到现有程序中，从而将计算机病毒的主程序与其攻击的对象链接在一起. 这种计算机疾病

毒药很难写）一旦侵入程序主体，就更难消除了. 如果同时使用多态病毒技术，超级病毒技术和秘密病毒技术，则

给当前的防病毒技术带来严峻挑战.

（3）Shell型病毒

shell型病毒将其自身包围在主程序周围，而无需修改原始程序. 该病毒是最常见，易写且易于发现的病毒，

一般测试文件的大小是已知的.

（4）操作系统病毒

该病毒使用其自己的程序来添加或替换部分操作系统计算机病毒的分类与防范，以使其正常工作，这非常具有破坏性，并可能导致整个系统瘫痪.

点和病毒是典型的操作系统病毒.

此病毒运行时，会根据病毒本身和要替换的操作系统的特征，用其自己的逻辑部分替换操作系统的合法程序模块

在操作系统中运行的合法程序模块的状态和功能，以及病毒替换操作系统等的方式会破坏操作系统.

4. 根据计算机病毒的危害分类

根据计算机病毒的损坏，有两种类型:

（1）良性计算机病毒

良性病毒意味着它不包含立即直接损坏计算机系统的代码. 为了表明它们的存在，这种病毒一直在传播

从一台计算机传播到另一台计算机的传播不会破坏计算机中的数据. 有些人没有认真对待这种类型的计算机病毒感染，并认为这只是

可以恶作剧. 实际上，良性和恶性都是相对的. 良性病毒控制系统后，将导致整个系统运行效率降低，

减少了系统中的可用内存总量，这阻止了某些应用程序运行. 它还与操作系统和应用程序竞争CPU的控制权，有时会导致整个系统的出现

死锁，给正常操作带来麻烦. 有时，系统中会交叉感染多种病毒，并且文件会反复感染多种病毒.

例如，只有10KB大小的原始文件变为大约90KB，这意味着它已经被多种病毒重复感染了数十次. 这不仅会消耗大量宝贵的磁盘存储空间，而且

并且由于其中包含各种病毒，整个计算机系统无法正常工作. 因此，不能轻视所谓的良性病毒对计算机系统的损害.

（2）恶性计算机病毒

恶性病毒是指以其代码破坏和破坏计算机系统，并在被感染或攻击时直接破坏系统的操作.

有许多这样的病毒，例如米开朗基罗病毒. 当发生Mie病毒时，硬盘的前17个扇区将被完全破坏，从而使整个硬盘中没有数据

法律得以恢复，造成的损失是无法弥补的. 有些病毒还会格式化硬盘并销毁它. 这些操作代码是故意写入病毒的，

是其本质之一. 因此，这种类型的恶性病毒非常危险，应加以防范. 幸运的是，防病毒系统可以在监视系统中识别出此类异常行为

不要告诉您是否存在计算机病毒，或者至少要发送警报以提醒用户.

5. 根据计算机病毒的寄生部位或传染物分类

传染性是计算机病毒的本质属性，它是根据寄生虫部分或传染性对象分类的，即根据计算机病毒的感染方法，有以下几种

几个:

（1）磁盘引导区感染了计算机病毒

被磁盘启动区域感染的病毒主要用全部或部分病毒逻辑替换正常的启动记录，并在磁盘上隐藏正常的启动记录

其他地方. 由于引导区是正常使用磁盘的先决条件，因此该病毒可以在操作开始时（例如系统启动）获得控制权，

更具传染性. 由于需要使用的重要信息存储在磁盘的引导区域中，因此如果磁盘上删除的常规引导记录没有受到保护，

引导记录将在操作期间被破坏. 引导区域传播的计算机病毒很多，例如“”和“小球”病毒就是这种疾病

毒药.

（2）被操作系统感染的计算机病毒

操作系统是计算机系统运行的支持环境，它包括. COM， EXE和许多其他可执行程序和程序模块. 操作系统传输

被感染的计算机病毒使用操作系统提供的某些程序和程序模块来寄生和感染. 通常，此类病毒是操作系统的一部分

分钟，只要计算机开始工作，病毒就随时处于被触发的状态. 操作系统的开放性和不完善的完整性使此类病毒成为可能

性别和传染性提供便利. 如今，受操作系统感染的病毒非常普遍，“黑色星期五”就是这种病毒.

（3）被可执行程序感染的计算机病毒

由可执行程序传播的病毒通常是可执行程序中的寄生虫. 一旦执行程序，病毒也会被激活. 病毒程序会先执行，然后会

驻留在自己的内存中，然后设置感染的触发条件.

对于上述三种病毒的分类，它们实际上可以分为两类: 一类是被引导扇区感染的计算机病毒；另一类是被引导扇区感染的计算机病毒. 另一个是可执行文件

按类型感染的计算机病毒

.

6. 根据计算机病毒被激活的时间

根据计算机病毒激活的时间，它可以分为常规病毒和随机病毒.

定时病毒仅在特定时间发生，随机病毒通常不会被时钟激活.

7. 按媒体分类

根据计算机病毒传播媒介，它可以分为独立病毒和网络病毒.

（1）独立病毒

独立病毒的载体是磁盘. 病毒通常是从软盘传递到硬盘，先感染系统，然后再感染其他软盘，再感染其他系统.

（2）网络病毒

网络病毒的传播媒介不再是移动运营商，而是网络渠道. 这种病毒更具传染性和破坏性.

8. 根据寄生方法和传播途径分类

人们根据寄生虫的方法和感染途径对计算机病毒进行分类. 根据计算机病毒的寄生方法，可以将其大致分为两种类型. 首先是引导病毒，

第二种是文件型病毒；根据它们的传输路径，它们可以进一步分为驻留内存类型和非驻留内存类型，并且可以根据它们的驻留内存方法进一步细分驻留内存类型.

混合病毒结合了引导病毒和文件病毒的特征.

启动病毒将重写（可能是软盘或硬盘）磁盘上启动扇区（BOOT SECTOR）的内容（所谓的“感染”）.

病毒感染. 否则，将重写硬盘上的分区表（FAT）. 如果您使用受病毒感染的软盘进行引导，它将感染硬盘.

引导的病毒是系统引导时在ROM BIOS之后出现的病毒. 它先于操作系统，并依赖于BIOS中断服务程序.

引导病毒使用操作系统的引导模块放置在固定位置，并且控制权的转移是基于物理地址，而不是基于操作

根据系统引导区的内容，病毒可以控制物理位置，并且可以移动或替换实际引导区的内容，等待生病

执行病毒程序后，控制实际引导区的内容，使携带病毒的系统似乎正常工作，并且病毒隐藏在系统中，等待机会

感染，爆发.

某些病毒会在一段时间内处于休眠状态，并等待其设定的日期. 有些会显示一些“公告”或

“警告”表示信息. 此信息告诉您不要非法复制该软件，否则它将显示特定的图形，或者为您放送音乐

听...病毒爆发后，要么破坏分区表计算机病毒的分类与防范，使其无法启动，要么直接格式化硬盘. 引导病毒的“手段”中也有一部分没有

那么无情，它不会破坏硬盘数据，而只是进行一些“声音和灯光效果”，使您误报.

几乎所有引导病毒都驻留在内存中，唯一的区别是内存中的位置. （所谓的“居民”是指要执行的应用程序

The

部分驻留在内存中. 这样一来，您就不必在每次执行硬盘时都搜索硬盘以提高效率.

引导病毒根据其寄生对象可以分为两种，即MBR（主引导区）病毒和BR（引导区）病毒. MBR病毒也称为

是分区病毒，它在硬盘分区的主引导程序占用的硬盘0头0柱面的第一扇区中寄生. 典型的病毒是（石蜡），2

708，依此类推. BR病毒将寄生在硬盘逻辑0扇区或软盘逻辑0扇区（即，第0侧和0磁道的第一个扇区）中的病毒. 典型的病毒是脑和球

病毒等

顾名思义，基于文件的病毒主要基于扩展名为.COM，.EXE和OVL的可执行文件. 必须在病毒的帮助下安装

的承运人程序

，即运行病毒的载体程序，只能将文件病毒引入内存. 感染了病毒的文件的执行速度将减慢，甚至完全消失

法律执行. 某些文件被感染后，它们将在执行后立即删除. 大多数文件病毒会将自己的程序代码复制到其主机的开头

或最后. 这将导致被感染病毒文件的长度变长，但是用户在被病毒感染之前可能无法使用DIR命令列出其长度. 还有一些病毒

是直接重写“受害者文件”的代码，因此感染后文件的长度保持不变.

执行病毒感染的文件后，病毒通常会趁机感染下一个文件. 每次都会感染一些更聪明的病毒

当时，根据其新主机的状态编写一个新的病毒代码，然后进行感染. 因此，该病毒没有固定的病毒代码-可以扫描病毒代码

一种检测病毒的病毒检测软件. 如果您遇到这种病毒，那就没有用了. 但是，防病毒软件是随着病毒技术的发展而发展的.

病毒现在具有有效的手段.

大多数文件病毒驻留在内存中.

文件病毒分为源病毒，嵌入式病毒和外壳病毒. 源代码类型病毒是用高级语言编写的，如果未进行汇编或链接，则为

无法传播. 嵌入式病毒嵌入在程序中间，它只能针对特定程序，例如dBASE病毒. 这两类病毒仍然受到环境的限制

很少见. 目前，几乎所有流行的文件病毒都是外壳病毒. 这些病毒在宿主程序的前面或后面都是寄生虫，会修改程序的首次执行.

line命令使病毒在宿主程序之前执行，从而随着宿主程序的使用而传播.

文件外壳病毒可以分为高端居民类型，普通居民类型，内存控制链居民类型，设备程序补丁居民类型和否.

常驻内存类型.

混合病毒结合了系统病毒和文件病毒的特征，其“倾向”比系统病毒和文件病毒更“残酷”. 这种病毒会渗透

这两种感染方法增加了病毒的感染性和存活率. 无论采用哪种感染方式，只要在启动或执行程序后才会感到中毒

该病毒感染其他磁盘或文件，也是最难于杀死的病毒.

引导病毒比文件病毒更具破坏性，但数量更少. 在1990年代中期之前，文件病毒是最流行的病毒. 但是

近年来，情况发生了变化，宏病毒已成为最重要的病毒. 根据国家计算机安全协会的统计，这个“后起之秀”已经占到了当前病毒总数

超过80％. 此外，宏病毒也可以衍生自该病毒的各种变体，这种“父亲，儿子，儿子，孙子”传播方法确实使许多系统无法预测，

这也使宏病毒成为威胁计算机系统的“第一杀手”.

随着Microsoft Word处理软件的广泛使用以及计算机网络（尤其是Internet）的普及，出现了该病毒家族的新成员，

这是宏病毒. 宏病毒是存储在文档或模板宏中的计算机病毒. 打开此类文件后，宏病毒将被激活并传输

转到计算机并驻留在“普通”模板上. 从那时起，所有自动保存的文档都会被该宏病毒以及其他用户“感染”

打开受感染的文件后，宏病毒将再次转移到他的计算机中.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-239171-1.html