電腦病毒的分類 @ bxjzpqqsdellx的部落格

sddsf fggg dfg fdgdf dfgfg

電腦病毒的分類
電腦病毒分類方式常見有三種：
一、依病毒的破壞性分成三類：
良性病毒此種病毒只具有感染及複製能力，但不進行破壞工作。
頑皮性病毒此種病毒具有感染及複製能力，不進行破壞工作，但會干擾系統之運作及使用者之工作（降低作業速度，搗亂螢幕．．．）。如『二隻老虎』會唱歌干擾您！
破壞性（惡性）病毒此種病毒可視為電腦之愛滋病。亦有人將上述分為兩類：（１）頑皮性病毒（２）破壞性病毒。
二、依病毒佔用主記憶體方式: 分為二種：
常駐性病毒所謂常駐（Terminate and stay resident，即 TSR），乃是當一程式執行後回 DOS，該程式仍駐留在主記憶體中，換言之它會佔用主記憶體空間；一般常見之常駐性程式如中文系統、病毒偵測軟體、DOS核心程式。正常之常駐性式如中文系統，其常駐目的是希望隨時為使用者服務，譬如說在文書軟體下可使用中文輸入法輸仟中文字（中文輸入法並非文書軟所提供之功能）。而常駐性病毒之目的亦希望常駐RAM中，隨時窺視系統之活動以進行干擾、傳染或破壞。大部分之病毒都屬於常性病毒，如黑色星期五、紅色九月、石頭病毒．．．等。
非常駐性病毒（TRANSIENT）非常駐性程式執行時被DOS載入主記憶體中，但執行完畢則在主記憶體之（該）程式碼將被DOS刪除。大部分程式都屬於非常駐性，如此可減少佔用主記憶體之空間，如 DISKCOPY.COM。對於非常駐性病毒而言，它隨載體程式被放入RAM時機執行，因此必須在程式結束之前進行干擾，如VIENA(維也納）、CARTIER....等屬於非常駐性病毒。三、依病毒佔用磁區方式及傳染方式分為四種：依據美國病毒防治協會之分類
(一).啟動傳染型病毒：(稱Boot 型或系統型--Boot Sector Infector)系統磁區是開機型病毒之最愛，因為它是電腦系統啟動之根源。依病毒放置在磁區之位置，開機型病毒分為：
變動位址型：佔用BOOT SECTOR之開機型病毒，病毒必須搜尋可使用之空磁區。在電腦啟動後，立即會侵入記憶體且留在記憶體中（常駐在記憶體）的病毒。此種病毒佔用 Boot sector （在TRACK 0 SECTOR 1），並在FAT 中找尋連續3～6個cluster且將其設定為BAD sector（以2D磁碟為例：在 FAT中設3～6個 cluster 為BADsector）且將病毒之其他部份及原有Boot Record (Boot sector)放入此BAD sector中( 由於DOS 對於真性或假性Bad sector皆視為無法使用之磁碟空間，即DOS不放入任何檔案資料於Bad sector中，故設定假性Bad sector方式是病毒極佳之掩飾)。
由下列流程可看出一般正常開機及含病毒之開機情形： ┌─────┐
│ Power ON │
└──┬──┘
↓
┌──────┐
│ ROM BIOS │
│行Self-Test │
└──┬───┘
↓
┌─────────┐
│BIOS 執行 Booting │
│ 程式:至A或C抓取 │
│ Boot--Sector │
└────┬────┘
↓
┌───┐
不含┌───┤含Boot├───┐含
│ │型病毒│ │
↓ └───┘ ↓
┌──────┐ ┌──────────┐
│ Boot Record│ │ Track 0 Sector 1 病│
│ 入RAM中執行│ │ 毒被載入 RAM 執行 │
└──┬───┘ └────┬─────┘
│ ┌──┐ │
↓ ↓ │ ↓
┌───────┐ │ ┌──────────┐
│載入三個開機檔│ │ │ 載入其他部份病毒及 │
└───┬───┘ │ │ 原Boot--Record 於 │
↓ │ │ RAM 中執行 │
│ └────┬─────┘
└──────│
Ａ＞ ↓

Boot 型病毒是在電腦開機時被 BIOS 程式誤為 Boot Record（BIOS 將 track 0 sector 1 當為 Boot sector，但目前新版BIOS已會檢測BOOT SECTOR 是否被修改，若是則發出警告聲）載入RAM 中執行，然後在將正常BOOT RECORD載入ram中執行。開機後電腦RAM中含病毒，且病毒攔截 DISK I/O ，窺視整個系統運作以進行傳染。
含Boot 病毒磁片磁區展出圖 ┌─────────────┐
┌─┼──────────┐ │
┌─┼─┼────────┐ │ │
│ │ │ ↓ ↓ ↓
┌──────┬─┬┴┬┴┬┴┬─┬────┬─┬─┬────┐
│Boot 病毒 │ │Ｆ│Ｆ│Ｆ│ │ 根 │其│餘│原Boot │
│(原應於Boot-│..│Ｆ│Ｆ│Ｆ│..│ DIR 區 │病│毒│ │
│ Record) │ │Ｆ│Ｆ│Ｆ│ │ │程│式│Record │
└──────┼─┴─┴─┴─┴┬┴────┴─┴─┴────┘
↑ └──→ FAT←──┘ └──┬──┘
track 0 BAD SECTOR
sector 1 (假性)

固定位址型：隱藏於PARTITION TABLE 之開機型病毒
佔用MASTER PARTITION TABLE 之開機型病毒，因PARTITION TABLE 尚有IDLE空間可自由使用(且DOS並不使用此塊空間)，病毒不必搜尋一般磁區之空閒磁區。硬碟之系統磁區有：
1.PRE-BOOT RECORD (MASTER PARTITION TABLE): 包含
(1)PREBOOT程式：此程式會讀取PARTITION TABLE 中的資料，依資料找出並載入可啟動之磁碟啟動磁區(BOOT SECTOR: 硬碟啟動磁區)(2)PARTITION TABLE: 包含4個表，每個表包含16個位元組，記錄partition的位置和大小，並指明那個partition可啟動(ACTIVE)，到那裡去找作業系統。
2.BOOT RECORD
3.FAT (FILE ALLOCATION TABLE)
4.ROOT DIRECTORY
隱藏於PARTITION TABLE之開機型病毒有二種:
1.將PREBOOT程式及硬碟分割表搬移至其他磁區:由於硬碟分割表已不在正常磁區，故造成軟碟開機時無法讀取硬碟，如瑞工、猴子。
2.只將PREBOOT程式搬移至其他磁區:（不影響硬碟分割表）由於硬碟分割表仍在正常磁區，故由軟碟開機時依然可讀取硬碟，如FISH、STONE。如STONE將PREBOOT程式由HEAD 0 TRACCK 0 SECTOR 1搬移至HEAD 0 TRACK 0 SECTOR 7(IDLE磁區)。
若磁片中了Boot型病毒（但不含三個開機檔），拿此磁片來開機時雖未能完全開機亦會中毒（除非再以冷啟動方式開機）。開機型病毒常見：DISK Killer（磁碟殺手）、 STONED、(C)Brain、AIRCOP、COPYLOCK、MUISC BUG...等。
(二).系統程式傳染染型病毒:（System Infector）　　病毒附著於作業系統中或系統裝置驅動程式、系統輸出入程式中，如附著於mouse驅動程式(mouse.sys）或laser printer啟動程式。當開機時，若此類驅動程式包含於狀態檔中或執行此驅動程式，病毒即入侵RAM中。
(三).一般檔案型病毒：（Program Infector）1.病毒附著於 COM 檔、EXE檔（尾端）或重疊檔（OVERLAY FILE) ，被感染之程式檔被執行時，病毒亦被載入RAM中執行而常駐於RAM中進行傳染。此類病毒最多，常見的有：SUNDAY，JERU，1701～1704， VIENNA，1554（紅色九月）．．．等。
隱藏於檔案之病毒，在受感染之檔案被執行具有下列特性： 1.執行正常程式之前，先執行病毒程式，換言之，病毒先掌握系統控制權。
2.以不影響原來程式內容為原則，即須讓原程式仍能正常運作，病毒才不易　被發現而得以蔓延（傳染）更廣。
(四).混合型病毒:（Mixed Infector）
　　兼具1.、3.二種病毒之特性，如塑膠炸彈（PLASTIQUE）病毒、綠袖子（GREENSLEEVES）。目前分類都將系統程式型及一般檔案型合稱為檔案型病毒

此篇文章轉載自http://www.ascc.sinica.edu.tw/netsrv/hpchou/virus/lai/vir-4.html

.msgcontent .wsharing ul li { text-indent: 0; }

分享

Facebook
Plurk
YAHOO!