6.1.1 计算机病毒概述
在《中华人民共和国计算机信息系统保护条例》中明确定义,计算机病毒指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。计算机病毒具有非法性、隐藏性、潜伏性、可触发性、破坏性、传染性等特性。
计算机病毒虽然只是一组计算机指令或程序代码,然而其种类繁多,变化多端。因此计算机病毒在分类上,可以依照不同的分类方式进行分类。如根据病毒存在的媒体,病毒可以划分为如下几类。
(1)网络病毒:通过计算机网络传播感染网络中的可执行文件。
(2)文件病毒:感染计算机中的文件(如COM,EXE,DOC等)。
(3)引导型病毒:感染启动扇区(Boot)和硬盘的系统引导扇区(MBR)。
除了根据计算机病毒存在的媒体,还可以根据病毒破坏的能力来对病毒进行划分,通常划分为以下几类。
(1)无害型:除了传染时减少磁盘的可用空间外,对系统没有其他影响。
(2)无危险型:这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。
(3)危险型:这类病毒在计算机系统操作中造成严重的错误。
(4)非常危险型:这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。
也可以根据病毒运用的病毒特有的算法对病毒分类,也是比较常用的分类方法,具体可以将病毒划分为以下几类。
(1)伴随型病毒:这一类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随体,具有同样的名字和不同的扩展名(COM)。例如,XCOPY.EXE的伴随体XCOPY.COM.病毒把自身写入COM文件,并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。
(2)“蠕虫”型病毒:通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其他机器的内存,计算网络地址,将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其他资源。
(3)寄生型病毒:除了伴随和“蠕虫”型病毒,其他病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播。
(4)练习型病毒:病毒自身包含错误,不能进行很好地传播,如一些病毒在调试阶段。
(5)诡秘型病毒:它们一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件缓冲区等DOS内部修改,不易看到资源,使用比较高级的技术。利用DOS空闲的数据区进行工作。
(6)变型病毒(又称幽灵病毒):这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。它们一般是由一段混有无关指令的解码算法和被变化过的病毒体组成。