病毒的分类
电脑故障提供关于病毒的分类 的解决办法
一. 传统开机型病毒:
纯粹的开机型病毒多利用软碟开机时侵入电脑系统, 然後再伺机感染其他的软碟或硬碟, 例如∶STONED 3 ( 米开朗基罗). DISK KILLER. HEAD ELEVEN.目前市面上大多数的防毒. 扫毒程式均可预防此类病毒, 一般电脑用户对於此类病毒最好的预防方式, 即是避免使用外来软碟开机.
以1990年以後出品的AMI BIOS而言, 就已经提供了设定由硬碟开机的功能, 足可令电脑用户避开此类病毒的侵扰.使用者於电脑开机时, 压或 键即进入BIOS的设定, 其中选择 将游标移至选项, 设定, 即完成了由硬碟开机的设定.
二. 隐形开机型病毒:
此类病毒的开山始祖, 首推(C)BRAIN, 凡是为此病毒感染之系统, 再行检查开机区(PARTITION TABLE & BOOT SECTOR), 得到的将是正常的磁区资料, 就好像没有中毒一般, 此型病毒较不易为一般扫毒软体所查觉, 而防毒软体对於未知的此型病毒,必须具有辨认磁区资料真伪的能力.
此类病毒已出现的尚有FISH. NOVEMBER 4.
三. 档案感染型兼开机型病毒:
尽管防毒观念中强调, 避免使用外来的软碟开机, 但是仍仅能预防上述两种开机型病毒, 档案感染型兼开机型病毒则是利用档案感染时伺机感染开机区, 因而具有双重的行动能力, 此型较著名的病毒有 CANCER. HAMMER V , 目前市面上的防毒扫毒软体多能侦测出此类病毒.
四. 目录型病毒:
本型病毒之感染方式非常独特, DIR2即其代表, 此类病毒仅修改目录区( ROOT ),便可达到感染的目的.由於其修改目录区混淆DOS 的档案作业, 并不须去感染真正的档案, 可想而知病毒作者的功力相当高.而市面上之防毒软体皆能防止此病毒, 但面对此型之新病毒, 则仍有待考验.
五. 传统档案型病毒:
档案感染型病毒最大的特徵, 便是将病毒本身植入档案, 使档案膨胀, 以达到散播传染的目的.此型病毒的代表有 13 FRIDAY. SUNDAY.除扫瞄式防毒软体不具侦测未来毒之能力外, 其它如加值总和式. 移植检查式. 人工智慧式皆能顺利栏截.
六. 千面人病毒:
千面人病毒乃指具有自我编码能力的病毒, 1701下雨病毒. FLIP. 4096为主要的代表, 此种病毒编码的目的, 在使其感染的每一个档案, 看起来皆不一样, 干扰扫毒软体的侦测, 不过千面人病毒再怎么会编码, 仍会留下一段完全相同的程式开头, 所以各类侦防病毒之软体, 均能利用其留下的这个小辫子, 将其绳之以法.
七. 突变引擎:
有鉴於千面人病毒一个接一个被逮著, 便有人写出一种突变式病毒, 使原本千面人病毒无法解决的程式开头相同的问题, 加以克服, 并写成 OBJ副程式, 供人制造此型病毒, 此即 McTation Engine. Polymorphic Engine, 但是尽管如此, 这型病毒仅干扰了扫毒式软体, 对其它方式之防毒软体并没有太大的影响.
八. 隐形档案型病毒:
有越来越多的迹象显示, 隐形感染可避开许多防毒软体的侦测, 因为隐形病毒能直接植入DOS 的作业环境中, 当外部程式呼叫DOS 中断服务时, 便同时执行到病毒本身,使得病毒能从容地将受其感染的档案, 粉饰成正常无毒的样子.
此型病毒有4096. 512 及最近流行的DREAMING KING ( 即第三波129期介绍的 T4virion病毒 ), 其成功的取得DOS 的原始中断, 令各种加值总和式. 移植检查式之防毒软硬体毫无感觉, 而扫瞄式防毒软体更是无从侦测, 是一种难缠的新型病毒, 看来侦测此种病毒, 唯有依赖智慧型的方式了!
九. 终结型病毒:
虽然隐形式病毒是一种难缠的病毒, 但是与终结型病毒相比, 却又厚道许多, 因为病毒不论感染. 常驻. 延迟. 占满磁碟空间, 都不若破坏磁碟资料来的可怕, 而此型病毒也让许多防毒软体束手无策, 甚至避而不谈.究竟此毒有何可怕之处呢 原因就是此毒能追踪磁碟操作中断之原始进入点, 当病毒取得磁碟原始中断时, 病毒便可任意在磁碟上修改资料或破坏资料, 而不会「惊动」防毒程式, 这也就是说, 有装防毒程式和没装防毒程式, 一样危险.
这类病毒有的采用INT 1单步执行的方式, 逐步追踪磁碟中断的过程, 找出BIOS之磁碟中断的部份, 供病毒内部使用;有的采用死记的方式, 记录几个BIOS版本之磁碟中断原始进入点, 当病毒遇到熟悉的BIOS版本, 便可直接呼叫磁碟中断, 对磁碟予取予求;有的则分析磁碟中断的程式片段, 找出BIOS中的相似部份便可直接呼叫磁碟中断, 显然侦防此型病毒是防毒程式的必备条件, 目前市面上有此侦测能力的仅有一家.
终结型病毒的代表作有Hammer 6 NCU_LI. MACGYVER( 马盖先 )等.其中值得一提的是马盖先病毒, 此毒因害怕为某些防毒软体侦测出来, 特别记录如果遇到 SCAN.
CLEAN. ZLOCK, 等防毒软体时, 便乖乖的不动作, 但是其直接驱动磁碟中断的部份, 仍然为ZLOCK 所侦测