計(jì)算機(jī)病毒分類，計(jì)算機(jī)病毒有哪些類型

來(lái)源：整理時(shí)間：2023-02-01 07:42:38 編輯：好學(xué)習(xí) 手機(jī)版

1，計(jì)算機(jī)病毒有哪些類型

一、宏病毒.宏病毒是一種寄存在文檔或模板的宏中的計(jì)算機(jī)病毒。一旦打開(kāi)這樣的文檔，其中的宏就會(huì)被執(zhí)行，于是宏病毒就會(huì)被激活，轉(zhuǎn)移到計(jì)算機(jī)上，并駐留在Normal模板上。從此以后，所有自動(dòng)保存的文檔都會(huì)“感染”上這種宏病毒，而且如果其他用戶打開(kāi)了感染病毒的文檔，宏病毒又會(huì)轉(zhuǎn)移到他的計(jì)算機(jī)上。二、CIH病毒.CIH病毒是一種能夠破壞計(jì)算機(jī)系統(tǒng)硬件的惡性病毒。這個(gè)病毒產(chǎn)自臺(tái)灣，集嘉通訊公司（技嘉子公司）手機(jī)研發(fā)中心主任工程師陳盈豪在其于臺(tái)灣大同工學(xué)院念書(shū)期間制作。最早隨國(guó)際兩大盜版集團(tuán)販賣(mài)的盜版光盤(pán)在歐美等地廣泛傳播，隨后進(jìn)一步通過(guò)Internet傳播到全世界各個(gè)角落。三、蠕蟲(chóng)病毒.蠕蟲(chóng)病毒是一種常見(jiàn)的計(jì)算機(jī)病毒。它是利用網(wǎng)絡(luò)進(jìn)行復(fù)制和傳播，傳染途徑是通過(guò)網(wǎng)絡(luò)和電子郵件。最初的蠕蟲(chóng)病毒定義是因?yàn)樵贒OS環(huán)境下，病毒發(fā)作時(shí)會(huì)在屏幕上出現(xiàn)一條類似蟲(chóng)子的東西，胡亂吞吃屏幕上的字母并將其改形。蠕蟲(chóng)病毒是自包含的程序（或是一套程序），它能傳播自身功能的拷貝或自身的某些部分到其他的計(jì)算機(jī)系統(tǒng)中.四、木馬病毒.木馬（Trojan）,也稱木馬病毒，是指通過(guò)特定的程序（木馬程序）來(lái)控制另一臺(tái)計(jì)算機(jī)。木馬通常有兩個(gè)可執(zhí)行程序：一個(gè)是控制端，另一個(gè)是被控制端。。“木馬”程序是目前比較流行的病毒文件，與一般的病毒不同，它不會(huì)自我繁殖，也并不“刻意”地去感染其他文件，它通過(guò)將自身偽裝吸引用戶下載執(zhí)行，向施種木馬者提供打開(kāi)被種主機(jī)的門(mén)戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠(yuǎn)程操控被種主機(jī)。木馬病毒的產(chǎn)生嚴(yán)重危害著現(xiàn)代網(wǎng)絡(luò)的安全運(yùn)行。木馬病毒發(fā)展歷史木馬程序技術(shù)發(fā)展可以說(shuō)非常迅速。主要是有些年輕人出于好奇，或是急于顯示自己實(shí)力，不斷改進(jìn)木馬程序的編寫(xiě)。至今木馬程序已經(jīng)經(jīng)歷了六代的改進(jìn)：第一代，是最原始的木馬程序。主要是簡(jiǎn)單的密碼竊取，通過(guò)電子郵件發(fā)送信息等，具備了木馬最基本的功能。第二代，在技術(shù)上有了很大的進(jìn)步，冰河是中國(guó)木馬的典型代表之一。第三代，主要改進(jìn)在數(shù)據(jù)傳遞技術(shù)方面，出現(xiàn)了ICMP等類型的木馬，利用畸形報(bào)文傳遞數(shù)據(jù)，增加了殺毒軟件查殺識(shí)別的難度。第四代，在進(jìn)程隱藏方面有了很大改動(dòng)，采用了內(nèi)核插入式的嵌入方式，利用遠(yuǎn)程插入線程技術(shù)，嵌入DLL線程。或者掛接PSAPI，實(shí)現(xiàn)木馬程序的隱藏，甚至在Windows NT/2000下，都達(dá)到了良好的隱藏效果。灰鴿子和蜜蜂大盜是比較出名的DLL木馬。第五代，驅(qū)動(dòng)級(jí)木馬。驅(qū)動(dòng)級(jí)木馬多數(shù)都使用了大量的Rootkit技術(shù)來(lái)達(dá)到在深度隱藏的效果，并深入到內(nèi)核空間的，感染后針對(duì)殺毒軟件和網(wǎng)絡(luò)防火墻進(jìn)行攻擊，可將系統(tǒng)SSDT初始化，導(dǎo)致殺毒防火墻失去效應(yīng)。有的驅(qū)動(dòng)級(jí)木馬可駐留BIOS，并且很難查殺。第六代，隨著身份認(rèn)證UsbKey和殺毒軟件主動(dòng)防御的興起，黏蟲(chóng)技術(shù)類型和特殊反顯技術(shù)類型木馬逐漸開(kāi)始系統(tǒng)化。前者主要以盜取和篡改用戶敏感信息為主，后者以動(dòng)態(tài)口令和硬證書(shū)攻擊為主。PassCopy和暗黑蜘蛛俠是這類木馬的代表。計(jì)算機(jī)病毒的特點(diǎn) ：（1）寄生性（2）傳染性（3）潛伏性（4）隱蔽性

計(jì)算機(jī)病毒有哪些類型

2，計(jì)算機(jī)病毒種類有哪些

惡性程序碼的類別中，電腦病毒和蠕蟲(chóng)是較具破壞力，因?yàn)樗鼈冇袕?fù)制的能力，從而能夠感染遠(yuǎn)方的系統(tǒng)。電腦病毒一般可以分成下列各類：引導(dǎo)區(qū)電腦病毒文件型電腦病毒復(fù)合型電腦病毒宏病毒特洛伊/特洛伊木馬蠕蟲(chóng) 其他電腦病毒/惡性程序碼的種類和制作技巧引導(dǎo)區(qū)電腦病毒 90年代中期，最為流行的電腦病毒是引導(dǎo)區(qū)病毒，主要通過(guò)軟盤(pán)在16位元磁盤(pán)操作系統(tǒng)(DOS)環(huán)境下傳播。引導(dǎo)區(qū)病毒會(huì)感染軟盤(pán)內(nèi)的引導(dǎo)區(qū)及硬盤(pán)，而且也能夠感染用戶硬盤(pán)內(nèi)的主引導(dǎo)區(qū)(MBR)。一但電腦中毒，每一個(gè)經(jīng)受感染電腦讀取過(guò)的軟盤(pán)都會(huì)受到感染。引導(dǎo)區(qū)電腦病毒是如此傳播：隱藏在磁盤(pán)內(nèi)，在系統(tǒng)文件啟動(dòng)以前電腦病毒已駐留在內(nèi)存內(nèi)。這樣一來(lái)，電腦病毒就可完全控制DOS中斷功能，以便進(jìn)行病毒傳播和破壞活動(dòng)。那些設(shè)計(jì)在DOS或Windows3.1上執(zhí)行的引導(dǎo)區(qū)病毒是不能夠在新的電腦操作系統(tǒng)上傳播，所以這類的電腦病毒已經(jīng)比較罕見(jiàn)了。典型例子： Michelangelo是一種引導(dǎo)區(qū)病毒。它會(huì)感染引導(dǎo)區(qū)內(nèi)的磁盤(pán)及硬盤(pán)內(nèi)的MBR。當(dāng)此電腦病毒常駐內(nèi)存時(shí)，便會(huì)感染所有讀取中及沒(méi)有寫(xiě)入保護(hù)的磁盤(pán)。除此以外，Michelangelo會(huì)于3月6日當(dāng)天刪除受感染電腦內(nèi)的所有文件。文件型電腦病毒文件型電腦病毒，又稱寄生病毒，通常感染執(zhí)行文件(.EXE)，但是也有些會(huì)感染其它可執(zhí)行文件，如DLL,SCR等等...每次執(zhí)行受感染的文件時(shí)，電腦病毒便會(huì)發(fā)作：電腦病毒會(huì)將自己復(fù)制到其他可執(zhí)行文件，并且繼續(xù)執(zhí)行原有的程序，以免被用戶所察覺(jué)。典型例子： CIH會(huì)感染W(wǎng)indows95/98的.EXE文件，并在每月的26號(hào)發(fā)作日進(jìn)行嚴(yán)重破壞。于每月的26號(hào)當(dāng)日，此電腦病毒會(huì)試圖把一些隨機(jī)資料覆寫(xiě)在系統(tǒng)的硬盤(pán)，令該硬盤(pán)無(wú)法讀取原有資料。此外，這病毒又會(huì)試圖破壞FlashBIOS內(nèi)的資料。復(fù)合型電腦病毒復(fù)合型電腦病毒具有引導(dǎo)區(qū)病毒和文件型病毒的雙重特點(diǎn)。宏病毒與其他電腦病毒類型的分別是宏病毒是攻擊數(shù)據(jù)文件而不是程序文件。宏病毒專門(mén)針對(duì)特定的應(yīng)用軟件，可感染依附于某些應(yīng)用軟件內(nèi)的宏指令，它可以很容易透過(guò)電子郵件附件、軟盤(pán)、文件下載和群組軟件等多種方式進(jìn)行傳播如MicrosoftWord和Excel。宏病毒采用程序語(yǔ)言撰寫(xiě)，例如VisualBasic或CorelDraw，而這些又是易于掌握的程序語(yǔ)言。宏病毒最先在1995年被發(fā)現(xiàn)，在不久后已成為最普遍的電腦病毒。

1、木馬病毒。木馬病毒其前綴是：Trojan，其共有特性以盜取用戶信息為目的。2、系統(tǒng)病毒。系統(tǒng)病毒的前綴為：Win32、PE、Win95、W32、W95等。其主要感染windows系統(tǒng)的可執(zhí)行文件。3、蠕蟲(chóng)病毒。蠕蟲(chóng)病毒的前綴是：Worm。其主要是通過(guò)網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)行傳播4、腳本病毒。腳本病毒的前綴是：Script。其特點(diǎn)是采用腳本語(yǔ)言編寫(xiě)。5、后門(mén)病毒。后門(mén)病毒的前綴是：Backdoor。其通過(guò)網(wǎng)絡(luò)傳播，并在系統(tǒng)中打開(kāi)后門(mén)。6、宏病毒。其實(shí)宏病毒是也是腳本病毒的一種，其利用ms office文檔中的宏進(jìn)行傳播。7．破壞性程序病毒。破壞性程序病毒的前綴是：Harm。其一般會(huì)對(duì)系統(tǒng)造成明顯的破壞，如格式化硬盤(pán)等。8.、玩笑病毒。玩笑病毒的前綴是：Joke。是惡作劇性質(zhì)的病毒，通常不會(huì)造成實(shí)質(zhì)性的破壞。9．捆綁機(jī)病毒捆綁機(jī)病毒的前綴是：Binder。這是一類會(huì)和其它特定應(yīng)用程序捆綁在一起的病毒。這種病毒用它自已的程序意圖加入或取代部分操作系統(tǒng)進(jìn)行工作，具有很強(qiáng)的破壞力，可以導(dǎo)致整個(gè)系統(tǒng)的癱瘓。圓點(diǎn)病毒和大麻病毒就是典型的操作系統(tǒng)型病毒。良性計(jì)算機(jī)病毒良性病毒是指其不包含有立即對(duì)計(jì)算機(jī)系統(tǒng)產(chǎn)生直接破壞作用的代碼。這類病毒為了表現(xiàn)其存在，只是不停地進(jìn)行擴(kuò)散，從一臺(tái)計(jì)算機(jī)傳染到另一臺(tái)，并不破壞計(jì)算機(jī)內(nèi)的數(shù)據(jù)。有些人對(duì)這類計(jì)算機(jī)病毒的傳染不以為然，認(rèn)為這只是惡作劇，沒(méi)什么關(guān)系。其實(shí)良性、惡性都是相對(duì)而言的。良性病毒取得系統(tǒng)控制權(quán)后，會(huì)導(dǎo)致整個(gè)系統(tǒng)和應(yīng)用程序爭(zhēng)搶CPU的控制權(quán)，時(shí)時(shí)導(dǎo)致整個(gè)系統(tǒng)死鎖，給正常操作帶來(lái)麻煩。有時(shí)系統(tǒng)內(nèi)還會(huì)出現(xiàn)幾種病毒交叉感染的現(xiàn)象，一個(gè)文件不停地反復(fù)被幾種病毒所感染。例如原來(lái)只有10KB存儲(chǔ)空間，而且整個(gè)計(jì)算機(jī)系統(tǒng)也由于多種病毒寄生于其中而無(wú)法正常工作。因此也不能輕視所謂良性病毒對(duì)計(jì)算機(jī)系統(tǒng)造成的損害。源碼型病毒該病毒攻擊高級(jí)語(yǔ)言編寫(xiě)的程序，該病毒在高級(jí)語(yǔ)言所編寫(xiě)的程序編譯前插入到原程序中，經(jīng)編譯成為合法程序的一部分。宏病毒是一種寄存在文檔或模板的宏中的計(jì)算機(jī)病毒。一旦打開(kāi)這樣的文檔，其中的宏就會(huì)被執(zhí)行，于是宏病毒就會(huì)被激活，轉(zhuǎn)移到計(jì)算機(jī)上，并駐留在Normal模板上。從此以后，所有自動(dòng)保存的文檔都會(huì) “感染”上這種宏病毒，而且如果其他用戶打開(kāi)了感染病毒的文檔，宏病毒又會(huì)轉(zhuǎn)移到他的計(jì)算機(jī)上。文件型病毒是主要感染可執(zhí)行文件的病毒，它通常隱藏在宿主程序中，執(zhí)行宿主程序時(shí)，將會(huì)先執(zhí)行病毒程序再執(zhí)行宿主程序。傳播方式當(dāng)宿主程序運(yùn)行時(shí)，病毒程序首先運(yùn)行，然后駐留在內(nèi)存中，再伺機(jī)感染其它的可執(zhí)行程序，達(dá)到傳播的目的。

計(jì)算機(jī)病毒種類有哪些

3，計(jì)算機(jī)病毒的類別

1.系統(tǒng)病毒，例如CIH病毒；2.蠕蟲(chóng)病毒，例如沖擊波病毒、小郵差病毒等；3.木馬病毒、黑客病毒；4.腳本病毒，例如歡樂(lè)時(shí)光、十四日等；5.宏病毒，例如美麗莎病毒；6.后門(mén)病毒，例如IRC后門(mén)Backdoor.IRCBot7.病毒種植程序病毒，例如冰河播種者、MSN射手等8.破壞性程序病毒，例如殺手命令等9.玩笑病毒，例如女鬼病毒10.捆綁機(jī)病毒，例如捆綁QQ、系統(tǒng)殺手等。

檢測(cè)磁盤(pán)中的計(jì)算機(jī)病毒可分成檢測(cè)引導(dǎo)型計(jì)算機(jī)病毒和檢測(cè)文件型計(jì)算機(jī)病毒。這兩種檢測(cè)從原理上講是一樣的，但由于各自的存儲(chǔ)方式不同，檢測(cè)方法是有差別的。 　　 2.4.1 比較法 　　比較法是用原始備份與被檢測(cè)的引導(dǎo)扇區(qū)或被檢測(cè)的文件進(jìn)行比較。比較時(shí)可以靠打印的代碼清單（比如debug的d命令輸出格式）進(jìn)行比較，或用程序來(lái)進(jìn)行比較（如dos的diskcomp、fc或pctools等其它軟件）。這種比較法不需要專用的查計(jì)算機(jī)病毒程序，只要用常規(guī)dos軟件和pctools等工具軟件就可以進(jìn)行。而且用這種比較法還可以發(fā)現(xiàn)那些尚不能被現(xiàn)有的查計(jì)算機(jī)病毒程序發(fā)現(xiàn)的計(jì)算機(jī)病毒。因?yàn)橛?jì)算機(jī)病毒傳播得很快，新的計(jì)算機(jī)病毒層出不窮，由于目前還沒(méi)有做出通用的能查出一切計(jì)算機(jī)病毒，或通過(guò)代碼分析，可以判定某個(gè)程序中是否含有計(jì)算機(jī)病毒的查毒程序，發(fā)現(xiàn)新計(jì)算機(jī)病毒就只有靠比較法和分析法，有時(shí)必須結(jié)合這兩者來(lái)一同工作。 　　使用比較法能發(fā)現(xiàn)異常，如文件的長(zhǎng)度有變化，或雖然文件長(zhǎng)度未發(fā)生變化，但文件內(nèi)的程序代碼發(fā)生了變化。對(duì)硬盤(pán)主引導(dǎo)扇區(qū)或?qū)os的引導(dǎo)扇區(qū)做檢查，比較法能發(fā)現(xiàn)其中的程序代碼是否發(fā)生了變化。由于要進(jìn)行比較，保留好原始備份是非常重要的，制作備份時(shí)必須在無(wú)計(jì)算機(jī)病毒的環(huán)境里進(jìn)行，制作好的備份必須妥善保管，寫(xiě)好標(biāo)簽，并加上寫(xiě)保護(hù)。 　　比較法的好處是簡(jiǎn)單、方便，不需專用軟件。缺點(diǎn)是無(wú)法確認(rèn)計(jì)算機(jī)病毒的種類名稱。另外，造成被檢測(cè)程序與原始備份之間差別的原因尚需進(jìn)一步驗(yàn)證，以查明是由于計(jì)算機(jī)病毒造成的，或是由于dos數(shù)據(jù)被偶然原因，如突然停電、程序失控、惡意程序等破壞的。這些要用到以后講的分析法，查看變化部分代碼的性質(zhì)，以此來(lái)確證是否存在計(jì)算機(jī)病毒。另外，當(dāng)找不到原始備份時(shí)，用比較法就不能馬上得到結(jié)論。從這里可以看到制作和保留原始主引導(dǎo)扇區(qū)和其它數(shù)據(jù)備份的重要性。 　　 2.4.2 加總比對(duì)法 　　根據(jù)每個(gè)程序的檔案名稱、大小、時(shí)間、日期及內(nèi)容，加總為一個(gè)檢查碼，再將檢查碼附于程序的后面，或是將所有檢查碼放在同一個(gè)數(shù)據(jù)庫(kù)中，再利用此加總對(duì)比系統(tǒng)，追蹤并記錄每個(gè)程序的檢查碼是否遭更改，以判斷是否感染了計(jì)算機(jī)病毒。一個(gè)很簡(jiǎn)單的例子就是當(dāng)您把車(chē)停下來(lái)之后，將里程表的數(shù)字記下來(lái)。那么下次您再開(kāi)車(chē)時(shí)，只要比對(duì)一下里程表的數(shù)字，那么您就可以斷定是否有人偷開(kāi)了您的車(chē)子。這種技術(shù)可偵測(cè)到各式的計(jì)算機(jī)病毒，但最大的缺點(diǎn)就是誤判斷高，且無(wú)法確認(rèn)是哪種計(jì)算機(jī)病毒感染的。對(duì)于隱形計(jì)算機(jī)病毒也無(wú)法偵測(cè)到。 　　 2.4.3 搜索法. 　　搜索法是用每一種計(jì)算機(jī)病毒體含有的特定字符串對(duì)被檢測(cè)的對(duì)象進(jìn)行掃描。如果在被檢測(cè)對(duì)象內(nèi)部發(fā)現(xiàn)了某一種特定字節(jié)串，就表明發(fā)現(xiàn)了該字節(jié)串所代表的計(jì)算機(jī)病毒。國(guó)外對(duì)這種按搜索法工作的計(jì)算機(jī)病毒掃描軟件叫virus scanner。計(jì)算機(jī)病毒掃描軟件由兩部分組成：一部分是計(jì)算機(jī)病毒代碼庫(kù)，含有經(jīng)過(guò)特別選定的各種計(jì)算機(jī)病毒的代碼串；另一部分是利用該代碼庫(kù)進(jìn)行掃描的掃描程序。目前常見(jiàn)的防殺計(jì)算機(jī)病毒軟件對(duì)已知計(jì)算機(jī)病毒的檢測(cè)大多采用這種方法。計(jì)算機(jī)病毒掃描程序能識(shí)別的計(jì)算機(jī)病毒的數(shù)目完全取決于計(jì)算機(jī)病毒代碼庫(kù)內(nèi)所含計(jì)算機(jī)病毒的種類多少。顯而易見(jiàn)，庫(kù)中計(jì)算機(jī)病毒代碼種類越多，掃描程序能認(rèn)出的計(jì)算機(jī)病毒就越多。計(jì)算機(jī)病毒代碼串的選擇是非常重要的。短小的計(jì)算機(jī)病毒只有一百多個(gè)字節(jié)，長(zhǎng)的有上萬(wàn)字節(jié)的。如果隨意從計(jì)算機(jī)病毒體內(nèi)選一段作為代表該計(jì)算機(jī)病毒的特征代碼串，可能在不同的環(huán)境中，該特征串并不真正具有代表性，不能用于將該串所對(duì)應(yīng)的計(jì)算機(jī)病毒檢查出來(lái)。選這種串做為計(jì)算機(jī)病毒代碼庫(kù)的特征串就是不合適的。 　　另一種情況是代碼串不應(yīng)含有計(jì)算機(jī)病毒的數(shù)據(jù)區(qū)，數(shù)據(jù)區(qū)是會(huì)經(jīng)常變化的。代碼串一定要在仔細(xì)分析了程序之后才選出最具代表特性的，足以將該計(jì)算機(jī)病毒區(qū)別于其它計(jì)算機(jī)病毒的字節(jié)串。選定好的特征代碼串是很不容易的，是計(jì)算機(jī)病毒掃描程序的精華所在。一般情況下，代碼串是連續(xù)的若干個(gè)字節(jié)組成的串，但是有些掃描軟件采用的是可變長(zhǎng)串，即在串中包含有一個(gè)到幾個(gè)“模糊”字節(jié)。掃描軟件遇到這種串時(shí)，只要除“模糊”字節(jié)之外的字串都能完好匹配，則也能判別出計(jì)算機(jī)病毒。 　　除了前面說(shuō)的選特征串的規(guī)則外，最重要的是一條是特征串必須能將計(jì)算機(jī)病毒與正常的非計(jì)算機(jī)病毒程序區(qū)分開(kāi)。不然將非計(jì)算機(jī)病毒程序當(dāng)成計(jì)算機(jī)病毒報(bào)告給用戶，是假警報(bào)，這種“狼來(lái)了”的假警報(bào)太多了，就會(huì)使用戶放松警惕，等真的計(jì)算機(jī)病毒一來(lái)，破壞就嚴(yán)重了；再就是若將這假警報(bào)送給殺計(jì)算機(jī)病毒程序，會(huì)將好程序給“殺死”了。 　　使用特征串的掃描法被查計(jì)算機(jī)病毒軟件廣泛應(yīng)用。當(dāng)特征串選擇得很好時(shí)，計(jì)算機(jī)病毒檢測(cè)軟件讓計(jì)算機(jī)用戶使用起來(lái)很方便，對(duì)計(jì)算機(jī)病毒了解不多的人也能用它來(lái)發(fā)現(xiàn)計(jì)算機(jī)病毒。另外，不用專門(mén)軟件，用pctools等軟件也能用特征串掃描法去檢測(cè)特定的計(jì)算機(jī)病毒。 　　這種掃描法的缺點(diǎn)也是明顯的。第一是當(dāng)被掃描的文件很長(zhǎng)時(shí)，掃描所花時(shí)間也越多；第二是不容易選出合適的特征串；第三是新的計(jì)算機(jī)病毒的特征串未加入計(jì)算機(jī)病毒代碼庫(kù)時(shí)，老版本的掃毒程序無(wú)法識(shí)別出新的計(jì)算機(jī)病毒；第四是懷有惡意的計(jì)算機(jī)病毒制造者得到代碼庫(kù)后，會(huì)很容易地改變計(jì)算機(jī)病毒體內(nèi)的代碼，生成一個(gè)新的變種，使掃描程序失去檢測(cè)它的能力；第五是容易產(chǎn)生誤報(bào)，只要在正常程序內(nèi)帶有某種計(jì)算機(jī)病毒的特征串，即使該代碼段已不可能被執(zhí)行，而只是被殺死的計(jì)算機(jī)病毒體殘余，掃描程序仍會(huì)報(bào)警；第六是不易識(shí)別多維變形計(jì)算機(jī)病毒。不管怎樣，基于特征串的計(jì)算機(jī)病毒掃描法仍是今天用得最為普遍的查計(jì)算機(jī)病毒方法。 　　2.4.4 分析法 　　一般使用分析法的人不是普通用戶，而是防殺計(jì)算機(jī)病毒技術(shù)人員。使用分析法的目的在于： 　　1. 確認(rèn)被觀察的磁盤(pán)引導(dǎo)扇區(qū)和程序中是否含有計(jì)算機(jī)病毒； 　　2. 確認(rèn)計(jì)算機(jī)病毒的類型和種類，判定其是否是一種新的計(jì)算機(jī)病毒； 　　3. 搞清楚計(jì)算機(jī)病毒體的大致結(jié)構(gòu)，提取特征識(shí)別用的字節(jié)串或特征字，用于增添到計(jì)算機(jī)病毒代碼庫(kù)供計(jì)算機(jī)病毒掃描和識(shí)別程序用； 　　4. 詳細(xì)分析計(jì)算機(jī)病毒代碼，為制定相應(yīng)的防殺計(jì)算機(jī)病毒措施制定方案。 　　上述四個(gè)目的按順序排列起來(lái)，正好是使用分析法的工作順序。使用分析法要求具有比較全面的有關(guān)計(jì)算機(jī)、dos、windows、網(wǎng)絡(luò)等的結(jié)構(gòu)和功能調(diào)用以及關(guān)于計(jì)算機(jī)病毒方面的各種知識(shí)，這是與其他檢測(cè)計(jì)算機(jī)病毒方法不一樣的地方。 　　要使用分析法檢測(cè)計(jì)算機(jī)病毒，其條件除了要具有相關(guān)的知識(shí)外，還需要反匯編工具、二進(jìn)制文件編輯器等分析用工具程序和專用的試驗(yàn)計(jì)算機(jī)。因?yàn)榧词故呛苁炀毜姆罋⒂?jì)算機(jī)病毒技術(shù)人員，使用性能完善的分析軟件，也不能保證在短時(shí)間內(nèi)將計(jì)算機(jī)病毒代碼完全分析清楚。而計(jì)算機(jī)病毒有可能在被分析階段繼續(xù)傳染甚至發(fā)作，把軟盤(pán)硬盤(pán)內(nèi)的數(shù)據(jù)完全毀壞掉，這就要求分析工作必須在專門(mén)設(shè)立的試驗(yàn)計(jì)算機(jī)機(jī)上進(jìn)行，不怕其中的數(shù)據(jù)被破壞。在不具備條件的情況下，不要輕易開(kāi)始分析工作，很多計(jì)算機(jī)病毒采用了自加密、反跟蹤等技術(shù)，使得分析計(jì)算機(jī)病毒的工作經(jīng)常是冗長(zhǎng)和枯燥的。特別是某些文件型計(jì)算機(jī)病毒的代碼可達(dá)10kb以上，與系統(tǒng)的牽扯層次很深，使詳細(xì)的剖析工作十分復(fù)雜。 　　計(jì)算機(jī)病毒檢測(cè)的分析法是防殺計(jì)算機(jī)病毒工作中不可缺少的重要技術(shù)，任何一個(gè)性能優(yōu)良的防殺計(jì)算機(jī)病毒系統(tǒng)的研制和開(kāi)發(fā)都離不開(kāi)專門(mén)人員對(duì)各種計(jì)算機(jī)病毒的詳盡而認(rèn)真的分析。 　　分析的步驟分為靜態(tài)分析和動(dòng)態(tài)分析兩種。靜態(tài)分析是指利用反匯編工具將計(jì)算機(jī)病毒代碼打印成反匯編指令后程序清單后進(jìn)行分析，看計(jì)算機(jī)病毒分成哪些模塊，使用了哪些系統(tǒng)調(diào)用，采用了哪些技巧，并將計(jì)算機(jī)病毒感染文件的過(guò)程翻轉(zhuǎn)為清除該計(jì)算機(jī)病毒、修復(fù)文件的過(guò)程；判斷哪些代碼可被用做特征碼以及如何防御這種計(jì)算機(jī)病毒。分析人員具有的素質(zhì)越高，分析過(guò)程越快、理解越深。動(dòng)態(tài)分析則是指利用debug等調(diào)試工具在內(nèi)存帶毒的情況下，對(duì)計(jì)算機(jī)病毒做動(dòng)態(tài)跟蹤，觀察計(jì)算機(jī)病毒的具體工作過(guò)程，以進(jìn)一步在靜態(tài)分析的基礎(chǔ)上理解計(jì)算機(jī)病毒工作的原理。在計(jì)算機(jī)病毒編碼比較簡(jiǎn)單的情況下，動(dòng)態(tài)分析不是必須的。但當(dāng)計(jì)算機(jī)病毒采用了較多的技術(shù)手段時(shí)，必須使用動(dòng)、靜相結(jié)合的分析方法才能完成整個(gè)分析過(guò)程。 　　2.4.5 人工智能陷阱技術(shù)和宏病毒陷阱技術(shù) 　　人工智能陷阱是一種監(jiān)測(cè)計(jì)算機(jī)行為的常駐式掃描技術(shù)。它將所有計(jì)算機(jī)病毒所產(chǎn)生的行為歸納起來(lái)，一旦發(fā)現(xiàn)內(nèi)存中的程序有任何不當(dāng)?shù)男袨椋到y(tǒng)就會(huì)有所警覺(jué)，并告知使用者。這種技術(shù)的優(yōu)點(diǎn)是執(zhí)行速度快、操作簡(jiǎn)便，且可以偵測(cè)到各式計(jì)算機(jī)病毒；其缺點(diǎn)就是程序設(shè)計(jì)難，且不容易考慮周全。不過(guò)在這千變?nèi)f化的計(jì)算機(jī)病毒世界中，人工智能陷阱掃描技術(shù)是一個(gè)至少具有主動(dòng)保護(hù)功能的新技術(shù)。 　　宏病毒陷阱技術(shù)（macrotrap）是結(jié)合了搜索法和人工智能陷阱技術(shù)，依行為模式來(lái)偵測(cè)已知及未知的宏病毒。其中，配合ole2技術(shù)，可將宏與文件分開(kāi)，使得掃描速度變得飛快，而且更可有效地將宏病毒徹底清除。 　　2.4.6 軟件仿真掃描法 　　該技術(shù)專門(mén)用來(lái)對(duì)付多態(tài)變形計(jì)算機(jī)病毒（polymorphic/mutationvirus）。多態(tài)變形計(jì)算機(jī)病毒在每次傳染時(shí)，都將自身以不同的隨機(jī)數(shù)加密于每個(gè)感染的文件中，傳統(tǒng)搜索法的方式根本就無(wú)法找到這種計(jì)算機(jī)病毒。軟件仿真技術(shù)則是成功地仿真cpu執(zhí)行，在dos虛擬機(jī)（virtual machine）下偽執(zhí)行計(jì)算機(jī)病毒程序，安全并確實(shí)地將其解密，使其顯露本來(lái)的面目，再加以掃描。 　　2.4.7 先知掃描法 　　先知掃描技術(shù)（vice，virus instruction code emulation）是繼軟件仿真后的一大技術(shù)上突破。既然軟件仿真可以建立一個(gè)保護(hù)模式下的dos虛擬機(jī)，仿真cpu動(dòng)作并偽執(zhí)行程序以解開(kāi)多態(tài)變形計(jì)算機(jī)病毒，那么應(yīng)用類似的技術(shù)也可以用來(lái)分析一般程序，檢查可疑的計(jì)算機(jī)病毒代碼。因此先知掃描技術(shù)將專業(yè)人員用來(lái)判斷程序是否存在計(jì)算機(jī)病毒代碼的方法，分析歸納成專家系統(tǒng)和知識(shí)庫(kù)，再利用軟件模擬技術(shù)（software emulation）偽執(zhí)行新的計(jì)算機(jī)病毒，超前分析出新計(jì)算機(jī)病毒代碼，對(duì)付以后的計(jì)算機(jī)病毒。 轉(zhuǎn)自: <a target="_blank">http://hi.baidu.com/an0011121/blog/item/0245a44bb306caf482025c44.html</a>

計(jì)算機(jī)病毒的類別