|
|
| 引导型病毒通过感染计算机系统的引导区而控制系统,病毒将真实的引导区内容修改或替换,当病毒程序执行后,才启动操作系统。因此,感染引导型病毒的计算机系统看似正常运转,而实际上病毒已在系统中隐藏,等待时机传染和发作。引导型病毒通常都是内存驻留的,典型的引导型病毒如磁盘杀手病毒、AntiExe病毒等。
|
|
|
|
|
| 宏是1995年出现的应用程序编程语言,它使得文档处理中繁复的敲键操作自动化。所谓宏病毒就是指利用宏语言来实现的计算机病毒。宏病毒的出现改变了病毒的载体模式,以前病毒的载体主要是可执行文件,而现在文档或数据也可作为宏病毒的载体。微软规定宏代码保存在文档或数据文件的内部,这样一来就给宏病毒传播提供了方便。同时,宏病毒的出现也实现了病毒的跨平台传播,它能够感染任何运行Office的计算机。例如,Office病毒是第一种既能感染运行Windows 98的IBM PC又能感染运行Macintosh的机器的病毒。根据统计,宏病毒已经出现在Word、Excel、Access、PowerPoint、Project、Lotus、AutoCAD和Corel Draw当中。宏病毒的触发用户打开一个被感染的文件并让宏程序执行,宏病毒将自身复制到全局模板,然后通过全局模板把宏病毒传染到新打开的文件,如下图所示。
|
|
|
|
|
|
|
| Word宏病毒是宏病毒的典型代表,其他的宏病毒传染过程与它类似。下面以Word宏病毒为例,分析宏病毒的传染过程。微软为了使Word更易用,在Word中集成了许多模板,如典雅型传真、典雅型报告等。这些模板不仅包含了相应类型文档的一般格式,而且还允许用户在模板内添加宏,使得用户在制作自己的特定格式文件时,减少重复劳动。在所有这些模板中,最常用的就是Normal.dot模板,它是启动Word时载入的缺省模板。任何一个Word文件,其背后都有相应的模板,当打开或创建Word文档时,系统都会自动装入Normal.dot模板并执行其中的宏。Word处理文档时,需要进行各种不同的操作,如打开文件、关闭文件、读取数据资料以及存储和打印等。每一种动作其实都对应着特定的宏命令,如存文件与File Save相对应、改名存文件对应着File Save AS等。这些宏命令集合在一起构成了通用宏,通用宏保存在模板文件中,以使得Word启动后可以有效地工作。Word打开文件时,它首先要检查文件内包含的宏是否有自动执行的宏(AutoOpen宏)存在,假如有这样的宏,Word就启动它。通常,Word宏病毒至少会包含一个以上的自动宏,当Word运行这类自动宏时,实际上就是在运行病毒代码。宏病毒的内部都具有把带病毒的宏复制到通用宏的代码段,也就是说当病毒代码被执行过后,它就会将自身复制到通用宏集合内。当Word系统退出时,它会自动地把所有通用宏和传染进来的病毒宏一起保存到模板文件中,通常是Normal.dot模板。这样,一旦Word系统遭受感染,则以后每当系统进行初始化,系统都会随着Normal.dot的装入而成为带毒的Word系统,继而在打开和创建任何文档时感染该文档。
|
|
|
| 多态病毒(Polymorphic Viruses)
|
|
|
| 多态病毒每次感染新的对象后,通过更换加密算法,改变其存在形式。一些多态病毒具有超过二十亿种呈现形式,这就意味着反病毒软件常常难以检测到它,一般需要采用启发式分析方法来发现。多态病毒有三个主要组成部分:杂乱的病毒体、解密例程(decryption routine)、变化引擎(mutation engine)。在一个多态病毒中,变化引擎和病毒体都被加密。一旦用户执行被多态病毒感染过的程序,则解密例程首先获取计算机的控制权,然后将病毒体和变化引擎进行解密。接下来,解密例程把控制权转让给病毒,重新开始感染新的程序。此时,病毒进行自我复制以及变化引擎随机访问内存(RAM)。病毒调用变化引擎,随机产生能够解开新病毒的解密例程。病毒加密产生新的病毒体和变化引擎,病毒将解密例程连同新加密的病毒和变化引擎一起放到程序中。这样一来,不仅病毒体被加密过,而且病毒的解密例程也随着感染不同而变化。因此,多态病毒没有固定的特征、没有固定的加密例程,从而就能逃避基于静态特征的病毒扫描器的检测。
|
|
|
|
|
| 隐蔽病毒试图将自身的存在形式进行隐藏,使得操作系统和反病毒软件不能发现。隐蔽病毒使用的技术有许多,主要包括:
|
|
|
|
|
|
|
|
|
