计算机病毒

详解：计算机病毒的分类

提⽰点上⽅↑'⿊客技术'免费订阅哦！

从第⼀个病毒出世以来，究竟世界上有多少种病毒，说法不⼀。⽆论多少种，病毒的数量仍在

不断增加。据国外统计，计算机病毒以10种/周的速度递增，另据我国公安部统计，国内以4-6

种/⽉的速度递增。不过，孙悟空再厉害，也逃不过如来佛的⼿掌⼼，病毒再多，也逃不出下列

种类。病毒分类是为了更好地了解它们。按照计算机病毒的特点及特性，计算机病毒的分类⽅

法有许多种。因此，同⼀种病毒可能有多种不同的分法。

1.按照计算机病毒攻击的系统分类

(1)攻击DOS系统的病毒。这类病毒出现最早、最多，变种也最多，⽬前我国出现的计算机

病毒基本上都是这类病毒，此类病毒占病毒总数的99%。

(2)攻击Windows系统的病毒。由于Windows的图形⽤户界⾯(GUI)和多任务操作系统深受⽤

户的欢迎，Windows正逐渐取代DOS，从⽽成为病毒攻击的主要对象。⽬前发现的⾸例破坏计

算机硬件的CIH病毒就是⼀个Windows95/98病毒。

(3)攻击UNIX系统的病毒。当前，UNIX系统应⽤⾮常⼴泛，并且许多⼤型的操作系统均采

⽤UNIX作为其主要的操作系统，所以UNIX病毒的出现，对⼈类的信息处理也是⼀个严重的威

胁。

(4)攻击OS/2系统的病毒。世界上已经发现第⼀个攻击OS/2系统的病毒，它虽然简单，但也

是⼀个不祥之兆。

2.按照病毒的攻击机型分类

(1)攻击微型计算机的病毒。这是世界上传染最为⼴泛的⼀种病毒。

(2)攻击⼩型机的计算机病毒。⼩型机的应⽤范围是极为⼴泛的，它既可以作为⽹络的⼀个

节点机，也可以作为⼩的计算机⽹络的主机。起初，⼈们认为计算机病毒只有在微型计算机上

才能发⽣⽽⼩型机则不会受到病毒的侵扰，但⾃1988年11⽉份Internet⽹络受到worm程序的攻

击后，使得⼈们认识到⼩型机也同样不能免遭计算机病毒的攻击。

(3)攻击⼯作站的计算机病毒。近⼏年，计算机⼯作站有了较⼤的进展，并且应⽤范围也有

了较⼤的发展，所以我们不难想象，攻击计算机⼯作站的病毒的出现也是对信息系统的⼀⼤威

胁。

3.按照计算机病毒的链结⽅式分类由于计算机病毒本⾝必须有⼀个攻击对象以实现对计算

机系统的攻击，计算机病毒所攻击的对象是计算机系统可执⾏的部分。

(1)源码型病毒该病毒攻击⾼级语⾔编写的程序，该病毒在⾼级语⾔所编写的程序编译前插

⼊到原程序中，经编译成为合法程序的⼀部分。

(2)嵌⼊型病毒这种病毒是将⾃⾝嵌⼊到现有程序中，把计算机病毒的主体程序与其攻击的

对象以插⼊的⽅式链接。这种计算机病毒是难以编写的)⼀旦侵⼊程序体后也较难消除。如果同

时采⽤多态性病毒技术、超级病毒技术和隐蔽性病毒技术，将给当前的反病毒技术带来严峻的

挑战。

(3)外壳型病毒外壳型病毒将其⾃⾝包围在主程序的四周，对原来的程序不作修改。这种病

毒最为常见，易于编写，也易于发现，⼀般测试⽂件的⼤⼩即可知。

(4)操作系统型病毒这种病毒⽤它⾃⼰的程序意图加⼊或取代部分操作系统进⾏⼯作，具有

很强的破坏⼒，可以导致整个系统的瘫痪。圆点病毒和⼤⿇病毒就是典型的操作系统型病毒。

这种病毒在运⾏时，⽤⾃⼰的逻辑部分取代操作系统的合法程序模块，根据病毒⾃⾝的特点和

被替代的操作系统中合法程序模块在操作系统中运⾏的地位与作⽤以及病毒取代操作系统的取

代⽅式等，对操作系统进⾏破坏。

4。按照计算机病毒的破坏情况分类按照计算机病毒的破坏情况可分两类：

(1)良性计算机病毒良性病毒是指其不包含有⽴即对计算机系统产⽣直接破坏作⽤的代码。

这类病毒为了表现其存在，只是不停地进⾏扩散，从⼀台计算机传染到另⼀台，并不破坏计算

机内的数据。有些⼈对这类计算机病毒的传染不以为然，认为这只是恶作剧，没什么关系。其

实良性、恶性都是相对⽽⾔的。良性病毒取得系统控制权后，会导致整个系统运⾏效率降低，

系统可⽤内存总数减少，使某些应⽤程序不能运⾏。它还与操作系统和应⽤程序争抢CPU的控

制权，时时导致整个系统死锁，给正常操作带来⿇烦。有时系统内还会出现⼏种病毒交叉感染

的现象，⼀个⽂件不停地反复被⼏种病毒所感染。例如原来只有10KB的⽂件变成约90KB，就

是被⼏种病毒反复感染了数⼗次。这不仅消耗掉⼤量宝贵的磁盘存储空间，⽽且整个计算机系

统也由于多种病毒寄⽣于其中⽽⽆法正常⼯作。因此也不能轻视所谓良性病毒对计算机系统造

成的损害。

(2)恶性计算机病毒恶性病毒就是指在其代码中包含有损伤和破坏计算机系统的操作，在其

传染或发作时会对系统产⽣直接的破坏作⽤。这类病毒是很多的，如⽶开朗基罗病毒。当⽶⽒

病毒发作时，硬盘的前17个扇区将被彻底破坏，使整个硬盘上的数据⽆法被恢复，造成的损失

是⽆法挽回的。有的病毒还会对硬盘做格式化等破坏。这些操作代码都是刻意编写进病毒的，

这是其本性之⼀。因此这类恶性病毒是很危险的，应当注意防范。所幸防病毒系统可以通过监

控系统内的这类异常动作识别出计算机病毒的存在与否，或⾄少发出警报提醒⽤户注意。

5.按照计算机病毒的寄⽣部位或传染对象分类传染性是计算机病毒的本质属性，根据寄⽣

部位或传染对象分类，也即根据计算机病毒传染⽅式进⾏分类，有以下⼏种：

(1)磁盘引导区传染的计算机病毒磁盘引导区传染的病毒主要是⽤病毒的全部或部分逻辑取

代正常的引导记录，⽽将正常的引导记录隐藏在磁盘的其他地⽅。由于引导区是磁盘能正常使

⽤的先决条件，因此，这种病毒在运⾏的⼀开始(如系统启动)就能获得控制权，其传染性较⼤。

由于在磁盘的引导区内存储着需要使⽤的重要信息，如果对磁盘上被移⾛的正常引导记录不进

⾏保护，则在运⾏过程中就会导致引导记录的破坏。引导区传染的计算机病毒较多，例如，“⼤

⿇”和“⼩球”病毒就是这类病毒。

(2)操作系统传染的计算机病毒操作系统是⼀个计算机系统得以运⾏的⽀持环境，它包括。

COM、。EXE等许多可执⾏程序及程序模块。操作系统传染的计算机病毒就是利⽤操作系统中

所提供的⼀些程序及程序模块寄⽣并传染的。通常，这类病毒作为操作系统的⼀部分，只要计

算机开始⼯作，病毒就处在随时被触发的状态。⽽操作系统的开放性和不绝对完善性给这类病

毒出现的可能性与传染性提供了⽅便。操作系统传染的病毒⽬前已⼴泛存在，“⿊⾊星期五”即为

此类病毒。

(3)可执⾏程序传染的计算机病毒可执⾏程序传染的病毒通常寄⽣在可执⾏程序中，⼀旦程

序被执⾏，病毒也就被激活，病毒程序⾸先被执⾏，并将⾃⾝驻留内存，然后设置触发条件，

进⾏传染。对于以上三种病毒的分类，实际上可以归纳为两⼤类：⼀类是引导扇区型传染的计

算机病毒;另⼀类是可执⾏⽂件型传染的计算机病毒。

6.按照计算机病毒激活的时间分类按照计算机病毒激活的时间可分为定时的和随机的。定

时病毒仅在某⼀特定时间才发作，⽽随机病毒⼀般不是由时钟来激活的。

7.按照传播媒介分类按照计算机病毒的传播媒介来分类，可分为单机病毒和⽹络病毒。

(1)单机病毒单机病毒的载体是磁盘，常见的是病毒从软盘传⼈硬盘，感染系统，然后再传

染其他软盘，软盘⼜传染其他系统。

(2)⽹络病毒⽹络病毒的传播媒介不再是移动式载体，⽽是⽹络通道，这种病毒的传染能⼒

更强，破坏⼒更⼤。

8.按照寄⽣⽅式和传染途径分类⼈们习惯将计算机病毒按寄⽣⽅式和传染途径来分类。

计算机病毒按其寄⽣⽅式⼤致可分为两类，⼀是引导型病毒，⼆是⽂件型病毒;它们再按其

传染途径⼜可分为驻留内存型和不驻留内存型，驻留内存型按其驻留内存⽅式⼜可细分。

混合型病毒集引导型和⽂件型病毒特性于⼀体。

引导型病毒会去改写(即⼀般所说的“感染”)磁盘上的引导扇区(BOOTSECTOR)的内容，软

盘或硬盘都有可能感染病毒。再不然就是改写硬盘上的分区表(FAT)。如果⽤已感染病毒的软盘

来启动的话，则会感染硬盘。

引导型病毒是⼀种在ROMBIOS之后，系统引导时出现的病毒，它先于操作系统，依托的

环境是BIOS中断服务程序。引导型病毒是利⽤操作系统的引导模块放在某个固定的位置，并且

控制权的转交⽅式是以物理地址为依据，⽽不是以操作系统引导区的内容为依据，因⽽病毒占

据该物理位置即可获得控制权，⽽将真正的引导区内容搬家转移或替换，待病毒程序被执⾏

后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，⽽病毒⼰隐藏在

系统中伺机传染、发作。

有的病毒会潜伏⼀段时间，等到它所设置的⽇期时才发作。有的则会在发作时在屏幕上显

⽰⼀些带有“宣⽰”或“警告”意味的信息。这些信息不外是叫您不要⾮法拷贝软件，不然就是显⽰

特定的图形，再不然就是放⼀段⾳乐给您听……。病毒发作后，不是摧毁分区表，导致⽆法启

动，就是直接FORMAT硬盘。也有⼀部分引导型病毒的“⼿段”没有那么狠，不会破坏硬盘数据，

只是搞些“声光效果”让您虚惊⼀场。引导型病毒⼏乎清⼀⾊都会常驻在内存中，差别只在于内存

中的位置。(所谓“常驻”，是指应⽤程序把要执⾏的部分在内存中驻留⼀份。这样就可不必在每

次要执⾏它的时候都到硬盘中搜寻，以提⾼效率)。

引导型病毒按其寄⽣对象的不同⼜可分为两类，即MBR(主引导区)病毒，BR(引导区)病

毒。MBR病毒也称为分区病毒，将病毒寄⽣在硬盘分区主引导程序所占据的硬盘0头0柱⾯第1

个扇区中。典型的病毒有⼤⿇(Stoned)、2708等。BR病毒是将病毒寄⽣在硬盘逻辑0扇区或软

盘逻辑0扇区(即0⾯0道第1个扇区)。典型的病毒有Brain、⼩球病毒等。

顾名思义，⽂件型病毒主要以感染⽂件扩展名为.COM、.EXE和，OVL等可执⾏程序为

主。它的安装必须借助于病毒的载体程序，即要运⾏病毒的载体程序，⽅能把⽂件型病毒引⼈

内存。已感染病毒的⽂件执⾏速度会减缓，甚⾄完全⽆法执⾏。有些⽂件遭感染后，⼀执⾏就

会遭到删除。⼤多数的⽂件型病毒都会把它们⾃⼰的程序码复制到其宿主的开头或结尾处。这

会造成已感染病毒⽂件的长度变长，但⽤户不⼀定能⽤DIR命令列出其感染病毒前的长度。也

有部分病毒是直接改写“受害⽂件”的程序码，因此感染病毒后⽂件的长度仍然维持不变。

感染病毒的⽂件被执⾏后，病毒通常会趁机再对下⼀个⽂件进⾏感染。有的⾼明⼀点的病

毒，会在每次进⾏感染的时候，针对其新宿主的状况⽽编写新的病毒码，然后才进⾏感染，因

此，这种病毒没有固定的病毒码—以扫描病毒码的⽅式来检测病毒的查毒软件，遇上这种病毒

可就⼀点⽤都没有了。但反病毒软件随着病毒技术的发展⽽发展，针对这种病毒现在也有了有

效⼿段。

⼤多数⽂件型病毒都是常驻在内存中的。

⽂件型病毒分为源码型病毒、嵌⼊型病毒和外壳型病毒。源码型病毒是⽤⾼级语⾔编写

的，若不进⾏汇编、链接则⽆法传染扩散。嵌⼊型病毒是嵌⼊在程序的中间，它只能针对某个

具体程序，如dBASE病毒。这两类病毒受环境限制尚不多见。⽬前流⾏的⽂件型病毒⼏乎都是

外壳型病毒，这类病毒寄⽣在宿主程序的前⾯或后⾯，并修改程序的第⼀个执⾏指令，使病毒

先于宿主程序执⾏，这样随着宿主程序的使⽤⽽传染扩散。

⽂件外壳型病毒按其驻留内存⽅式可分为⾼端驻留型、常规驻留型、内存控制链驻留型、

设备程序补丁驻留型和不驻留内存型。混合型病毒综合系统型和⽂件型病毒的特性，它的“性

情”也就⽐系统型和⽂件型病毒更为“凶残”。此种病毒透过这两种⽅式来感染，更增加了病毒的

传染性以及存活率。不管以哪种⽅式传染，只要中毒就会经开机或执⾏程序⽽感染其他的磁盘

或⽂件，此种病毒也是最难杀灭的。

引导型病毒相对⽂件型病毒来讲，破坏性较⼤，但为数较少，直到90年代中期，⽂件型病

毒还是最流⾏的病毒。但近⼏年情形有所变化，宏病毒后来居上，据美国国家计算机安全协会

统计，这位“后起之秀”已占⽬前全部病毒数量的80%以上。另外，宏病毒还可衍⽣出各种变形变

种病毒，这种“⽗⽣⼦⼦⽣孙”的传播⽅式实在让许多系统防不胜防，这也使宏病毒成为威胁计算

机系统的“第⼀杀⼿”。

随着微软公司Word字处理软件的⼴泛使⽤和计算机⽹络尤其是Internet的推⼴普及，病毒家

族⼜出现⼀种新成员，这就是宏病毒。宏病毒是⼀种寄存于⽂档或模板的宏中的计算机病毒。

⼀旦打开这样的⽂档，宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以

后，所有⾃动保存的⽂档都会“感染”上这种宏病毒，⽽且如果其他⽤户打开了感染病毒的⽂档，

宏病毒⼜会转移到他的计算机上。

主编的微信：44054期待和你成为朋友！

觉得不错，请点赞↓↓↓