病毒的分类
充分了解敌人，就要对其进行分析和细化
福建省永春第七中学 林志健
qzlzj@
对病毒的分类有不同的标准


按破坏性分 按传染方式分 按连接方式分 根据病毒特有的算法划分
按破坏性可分为

良性病毒：仅仅显示信息、奏乐、发 出声响，自我复制的。除了传染时减 少磁盘的可用空间外，对系统没有其 他影响。
恶性病毒：封锁、干扰、中断输入输 出、使用户无法打印等正常工作，甚 至电脑中止运行。这类病毒在计算机 系统操作中造成严重的错误。


极恶性病毒：死机、系统崩溃、 删除普通程序或系统文件，破坏 系统配置导致系统死机、崩溃、 无法重启。这些病毒对系统造成 的危害，并不是本身的算法中存 在危险的调用，而是当它们传染 时会引起无法预料的和灾难性的 破坏。 灾难性病毒：破坏分区表信息、 主引导信息、FAT，删除数据文 件，甚至格式化硬盘等。

3、表现部分是病毒间差异最大 的部分，前两个部分也是为这部 分服务的。大部分的病毒都是有 一定条件才会触发其表现部分的。 如：以时钟、计数器作为触发条 件的或用键盘输入特定字符来触 发的。这一部分也是最为灵活的 部分，这部分根据编制者的不同 目的而千差万别，或者根本没有 这部分。
福建省永春第七中学 林志健

按传染方式分为

பைடு நூலகம்文件型病毒：一般只传染磁盘上的可 执行文件（COM，EXE）。在用户调 用染毒的可执行文件时，病毒首先被 运行，然后病毒驻留内存伺机传染其 他文件或直接传染其他文件。其特点 是附着于正常程序文件，成为程序文 件的一个外壳或部件。这是较为常见 的传染方式。 混合型病毒：兼有以上两种病毒的特 点，既染引导区又染文件，因此扩大 了这种病毒的传染途径。

按连接方式分为

源码型病毒：较为少见，亦难以编写。 因为它要攻击高级语言编写的源程序， 在源程序编译之前插入其中，并随源 程序一起编译、连接成可执行文件。 此时刚刚生成的可执行文件便已经带 毒了。 入侵型病毒：可用自身代替正常程序 中的部分模块或堆栈区。因此这类病 毒只攻击某些特定程序，针对性强。 一般情况下也难以被发现，清除起来 也较困难。

“蠕虫”型病毒：通过计算机网络 传播，不改变文件和资料信息， 利用网络从一台机器的内存传播 到其他机器的内存，计算网络地 址，将自身的病毒通过网络发送。 有时它们在系统存在，一般除了 内存不占用其他资源。 寄生型病 毒：除了伴随和“蠕虫”型，其 他病毒均可称为寄生型病毒，它 们依附在系统的引导扇区或文件 中，通过系统的功能进行传播。


操作系统型病毒：可用其自身部 分加入或替代操作系统的部分功 能。因其直接感染操作系统，这 类病毒的危害性也较大。

外壳型病毒：将自身附在正常程 序的开头或结尾，相当于给正常 程序加了个外壳。大部份的文件 型病毒都属于这一类。
根据病毒特有的算法可以划分为：

伴随型病毒：这一类病毒并不改 变文件本身，它们根据算法产生 EXE文件的伴随体，具有同样的 名字和不同的扩展名（COM）， 例如：XCOPY.EXE的伴随体是 。病毒把自身写入 COM文件并不改变EXE文件，当 DOS加载文件时，伴随体优先被 执行到，再由伴随体加载执行原 来的EXE文件。
qzlzj@
总结:

计算机病毒的种类虽多，但对病 毒代码进行分析、比较可看出， 它们的主要结构是类似的，有其 共同特点。整个病毒代码虽短小 但也包含三部分：引导部分，传 染部分，表现部分。


1、引导部分的作用是将病毒主 体加载到内存，为传染部分做准 备（如驻留内存，修改中断，修 改高端内存，保存原中断向量等 操作）。 2、传染部分的作用是将病毒代 码复制到传染目标上去。不同类 型的病毒在传染方式，传染条件 上各有不同。

练习型病毒：病毒自身包含错误， 不能进行很好地传播，例如一些 病毒在调试阶段。 诡秘型病毒：它们一般不直接修 改DOS中断和扇区数据，而是通 过设备技术和文件缓冲区等DOS 内部修改，不易看到资源，使用 比较高级的技术。利用DOS空闲 的数据区进行工作。


变型病毒（又称幽灵病毒）：这 一类病毒使用一个复杂的算法， 使自己每传播一份都具有不同的 内容和长度。它们一般的作法是 一段混有无关指令的解码算法和 被变化过的病毒体组成。