文件病毒:
典型的文件病毒通过以下的方式载入并复制自己:
1. 当一个受染程序被运行后,病毒控制后台及后续操作;如果该病毒是一个宏病毒,那么当打开一个带有受染宏程序的文档时(WORD,EXCEL),病毒开始控制系统。
2. 如果这个病毒是常驻内存型的,它将自己载入内存,控制文件运行和打开服务的调用。当系统调用该类操作时,病毒将入侵新的文件。
3. 如果该病毒不是常驻内存型的,它会立刻找寻一个新的感染对象:可能是当前目录中的第一个文件、一个固定的DOS目录文件或者是设计病毒的人预先定义的某个文件,然后取得这个原始文件的控制权。
引导病毒:
典型的引导病毒通过以下的方式载入并复制自己:
1. 电脑由一张受染磁盘引导而受到感染。
2. 电脑再次引导时,受到病毒的控制。
3. 病毒控制文件运行和打开服务的调用,使自己常驻内存。
4. 当电脑启动时,病毒使引导过程和以前看上去并无异样。
5. 最后,当有别的磁盘或硬盘访问系统时,病毒将自己复制到新的媒介上完成传染。
有两点必须注意的是:
1.即使我们未使用受染磁盘引导系统,病毒仍然可能感染电脑的引导扇区。
2.有的病毒既是引导病毒,同时也是文件病毒。电脑可能在执行此类受染文件后,引导扇区受到病毒感染。
病毒在网络环境中的传播
普通的病毒来源是:
*可移动媒介(软磁盘、CD-ROM、ZIP、Bernoulli等等)。
*通讯端口(互联网、BBS、电子邮件等)。
所有配备上述设备和通讯机制的工作站或服务器都是病毒潜在的攻击对象。
网络环境中最基本的问题是服务器实际上扮演着病毒中转站的角 色。服务器中只要有一个共享程序或文件受到感染,那么连接到这个共享资源的用户势必受到感染。这一问题在宏病毒出现后变得更加严峻。因为宏病毒的感染对象是文档,而文档是普通公司中使用最广泛的文件类型。
受染文件存在服务器有以下原因:
受染文件直接由工作站拷贝至服务器。
由服务器自己的可移动媒介复制到硬盘上。
一个带有受染文件的备份被恢复至系统。
病毒由服务器的通讯端口传入系统。
一个工作站上被激活的引导型病毒不能影响服务器,因为它没有通过网卡控制远程读、写服务的能力。
