计算机病毒按什么分，可分为引导型病毒、文件型病毒和混合型病毒？

　(1)系统病毒

系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的一般共有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播。如CIH病毒。

(2)蠕虫病毒

蠕虫病毒的前缀是：Worm。这种病毒的共有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波（阻塞网络），小邮差（发带毒邮件） 等。

(3)木马病毒、黑客病毒

木马病毒其前缀是：Trojan，黑客病毒前缀名一般为 Hack 。木马病毒的共有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ，还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点，病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能（这些字母一般都为“密码”的英文“password”的缩写）一些黑客程序如：网络枭雄（Hack.Nether.Client）等。

(4)脚本病毒

脚本病毒的前缀是：Script。脚本病毒的共有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码（Script.Redlof）。脚本病毒还会有如下前缀：VBS、JS（表明是何种脚本编写的），如欢乐时光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。

(5)宏病毒

其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel97（也许还有别的）其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀，格式是：Macro.Word97；凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀，格式是：Macro.Excel97；凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀，格式是：Macro.Excel，以此类推。该类病毒的共有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播，如：著名的美丽莎（Macro.Melissa）。

(6)后门病毒

后门病毒的前缀是：Backdoor。该类病毒的共有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。

(7)病毒种植程序病毒

这类病毒的共有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者（Dropper.BingHe2.2C）、MSN射手（Dropper.Worm.Smibag）等。

(8)破坏性程序病毒

破坏性程序病毒的前缀是：Harm。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。如：格式化C盘（Harm.formatC.f）、杀手命令（Harm.Command.Killer）等。

(9)玩笑病毒

玩笑病毒的前缀是：Joke。也称恶作剧病毒。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。如：女鬼（Joke.Girl ghost）病毒。

(10)捆绑机病毒

捆绑机病毒的前缀是：Binder。这类病毒的共有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害。如：捆绑QQ（Binder.QQPass.QQBin）、系统杀手（Binder.killsys）等。

木马病毒的特征

木马的基本特征

木马是病毒的一种，同时木马程序又有许多种不同的种类，那是受不同的人、不同时期开发来区别的，如BackOrifice(BO)、BackOrifice2000、Netspy、Picture、Netbus、Asylum、冰河等等这些都属于木马病毒种类。综合现在流行的木马程序，它们都有以下基本特征：

1、隐蔽性是其首要的特征

如其它所有的病毒一样，木马也是一种病毒，它必需隐藏在你的系统之中，它会想尽一切办法不让你发现它。很多人的对木马和远程控制软件有点分不清，因为我前面讲了木马程序就要通过木马程序驻留目标机器后通过远程控制功能控制目标机器。实际上他们两者的最大区别就是在于这一点，举个例子来说吧，象我们进行局域网间通讯的常软件——PCanywhere大家一定不陌生吧，大家也知道它是一款远程通讯软件。PCanwhere在服务器端运行时，客户端与服务器端连接成功后客户端机上会出现很醒目的提示标志。而木马类的软件的服务器端在运行的时候应用各种手段隐藏自己,不可能还出现什么提示，这些黑客们早就想到了方方面面可能发生的迹象，把它们扼杀了。例如大家所熟悉木马修改注册表和ini文件以便机器在下一次启动后仍能载入木马程式，它不是自己生成一个启动程序，而是依附在其它程序之中。有些把服务器端和正常程序绑定成一个程序的软件,叫做exe-binder绑定程式，可以让人在使用绑定的程式时，木马也入侵了系统，甚至有个别木马程序能把它自身的exe文件和服务器端的图片文件绑定，在你看图片的时候，木马也侵入了你的系统。 它的隐蔽性主要体现在以下两个方面：

a、不产生图标

它虽然在你系统启动时会自动运行，但它不会在“任务栏”中产生一个图标，这是容易理解的，不然的话，凭你的火眼金睛你一定会发现它的。我们知道要想在任务栏中隐藏图标，只需要在木马程序开发时把“Form”的“Visible ”属性设置为“False”、把“ShowintaskBar”属性设置为“Flase”即可；

b、木马程序自动在任务管理器中隐藏，并以“系统服务”的方式欺骗操作系统。

2、它具有自动运行性

它是一个当你系统启动时即自动运行的程序，所以它必需潜入在你的启动配置文件中，如win.ini、system.ini、winstart.bat以及启动组等文件之中。

3、木马程序具有欺骗性

木马程序要达到其长期隐蔽的目的，就必需借助系统中已有的文件，以防被你发现，它经常使用的是常见的文件名或扩展名，如“dll\win\sys\explorer等字样，或者仿制一些不易被人区别的文件名，如字母“l”与数字“1”、字母“o”与数字“0”，常修改基本个文件中的这些难以分辨的字符，更有甚者干脆就借用系统文件中已有的文件名，只不过它保存在不同路径之中。还有的木马程序为了隐藏自己，也常把自己设置成一个ZIP文件式图标，当你一不小心打开它时，它就马上运行。等等这些手段那些编制木马程序的人还在不断地研究、发掘，总之是越来越隐蔽，越来越专业，所以有人称木马程序为“骗子程序”。

4、具备自动恢复功能

现在很多的木马程序中的功能模块已不再是由单一的文件组成，而是具有多重备份，可以相互恢复。

5、能自动打开特别的端口

木马程序潜入人的电脑之中的目的不主要为了破坏你的系统，更是为了获取你的系统中有用的信息，这样就必需当你上网时能与远端客户进行通讯，这样木马程序就会用服务器/客户端的通讯手段把信息告诉黑客们，以便黑客们控制你的机器，或实施更加进一步入侵企图。你知不知道你的电脑有多少个对外的“门”，不知道吧，告诉你别吓着，根据TCP/IP协议，每台电脑可以有256乘以256扇门，也即从0到65535号“门，但我们常用的只有少数几个，你想有这么门可以进，还能进不来？当然有门我们还是可以关上它们的，这我在预防木马的办法中将会讲到。

6、 功能的特殊性

通常的木马的功能都是十分特殊的，除了普通的文件操作以外，还有些木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能,上面所讲的远程控制软件的功能当然不会有的，毕竟远程控制软件是用来控制远程机器，方便自己操作而已，而不是用来黑对方的机器的。

7、黑客组织趋于公开化

以往还从未发现有什么公开化的病毒组织（也许是我孤陋寡闻），多数病毒是由个别人出于好奇（当然也有专门从事这一职业的），想试一下自己的病毒程序开发水平而做的，但他（她）绝对不敢公开，因为一旦发现是有可能被判坐牢或罚款的，这样的例子已不再什么新闻了。如果以前真的也有专门开发病毒的病毒组织，但应绝对是属于“地下”的。现在倒好，什么专门开发木马程序的组织到处都是，不光存在，而且还公开在网上大肆招兵买马，似乎已经合法化。正因如此所以黑客程序不断升级、层出不穷，黑的手段也越来越高明。我不知道为什么，但据讲其理由是“为了自卫、为了爱国” 。

木马入侵的常用手法及清除方法

手机中了木马病毒会怎样？有什么表现形式？会有什么危害？

手机中了木马病毒的表现形式是：

1、手机系统运行变慢。

2、手机变得越来越卡。

手机中了木马病毒的危害是：

1、出现恶意弹窗。

2、话费被恶意扣费。

3、手机中的账号被盗。

防止手机中木马病毒的方法：

1、不轻易打开陌生邮件。

2、不加陌生好友。

3、不乱进不安全网站。

4、不乱下载。

5、不要乱扫描。

6、连接电脑等，主要开启防火墙。

7、注意手机内部保护，安装安全软件。

木马病毒有哪些种类？

来看木马病毒的种类，第一类木马病毒是游戏木马，主要通过一些游戏的脚本和外挂程序入侵用户。被木马病毒感染的游戏用户，在用键盘输入帐号木马的时候，个人信息就会被病毒制造者知晓。而因为游戏用户数量众多，掉进游戏木马病毒坑中的人数还真的不少。第二类是网银木马，受害者的卡号、密码甚至是安全证书都可能被不法分子窃取。这类病毒危害性更大，更容易对用户造成损害。第三类是下载类木马病毒，这类木马病毒的体积普遍很小，能够从网络上移植其他病毒到用户电脑，或者是安装广告软件，这类木马病毒也极易传播。第四类是代理类病毒，一般黑客会将感染代理类病毒的电脑当作跳板，借用被感染电脑用户的身份来活动。第五类是FTP木马，这类木马能够打开被控制计算机的21号端口，使得每一个人都可以用FTP客户端来连接到被控制的计算机。第六类是网页点击类木马，主要就是为了赚取高额的点计费编写的。

计算机病毒的分类，及各类的特点，并举例。

1、系统病毒

系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播。如CIH病毒。

2、蠕虫病毒

蠕虫病毒的前缀是：Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波（阻塞网络），小邮差（发带毒邮件） 等。

3、木马病毒、黑客病毒

木马病毒其前缀是：Trojan，黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ，还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点，病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能（这些字母一般都为“密码”的英文“password”的缩写）一些黑客程序如：网络枭雄（Hack.Nether.Client）等。

4、脚本病毒

脚本病毒的前缀是：Script。脚本病毒的公有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码（Script.Redlof）。脚本病毒还会有如下前缀：VBS、JS（表明是何种脚本编写的），如欢乐时光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。

5、宏病毒

其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel97（也许还有别的）其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀，格式是：Macro.Word97；凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀，格式是：Macro.Excel97；凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀，格式是：Macro.Excel，依此类推。该类病毒的公有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播，如：著名的美丽莎(Macro.Melissa)。

6、后门病毒

后门病毒的前缀是：Backdoor。该类病毒的公有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。

7、病毒种植程序病毒

这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者（Dropper.BingHe2.2C）、MSN射手(Dropper.Worm.Smibag)等。

8．破坏性程序病毒

破坏性程序病毒的前缀是：Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。如：格式化C盘（Harm.formatC.f）、杀手命令（Harm.Command.Killer）等。

9．玩笑病毒

玩笑病毒的前缀是：Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。如：女鬼（Joke.Girlghost）病毒。

10．捆绑机病毒

捆绑机病毒的前缀是：Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害。如：捆绑QQ（Binder.QQPass.QQBin）、系统杀手（Binder.killsys）等。

以上为比较常见的病毒前缀，有时候我们还会看到一些其他的，但比较少见，这里简单提一下：

DoS：会针对某台主机或者服务器进行DoS攻击；

Exploit：会自动通过溢出对方或者自己的系统漏洞来传播自身，或者他本身就是一个用于Hacking的溢出工具；

HackTool：黑客工具，也许本身并不破坏你的机子，但是会被别人加以利用来用你做替身去破坏别人。

手机中木马病毒会有什么表现

在电脑运行的木马病毒一般不会传到手机上，即使内存卡被感染也不会发作，因为操作系统不一样。

手机病毒是专门针对手机系统的，电脑病毒对手机无效的。

手机中毒，会连续不停发短信，或者泄漏你的隐私，监听你的通话，短信等。

如果是智能手机，可以装手机杀毒软件，金山，江民，360都是免费的。

非智能手机一般不会中毒

计算机病毒的分类有哪些？

1、按感染对象分为引导型、文件型、混合型、宏病毒,文件型病毒主要攻击的对象是.com及、exe等可执行文件;按其破坏性分良性病毒、恶性病毒!

2、

按照病毒程序入侵系统的途径，可将计算机病毒分为以下四种类型：

•

操作系统型：这种病毒最常见，危害性也最大。

•

外壳型：这种病毒主要隐藏在合法的主程序周围，且很容易编写，同时也容易检查和删除。

•

入侵型：这种病毒是将病毒程序的一部分插入到合法的主程序中，破坏原程序。这种病毒的编写比较困难。

•

源码型：这种病毒是在源程序被编译前，将病毒程序插入到高级语言编写的源程序中，经过编译后，成为可执行程序的合法部分。这种程序的编写难度较大，一旦插入，其破坏性极大。

病毒的种类，以及怎样区分他们，木马病毒怎样识别！！！

你好：

一.病毒的分类

二.木马的识别

一.病毒的分类

E-mail 蠕虫：E-mail 蠕虫通过E-mail来进行传播。大部分情况下，该类蠕虫通过将其自身的副本作为邮件的附件或正文中的链接发送，再诱骗接收者运行附件或点击链接下载文件的方式来进行传播。

IM 蠕虫：该类蠕虫通过IM（即时通讯工具）客户端进行传播，这一类的客户端包括：ICQ，MSN，AOL Instant Messenger，雅虎通，QQ 或 Skype。

通常，这一类蠕虫都会使用联系人列表来发送包含一个链接的信息，这个链接可能会引导用去到其网站上下载一个包含该蠕虫副本的文件，当用户下载并运行该类文件后，蠕虫将激活。

IRC 蠕虫：这一类的蠕虫通过互联网多线聊天系统（IRC，一种用于多人在互联网上实时聊天的服务系统）来进入用户的计算机。

该类蠕虫将会在互联网聊天室中发布包含其副本的文件或是到此类文件的链接。当用户下载并打开此类文件时，病毒将被激活。

Net-蠕虫:该类蠕虫通过网络进行传播。

与其它种类的蠕虫不同，网络蠕虫实在没有用户的参与下进行传播的。它们会搜索本地网络中使用了包含漏洞程序的计算机。为了实现搜索，它们会发送特殊的包含其自身代码或部分此类代码的网络数据包。如果网络中存在一个具有漏洞的计算机，这类计算机就将收到此类数据包。一旦蠕虫成功地完全感染该计算机，它就将激活。

P2P-蠕虫:文件交换蠕虫将通过点到点的文件交换网络进行传播，如：Kazaa，Grokster，EDonkey，FastTrack，BT或 Gnutella。

其它蠕虫:其它的网络蠕虫还包括：

通过网络资源传播其副本的蠕虫。如通过可用的网络文件夹等进行传播。

使用不包含在以上表格中所列方式进行传播的蠕虫。

压缩包炸弹型木马程序:一类压缩包，当对它们进行解压缩时，它们的大小将会增大到足以让计算机工作中断的地步。当您尝试解开这一类压缩包时，计算机将会开始工作缓慢或是停滞，硬盘中将会被空的数据文件填满。压缩包炸弹对于文件和邮件服务器是最为危险的。

远程管理型木马程序:这一类的程序是木马程序中最为危险的，黑客可以通过它们随时对计算机进行远程管理。这些程序是在用户毫不知晓的情况下进行安装的， 然后其会将计算机的远程管理权限提供给入侵者。

木马:木马包含以下的恶意程序：

经典的木马程序： 该类木马只会执行木马程序的主要功能，如阻止、修改或清除数据，中断计算机或计算机网络的运行。它们不会具备该表格中描述的其它种类木马程序的特征。

多目的的木马程序：该类的木马具有其它木马程序的附加功能。

勒索敲诈型木马程序:该类木马程序会劫持用户计算机上的“人质”信息，修改或是隐藏这些信息，或是中断计算机的工作使用户无法使用这些数据。然后，入侵者会向用户要求赎金，以交换用户恢复数据的程序。

点击型木马:该类程序会从用户计算机来访问网页 - 它们会通过向网页浏览器发送命令或是替换存储在系统文件中的网页地址来实现这一操作。

入侵者通过使用这样的程序，就能够阻止针对某个网站的网络攻击，或是帮助某些网站增加访问量，提高广告条的播出率。

下载型木马:该类木马程序将会访问入侵者的网页，从其上下载其它的恶意程序，并将其安装在用户计算机上。它们会将可下载的恶意程序文件名存储在自身中或是在登录网站时从网站获取。

释放型木马:该类程序自身会包含其它的木马程序，能够将它们释放至计算机磁盘上并且安装。

入侵者可以使用释放型木马：

在用户不知情的情况下安装恶意程序：释放型木马在安全恶意程序时不会显示任何信息或是显示假冒的报错信息。如，提示压缩包有错误，或是与操作系统版本不兼容等；

保护其它的已知恶意程序不被发现：并不是所有的反病毒程序都能够检测出包含在释放型木马中的恶意程序。

通知型木马:这类木马程序会通知入侵者受感染的计算机已联网，并且把该计算机的相关信息发送给入侵者，包括：IP地址、开放端口号或邮件地址等。它们会通过邮件、FTP、访问入侵者网页或其它的方式与入侵者联系。

代理型木马:这类木马将会帮助入侵者匿名使用用户的计算机作为访问网页的代理，也会使用户计算机发送垃圾邮件。

盗取密码型木马:会盗取密码的木马程序。它们会盗取用户的账户信息，如软件的注册信息等。它们会在注册表和文件系统中搜寻用户的私密信息，然后通过电子邮件、FTP或登录入侵者网站等方式将其传送给入侵者。

间谍程序型木马:该类程序用于对用户的行为进行刺探，它们会收集用户在计算机上的操作信息。如，它们会截取用户通过键盘输入的数据，对屏幕进行截屏，以及收集活动程序列表等。然后，它们会通过电子邮件、FTP或登录入侵者网站等方式将其传送给入侵者。

网络攻击型木马:该类程序会从用户计算机端向远端的服务器发送大量的数据请求，服务器的资源就会被这样的攻击耗尽，从而停止服务(拒绝服务 (DoS))。该类程序常被用于感染大量的计算机，然后通过它们对服务器发起攻击。

等等，还有很多，以上只是一个简单的分类。要想查看更多相关信息，请访问：http://www.viruslist.com查询,该网站是卡巴斯基的网站。

二.木马的识别

1.简单分析（分析其行为）

2.逆向工程工具分析（IDAPro, OllyDBG, Immunity DBG, SoftICE,GDB）

1.利用工具查看该程序做了哪些操作（需要一定的专业知识）

2.病毒分析人员利用工具分析

1）精通X86，C,C++等

2）系统底层知识

3）熟悉各种常用互联网协议

4）熟练运用IDAPro, OllyDBG, Immunity DBG, SoftICE,GDB等逆向工程工具

5）熟悉Perl, Python等脚本语言

卡巴斯基Eric