计算机病毒按寄生方式分为哪几类

计算机病毒按寄生方式分为以下几类：

• 文件病毒：该病毒在操作系统执行文件时取得控制权并把自己依附在可执行文件上，然后，利用这些指令来调用附在文件中某处的病毒代码。当文件执行时，病毒会调出自己的代码来执行，接着又返回到正常的执行系列。通常，这些过程发生得很快，以至于用户难以察觉病毒代码已被执行。

• 引导扇区病毒：它会潜伏在软盘的引导扇区、硬盘的引导扇区或主引导记录（分区扇区中插入指令）。此时，如果计算机从被感染的软盘引导时，病毒就会感染到引导硬盘，并把自己的代码调入内存。软盘并非一定是可引导的才能传播病毒，病毒可驻留在内存中并感染被访问的软盘。触发引导区病毒的典型事件是系统日期和时间。

• 多裂变病毒：多裂变病毒是文件和引导扇区病毒的混合种，它能感染可执行文件，从而在网上迅速传播蔓延。

• 秘密病毒：这种病毒通过挂接中断把它所进行的修改和自己的真面目隐藏起来，具有很大的欺骗性。因此，当某系统函数被调用时，这些病毒便“伪造”结果，使一切看起来非常正常。秘密病毒摧毁文件的方式是伪造文件大小和日期，隐藏对引导区的修改，而且使大多读操作重定向。

• 异形病毒：这是一种能变异的病毒，随着感染时间的不同而改变其不同的形式。不同的感染操作会使病毒在文件中以不同的方式出现，使传统的模式匹配法对此显得软弱无力。

• 宏病毒：宏病毒不只是感染可执行文件，它也可以感染一般文件。虽然宏病毒不会有严重的危害，但它仍令人讨厌，因为它会影响系统的性能以及用户的工作效率。宏病毒是利用宏语言编写的，不面向操作系统，所以，它不受操作平台的约束，可以在DOS、Windows、Unix、Linux、Mac甚至在OS2系统中散播。这就是说，宏病毒能被传播到任何可运行编写宏病毒的应用程序的机器中。

可以通过以下方法来检测是否存在病毒程序：

• 直接检查法：感染了病毒的计算机系统的内部会发生某些变化，并会在一定的条件下表现出来，因而可以通过直接观察法来判断系统是否感染病毒。

• 特征代码法：特征代码法是检测已知病毒的最简单、最经济的方法。为了实现特征代码法，需要采集已知病毒样本，依据如下原则抽取特征代码抽取的代码比较特殊，不大可能与普通的正常程序代码吻合；抽取的代码要有适当的长度，一方面要维持特征代码的唯一性，另一方面要尽量使特征代码长度短些，以减少空间与时间开销。

• 校验和法：校验和法是指计算正常文件内容的校验和，并将该校验和写入文件中或写入别的文件中进行保存。在文件使用过程中，定期地或每次使用文件前，检查文件当前内容算出的校验和与原来保存的校验和是否一致，从而发现文件是否被感染。

• 行为监测法：利用病毒的特有行为来监测病毒的方法，称为行为监测法。通过对病毒多年的观察和研究发现，有一些行为是病毒的共同行为，而且比较特殊。在正常程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警。

• 软件模拟法：多态性病毒在每次感染时都会变化其病毒密码，对付这种病毒，特征代码法将失效。因为多态性病毒代码实施密码化，而且每次所用密钥不同，所以即使将感染了病毒的代码相互比较，也无法找出相同的可能作为特征的稳定代码。虽然行为检测法可以检测多态性病毒，但是在检测出病毒后，因为不清楚病毒的种类，所以难以做消毒处理。为了检测多态性病毒，可应用新的检测方法——软件模拟法，即用软件方法来模拟和分析程序的运行。