论文部分内容阅读
通过前两期的介绍,我们知道病毒名是由以下6字段组成的:毒名是由以下6字段组成的:“主行为类型.子行为类型.宿主文件类型.主名称.版本信息.主名称变种号#附属名称.附属名称变种号.病毒长度”。其中字段之间使用“.”分隔,#号以后属于内部信息,为推举结构。下面我们继续说明病毒名的附属名称、附属名称变种号、病毒长度和宿主文件类型。
附属名称
病毒所使用的有辅助功能的可运行的文件,通常也作为病毒添加到病毒库中,这种类型的病毒记录需要附属名称来与病毒主体的病毒记录进行区分。附属名称目前有以下几种:
Client:后门程序的控制端
KEY_HOOK:用于挂接键盘的模块
API_HOOK:用于挂接API的模块
Install:用于安装病毒的模块
Dll:文件为动态库,并且包含多种功能
空:没有附属名称,这条记录是病毒主体记录
附属名称变种号
如果病毒的主行为类型、行为类型、宿主文件类型、主名称、主名称变种号、附属名称均相同,则认为是同一家族的病毒,这时需要变种号来区分不同的病毒记录。变种号为小写字母a~z,如果一位版本号不够用则最多可以扩展3位,如:aa、ab、aaa、aab以此类推。由系统自动计算,不需要人工输入或选择。
病毒长度
病毒长度字段只用于主行为类型为感染型(Virus)的病毒,字段的值为数字。字段值为0,表示病毒长度可变。
宿主文件类型
宿主文件是指病毒所使用的文件类型,有是否显示的属性。目前的宿主文件有以下几种:
JS(JavaScript)、VBS(VBScript)、HTML、Java、COM、EXE(Dos下的Exe文件)、Boot(硬盘或软盘引导区)、Word、Excel、PE(Windows下PE可执行文件)、WinREG(注册表文件)、Ruby脚本、Python脚本、BAT脚本文件、IRC脚本。
附属名称
病毒所使用的有辅助功能的可运行的文件,通常也作为病毒添加到病毒库中,这种类型的病毒记录需要附属名称来与病毒主体的病毒记录进行区分。附属名称目前有以下几种:
Client:后门程序的控制端
KEY_HOOK:用于挂接键盘的模块
API_HOOK:用于挂接API的模块
Install:用于安装病毒的模块
Dll:文件为动态库,并且包含多种功能
空:没有附属名称,这条记录是病毒主体记录
附属名称变种号
如果病毒的主行为类型、行为类型、宿主文件类型、主名称、主名称变种号、附属名称均相同,则认为是同一家族的病毒,这时需要变种号来区分不同的病毒记录。变种号为小写字母a~z,如果一位版本号不够用则最多可以扩展3位,如:aa、ab、aaa、aab以此类推。由系统自动计算,不需要人工输入或选择。
病毒长度
病毒长度字段只用于主行为类型为感染型(Virus)的病毒,字段的值为数字。字段值为0,表示病毒长度可变。
宿主文件类型
宿主文件是指病毒所使用的文件类型,有是否显示的属性。目前的宿主文件有以下几种:
JS(JavaScript)、VBS(VBScript)、HTML、Java、COM、EXE(Dos下的Exe文件)、Boot(硬盘或软盘引导区)、Word、Excel、PE(Windows下PE可执行文件)、WinREG(注册表文件)、Ruby脚本、Python脚本、BAT脚本文件、IRC脚本。