電腦病毒命名方法
電腦病毒命名方法
很多時候大家已經(jīng)用殺毒軟件查出了自己的機子中了例如Backdoor.RmtBomb.12 、Trojan.Win32.SendIP.15 等等這些一串英文還帶數(shù)字的病毒名,這時有些人就蒙了,那么長一串的名字,我怎么知道是什么病毒啊?下面由學(xué)習(xí)啦小編為您介紹電腦病毒命名方法,希望能幫助您。
電腦病毒命名方法:
其實只要我們掌握一些病毒的命名規(guī)則,我們就能通過殺毒軟件的報告中出現(xiàn)的病毒名來判斷該病毒的一些共有的特性了:一般格式為:<病毒前綴>.<病毒名>.<病毒后綴>
病毒前綴是指一個病毒的種類,他是用來區(qū)別病毒的種族分類的。不同的種類的病毒,其前綴也是不同的。比如我們常見的木馬病毒的前綴 Trojan ,蠕蟲病毒的前綴是 Worm 等等還有其他的。
病毒名是指一個病毒的家族特征,是用來區(qū)別和標識病毒家族的,如以前著名的CIH病毒的家族名都是統(tǒng)一的“ CIH ”,振蕩波蠕蟲病毒的家族名是“ Sasser ”。
病毒后綴是指一個病毒的變種特征,是用來區(qū)別具體某個家族病毒的某個變種的。一般都采用英文中的26個字母來表示,如 Worm.Sasser.b 就是指 振蕩波蠕蟲病毒的變種B,因此一般稱為 “振
蕩波B變種”或者“振蕩波變種B”。如果該病毒變種非常多,可以采用數(shù)字與字母混合表示變種標識。
主名稱
病毒的主名稱是由分析員根據(jù)病毒體的特征字符串、特定行為或者所使用的編譯平臺來定的,如果無法確定則可以用字符串”Agent”來代替主名稱,小于10k大小的文件可以命名為“Samll”。
版本信息
版本信息只允許為數(shù)字,對于版本信息不明確的不加版本信息。
主名稱變種號
如果病毒的主行為類型、行為類型、宿主文件類型、主名稱均相同,則認為是同一家族的病毒,這時需要變種號來區(qū)分不同的病毒記錄。如果一位版本號不夠用則最多可以擴展3位,并且都均為小寫字母a—z,如:aa、ab、aaa、aab以此類推。由系統(tǒng)自動計算,不需要人工輸入或選擇。
附屬名稱
病毒所使用的有輔助功能的可運行的文件,通常也作為病毒添加到病毒庫中,這種類型的病毒記錄需要附屬名稱來與病毒主體的病毒記錄進行區(qū)分。附屬名稱目前有以下幾種:
Client 說明:后門程序的控制端
KEY_HOOK 說明:用于掛接鍵盤的模塊
API_HOOK 說明:用于掛接API的模塊
Install 說明:用于安裝病毒的模塊
Dll 說明:文件為動態(tài)庫,并且包含多種功能
(空) 說明:沒有附屬名稱,這條記錄是病毒主體記錄
附屬名稱變種號
如果病毒的主行為類型、行為類型、宿主文件類型、主名稱、主名稱變種號、附屬名稱均相同,則認為是同一家族的病毒,這時需要變種號來區(qū)分不同的病毒記錄。變種號為不寫字母a—z,如果一位版本號不夠用則最多可以擴展3位,如:aa、ab、aaa、aab以此類推。由系統(tǒng)自動計算,不需要人工輸入或選擇。
病毒長度
病毒長度字段只用于主行為類型為感染型(Virus)的病毒,字段的值為數(shù)字。字段值為0,表示病毒長度可變。
看了“電腦病毒命名方法”此文的人還看了:
1.病毒命名規(guī)則有哪些
2.電腦病毒名稱