（一）引导型病毒

引导扇区是大部分系统启动或引导指令所保存的地方，而且对所有的磁盘来讲，不管是否可以引导，都有一个引导扇区。引导型病毒感染的主要方式是计算机通过已被感染的引导盘（常见的如一个软盘）引导时发生的。

引导型病毒隐藏在ROMBIOS之中，先于操作系统，依托的环境是BIOS（Basic Input Output System，基本输入输出系统）中断服务程序。引导型病毒利用操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理地址为依据，而不是以操作系统引导区的内容为依据。因此，病毒占据该物理位置即可获得控制权，而将真正的引导区内容搬家转移或替换，待病毒程序被执行后，将控制权交给真正的引导区内容，使这个带病毒的系统看似正常运转，病毒却已隐藏在系统中伺机传染、发作，如图3-6所示。

图3-6　引导型病毒感染过程

引导型病毒按其所在的引导区不同又可分为两类，即MBR（主引导区）病毒、BR（引导区）病毒。MBR病毒将病毒寄生在硬盘分区主引导程序所占据的硬盘0头0柱面第1个扇区中。典型的病毒有大麻（Stoned）、2708等。BR病毒是将病毒寄生在硬盘逻辑0扇区或软盘逻辑0扇区（即0面0道第1个扇区），典型的病毒有“Brain”“小球”病毒等。

引导型病毒几乎都会常驻在内存中，差别只在于内存中的位置。所谓“常驻”，是指应用程序把要执行的部分在内存中驻留一份，这样就不必在每次要执行时都到硬盘中搜寻，以提高效率。

引导区感染了病毒，用格式化程序（Format）可清除病毒。如果主引导区感染了病毒，用格式化程序是不能清除该病毒的，可以用FDISK/MBR清除该病毒。

（二）文件型病毒

文件型病毒主要以可执行程序为宿主，一般感染文件扩展名为“.com”“.exe”和“.bat”等可执行程序。文件型病毒通常隐藏在宿主程序中，执行宿主程序时，将会先执行病毒程序再执行宿主程序，看起来仿佛一切都很正常。然后，病毒驻留内存，伺机传染其他文件或直接传染其他文件。

文件型病毒的特点是附着于正常程序文件，成为程序文件的一个外壳或部件。文件型病毒的安装必须借助于病毒的载体程序，即要运行病毒的载体程序，才能引入内存。“黑色星期五”“CIH”等就是典型的文件型病毒。根据文件型病毒寄生在文件中的方式不同，可以分为覆盖型文件病毒、依附型文件病毒、伴随型文件病毒，如图3-7所示。

(www.daowen.com)

图3-7　文件型病毒寄生方式

1.覆盖型文件病毒

此类计算机病毒的特征是覆盖所感染文件中的数据。也就是说，一旦某个文件感染了此类计算机病毒，即使将带毒文件中的恶意代码清除，文件中被其覆盖的那部分内容也不能恢复。对于覆盖型的文件则只能将其彻底删除。

2.依附型文件病毒

依附病毒会把自己的代码复制到宿主文件的开头或结尾处，并不改变其攻击目标（即该病毒的宿主程序），相当于给宿主程序加了一个“外壳”。然后，依附病毒常常是移动文件指针到文件末尾，写入病毒体，并修改文件的前二三个字节为一个跳转语句（JMP/EB），略过源文件代码而跳到病毒体。病毒体尾部保存了源文件中3个字节的数据，于是病毒执行完毕之后恢复数据并把控制权交回源文件。

3.伴随型文件病毒

并不改变文件本身，根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名。例如，“xcopy.exe”的伴随体晕“xcopy.com”。病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行，再由伴随体加载执行原来的EXE文件。

文件型病毒曾经是DOS时代病毒的特点，进入Windows之后，文件型病毒的数量下降很多。但2006年的维金和2007年初的“熊猫烧香”病毒“风靡”全国之后，文件型病毒不断增多，除了传统的文件感染方式外，还新增了如“瓢虫”“小浩”等新的覆盖式感染。这种不负责任的感染方式将导致中毒用户机器上的被感染文件无法修复，带来毁灭性的损坏。

（三）宏病毒

宏是Microsoft公司为其Office软件包设计的一个特殊功能，软件设计者为了让人们在使用软件进行工作时避免一再地重复相同的动作而设计出来的一种工具。利用简单的语法，把常用的动作写成宏，在工作时，可以直接利用事先编好的宏自动运行，完成某项特定的任务，而不必再重复相同的动作，目的是让用户文档中的一些任务自动化。

宏病毒主要以Microsoft Office的“宏”为宿主，寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，并能通过D0C文档及DOT模板进行自我复制及传播。