非驻留型病毒

非驻留型病毒是经典的文件感染型病毒,运行方式同步而快速:当宿主程序运行时,它会查找目标文件(通常是当前目录或 PATH 中的可执行文件),将自身代码附加或前置到目标文件,然后把控制权交还给宿主并退出内存。由于不驻留内存,它无法挂钩系统调用,也不能实时监控活动,但实现更简单,且对仅关注运行进程的工具来说更难检测。常见防御措施包括基于行为的反恶意软件以监控新文件修改和进程创建、对可执行文件进行代码签名与完整性校验,以及最小权限执行,防止非特权程序修改系统二进制文件。