CyberGlossary

恶意软件

驻留型病毒

别称: 内存驻留病毒

定义

将自身安装在内存中的病毒,能够持续运行,并在宿主程序退出后很久仍可感染文件或进程。

驻留型病毒在执行过程中将代码加载到内存中,即使引入它的程序已经退出仍保持活动。驻留在内存后,它可以挂钩系统调用、监控文件活动,并感染每个被打开、复制或保存的可执行文件或文档。这种持续性使其更难清除,因为它可以立刻再次感染刚清理过的文件。这类病毒多见于 Windows/DOS 时代,通过中断或系统服务嵌入自身。常见防御包括基于行为的反病毒以监控进程注入与内存挂钩、现代 OS 的漏洞利用防护、应用程序白名单,以及在干净的离线环境中进行的全盘扫描。

示例

  • Randex 和 CMJ 等经典 DOS 驻留型病毒。
  • Magistr 和 Funlove 通过挂钩 Windows API,在访问可执行文件时进行感染。

相关术语