何謂電腦病毒何謂電腦病毒所謂「電腦病毒」,事實上就是一電腦程式,與一般電腦程式不同的地方,是病毒程式會惡意地複製自己,將病毒程式植入其他電腦檔案。有這種舉動的程式,便可稱是「病毒」。電腦病毒在特別的設計下,電腦使用者無法察覺,造成電腦系統的損害或使用者的困擾。  這種感染式的做法,除了透過磁片及網路,隨著Internet的盛行,透過電子郵件夾帶病毒附件、Script碼(Javascript、VBscript)、網路元件(Javaapplet、ActiveX)的傳染方式如今相當普遍。電腦病毒的生命週期(1)創造期當電腦駭客們花了數天或數週努力的研究出一些可以廣為散佈的程式碼,電腦病毒就這樣誕生了。當然,他們是不會這樣就算了的,他們通常都會設計一些破壞的行為在其中。(2)孕育期這些電腦駭客們會將這些含有電腦病毒的檔案放在一些容易散播的地方。如BBS站,Internet的FTP站,甚至是公司或是學校的網路中等等。(3)潛伏期在潛伏期中,電腦病毒會不斷地繁殖與傳染。一個完美的病毒擁有很長的潛伏期,如此一來病毒就有更多的時間去傳染到更多的地方,更多的使用者,一旦發病將會造成更大的傷害。例如世界知名的米開朗基羅病毒,在每年 三月六日 發作前,有整整一年設計裝潢的潛伏期。(4)發病期當一切條件形成之後,病毒於是就開始破壞的動作。有些病毒會在某些特定的日期發病,有些則自己有個倒數計時裝置來決定發病的時間。雖然有些病毒並沒有發病時的破壞動作,但是它們仍然會佔據一些系統資源,而降低系統運作的效率。(5)根除期如果有夠多的防毒軟體能夠偵測及控制這些病毒,並且有夠多的使用者購買了防毒軟體,那麼這些病毒就有機會被連根撲滅。雖然到現在為止,並沒有人敢宣稱某一隻病毒完全絕跡,但是有些病毒已經很明顯的被完全制止了,如早期的DiskKiller等。電腦病毒型態分類(1)檔案型  檔案型病毒通常寄生在可執行檔(如*.COM,*.EXE等)中。當這些檔案被執行時,病毒的程式就跟著被執行。檔案型的病毒依傳染方式的不同,又分成非常駐型以及常駐型兩種:  (A)非常駐型病毒(Non-memoryResidentVirus):非常駐型病毒將自己寄生在  *.COM,*.EXE或是*.SYS的檔案中。當這些中毒的程式被執行時,就會嘗試地  去傳染給另一個或多個檔案。著名的非常駐型病毒有︰ WHALE︰感染硬碟啟動區﹐軟碟啟動區﹐或是硬碟分割區。會以TSR型式留在記憶體裡。 POGUE︰感染.COM檔﹐發病時會使系統 五月一日 或每日早上八點系統傢俱到九點發出奇怪的聲音。  (B)常駐型病毒(MemoryResidentVirus):常駐型病毒躲在記憶體中,其行為就好像是寄生在各類的低階功能一般(如Interrupts),由於這個原因,常駐型病毒往往對磁碟造成更大的傷害。一旦常駐型病毒進入了記憶體中,只要執行檔被執行,它就對其進行感染的動作,其效果非常顯著。將它趕出記憶體的唯一方式就是冷開機(完全關掉電源之後再開機)。著名的檔案型病毒︰ AIDS︰感染 .COM及.EXE檔﹐中毒時會在螢幕上顯示很大的AIDS字樣。 MACGYVER︰感染 .EXE檔﹐留在硬碟分割表中﹐但不會破壞啟動區。改變 INT 21H 的內容﹐即使用DIR也看不出檔案長度的變化﹐發作時會發出音樂﹐檔案日期會增加100年。 FRIDAY THE 13TH︰感染 .COM及.EXE檔﹐此病毒為常駐型﹐必在十三號星期五發作。 BEE︰感染 .COM及.EXE檔﹐由十三號星期五病毒演變而來﹐發作時會演奏小蜜蜂的曲子。(2)開機型  開機型病毒是藏匿在磁碟片或硬碟的第一個磁區。因為DOS的架構設計,使得病毒可以於每次開機時,在作業系統還沒被載入之前就被載入到記憶體中,這個特性使得病毒可以針對DOS的各類中斷(Interrupt)得到完全的控制,並且擁有更大的能力去進行傳染與破壞。開機型病系統家具毒都是常駐型。著名的開機型病毒︰ BRAIN︰感染軟碟開機區﹐會將原來的開機磁區內容放在別的地方。 BLOODY︰感染硬碟的分割紀錄表﹐每使用硬碟開機六次﹐病毒就發作一次。  開機128次則顯示六四天安門事件的訊息。 DISK KILLER︰感染軟硬碟的開機磁區﹐會修改BIOS﹐使病毒本身不會被查出﹐會修改檔案配置表﹐以及中斷向量表的INT 13H的位址。 SWAP︰感染軟碟開機磁區﹐開機後常駐在記憶體中﹐病毒載入記憶體十分鐘之後﹐畫面上所有的字會像下雨一樣﹐紛紛掉落到螢幕底部。(3)巨集型  巨集病毒是目前最熱門的話題,它主要是利用軟體本身所提供的巨集能力來設計病毒,所以凡是具有寫巨集能力的軟體都有巨集病毒存在的可能,如Word,Excel,AmiPro都相繼傳出巨集病毒危害的事件,在台灣最著名的例子正是TaiwanNO.1Word巨集病毒。著名的巨集病毒︰ DMV Macro︰教人如何寫巨集病毒的Demo病毒。 AAAZAO Macro︰世界第一隻正式發表的巨集病毒。 13號 TAIWAN NO.1︰世界第一隻中文WORD巨集病毒﹐每月13號發作。 RainBow Macro︰世界第一隻會改變視窗桌面顏色的巨集病毒。(4)多型病毒(Polymorphic/MutationVirus):  多型病毒可怕的地方,在於每當它們繁景觀設計殖一次,就會以不同的病毒碼傳染到別的地方去。每一個中毒的檔案中,所含的病毒碼都不一樣,對於掃描固定病毒碼的防毒軟體來說,無疑是一個嚴重的考驗!如Whale病毒依附於.COM檔時,幾乎無法找到相同的病毒碼,而Flip病毒則只有2byte的共同病毒碼(好像戴面具只剩兩個眼睛露出來)。(5)隱型病毒(StealthVirus):  隱型病毒又稱作中斷截取者(InterruptInterceptors)。顧名思義,它藉由控制DOS的中斷向量來讓作業系統以及防毒軟體誤認為所有的檔案都是乾淨的。隱型病毒是常駐型,會欺騙電腦系統,不知病毒存在或檔案已受破壞。(6)新型態網路病毒  JAVA和ActiveX的執行方式,是把程式碼寫在網頁上,當你連上這個網站時,瀏覽器就把這些程式碼抓下來,然後用使用者自己系統裡的資源去執行它。可是如此一來,使用者就會在神不知鬼不覺的狀態下,執行了一些來路不明的程式。回歸到第一代病毒來看,病毒是寄生在「可執行的」程式碼中,伺機對系統進行破壞,因為病毒本身也就是一段「可執行的」程式碼而已。也因此,在以往病毒都是存在於「可執行檔」中,因為具有「可執行的」程式碼的檔案,就只有「可執行檔」。 但是,文件病毒的流行,讓人對這個定義有了建築設計疑問,而其實並不違背。因為所謂的文件病毒,也只是利用文件中巨集寫成的,而巨集本身也是「可執行的」程式碼,當然也能成為病毒的溫床囉!現在再來看看所謂的第二代病毒,它就是利用網頁編寫所用的JAVA或ActiveX這些語言。由這些語言可以寫出一些「可執行的」程式碼,而在使用者瀏覽網頁時,一併下載下來在系統裡執行。既然JAVA或ActiveX可寫成一些「可執行的」程式碼,那就沒什麼理由不能讓病毒藏身其中。病毒防治(1)病毒碼掃描法  將新發現的病毒加以分析後,根據其特徵,編成病毒碼,加入資料庫中。以後每當執行掃毒程式時,便能立刻掃描程式檔案,並作病毒碼比對,即能偵測到是否有病毒。病毒碼掃描法又快又有效率,大多數防毒軟體均採用這種方式,但其缺點是無法偵測到未知的新病毒及以變種病毒。(2)加總比對法(Check-sum)  根據每個程式的檔案名稱、大小、時間、日期及內容,加總為一個檢查碼,再將檢查碼附於程式的後面,或是將所有檢查碼放在同一個資料庫中,再利用此Check-sum系統,追蹤並記錄每個程式的檢查碼是否遭更改,以判斷是否中毒。一個很簡單的例子就是,當您把車停下來之後,將里程表的數字寫下來。那麼下次您再開車時,只要比借貸對一下里程表的數字,那麼您就可以斷定是否有人偷開了您的車子。這種技術可偵測到各式的病毒,但最大的缺點就是誤判斷高,且無法確認是哪種病毒感染的。對於隱形病毒,亦無法偵測到。(3)人工智慧陷阱(Rule-based)  人工智慧陷阱是一種監測電腦行為的常駐式掃描技術。它將所有病毒所產生的行為歸納起來,一旦發現記憶體的程式有任何不當的行為,系統就會有所警覺,並告知使用者。這種技術的優點是執行速度快、手續簡便,且可以偵測到各式病毒;其缺點就是程式設計難,且不容易考慮週全。不過在這千變萬化的病毒世界中,人工智慧陷阱掃描技術是一個至少具有保全功能的新觀點,以達到預防重於治療的目標。(4)軟體模擬掃描法  軟體模擬技術專門用來對付多型病毒(Polymorphic/MutationVirus)。多型病毒在每次傳染時,都以不同的隨機亂數加密於每個中毒的檔案中,傳統病毒碼比對的方式根本就無法找到這種病毒。軟體模擬技術則是成功地模擬CPU執行,在其設計的DOS虛擬機器(VirtualMachine)下假執行病毒的變體引擎解碼程式,安全並確實地將多型體病毒解開,使其顯露原本的面目,再加以掃描。(5) 先知掃描法VICE(VirusInstructionCodeEmulation)   VICE先知票貼掃描技術是繼軟體模擬後的一大技術上突破。既然軟體模擬可以建立一個保護模式下的DOS虛擬機器,模擬CPU動作並假執行程式以解開變體引擎病毒,那麼應用類似的技術也可以用來分析一般程式檢查可疑的病毒碼。因此VICE將工程師用來判斷程式是否有病毒碼存在的方法,分析歸納成專家系統知識庫,再利用軟體工程的模擬技術(SoftwareEmulation)假執行新的病毒,則可分析出新病毒碼對付以後的病毒。(6)即時的I/O掃描(RealtimeI/OScan)  RealtimeI/OScan的目的在於即時地對資料的輸入/輸出動作做病毒碼比對的動作,希望能夠在病毒尚未被執行之前,就能夠防堵下來。理論上,這樣的即時掃描程式雖然會影響到整體的資料傳輸速率,但是使用RealtimeI/Oscan,檔案傳送進來之後,就等於掃過了一次毒,整體來說,是沒有什麼差別的。(7)文件巨集病毒陷阱(MacroTrap)  MacroTrap是結合了病毒碼比對與人工智慧陷阱的技術,依病毒行為模式(Rulebase)來偵測已知及未知的巨集病毒。其中,配合OLE2技術,可將巨集與文件分開,使得掃描速度變得飛快,而且更可有效地將巨集病毒徹底清除!判斷電腦是否中毒的簡易方法其實電腦少根筋時,是有跡可尋的,由於電腦病毒會影響電腦系統宿霧,所以,當使用者發現使用的電腦有下列狀況時,應該要考慮是否有病毒感染的問題:(1)檔案長度、日期改變:一般套裝軟體執行檔的時間,應該都是該產品的出廠日期,如果檔案的時間無緣無故變成系統時間時,或是檔案長度和原先的不一樣時,這表示檔案內容曾經被更改過,電腦很有可能被病毒感染了。(2)系統執行速度下降:覺得電腦執行速度越來越慢,或是系統載入執行檔的時間越來越長時,可能是因為電腦中毒了。一般常駐型的電腦病毒在常駐記憶體後,會強搶CPU的時間及記憶體空間,而非常駐型電腦病毒則會在寄主程式被載入系統的那一剎那間,伺機感染3~5個檔案,這兩種行為,都會造成系統執行速度變慢。(3)檔案無故消失、I/O動作改變:有些病毒會刪除檔案,造成檔案無故的消失;另有些病毒會使得列印失效、DIR不同的軟碟卻得到相同的內容...等I/O動作的改變,造成電腦使用的阻礙。(4)奇怪的錯誤訊息、演奏美妙音樂:當螢幕上好端端的突然出現一些訊息,如:"TodayisSunday!Whydoyouworksohard?...."、或是螢幕上出現了一堆鬼臉符號或字不斷的往下墜落、或是電腦突然演奏起美妙音樂、或是出現"釣魚台是中華民國領土…."等,這些都是病毒所為。(5)系統經巴里島常無故當機:有些病毒如"Crash","512","Datacrime"等,都會造成系統當機,所以,當使用者感覺到電腦常常當機時,除了懷疑硬體問題外,還應當考慮到病毒的問題。根據一些電腦維修中心的人員透露:大約一半以上送廠維修的電腦,都是病毒的問題,所以,如有上述現象時,不妨先用掃毒程式檢查一下,以減少額外的維修費。日常防毒保健  電腦病毒的傳染途徑,主要是經由磁片(開機型病毒)與檔案(檔案型病毒)兩種媒介傳播,因此,要防止電腦中毒,除非是該台電腦完全不和其它電腦有磁片或檔案的交換,否則就無法保證不中毒了,但事實上,誰都無法作如此的保證。(A)避免使用盜版軟體(B)儘量用硬碟開機,如無硬碟,則開機磁片要記得貼上防寫貼紙(C)要裝置真正有效的防毒軟體(如Norton-Antivirus、PC-cillin),以達到預防重於治療的目的。(D)開啟Email附件或至Internet下載檔案時,要先用防毒軟體所附之掃毒程式檢查過,才可放入硬碟內(一般防毒軟體會提供即時偵測)。(E)定期更新病毒碼,啟動防毒軟體掃瞄整個電腦系統。 


.msgcontent .wsharing ul li { text-indent: 0; }



分享

Facebook
Plurk
YAHOO!
馬爾地夫
arrow
arrow
    全站熱搜

    pi63piltow 發表在 痞客邦 留言(0) 人氣()