Download
1 / 11
110 likes | 182 Views
電腦病毒簡介. 電腦病毒簡單的說是:程式透過磁片、檔案傳輸等管道,將程式本身加以複製及傳播,並藉著程式中的指令導致電腦或週邊失靈,甚至於破壞程式及資料等;就如同真正的病毒一般能透過接觸 、飛沫、血液等媒介造成生病甚至死亡,是一樣的道理。因此亦稱 之為「病毒」。. 9 8 1 6 22 號 卓 妤 庭. 目錄. 什麼是電腦病毒 電腦病毒的生命週期 電腦病毒的種類 病毒防治技術. 什 麼 是 電 腦 病 毒 ?. ◢ 過去式 :
E N D
電腦病毒簡介 電腦病毒簡單的說是:程式透過磁片、檔案傳輸等管道,將程式本身加以複製及傳播,並藉著程式中的指令導致電腦或週邊失靈,甚至於破壞程式及資料等;就如同真正的病毒一般能透過接觸 、飛沫、血液等媒介造成生病甚至死亡,是一樣的道理。因此亦稱 之為「病毒」。 9816 22 號 卓 妤 庭
目錄 • 什麼是電腦病毒 • 電腦病毒的生命週期 • 電腦病毒的種類 • 病毒防治技術
什 麼 是 電 腦 病 毒 ? ◢ 過去式: 所謂電腦病毒在技術上來說,是一種會自我複製的可執行程式。在真實的世界中, 大部份的電腦病毒都會有一個共通的特性 –它們通常都會發病。當病毒發病時, 它很可能會破壞硬碟中的重要資料, 有些病毒則會重新格式化(Format) 您的硬碟。就算病毒尚未發病, 它也會帶來不少麻煩。首先病毒可能會佔據一些系統的記憶空間, 並尋找機會自行繁殖複製, 您電腦效能將會變得比一般正常的電腦慢。這也是為什麼不時就要做好防毒工作的主要原因了。 ◢ 現在式: 自從Internet盛行以來, Java和ActiveX的網頁技術逐漸被廣泛使用, 一些有心人士於是利用Java和ActiveX的特性來撰寫病毒。 以Java病毒為例, Java病毒它並不能破壞您硬碟上的資料, 可是若您使用瀏覽器來瀏覽含有Java 病毒的網頁, Java病毒可以強迫您的Windows不斷的開啟新視窗, 直到系統資源被吃光為止, 而您也只有選擇重新開機一途了。所以在Internet革命以後, 電腦病毒的定義就更改為只要是對使用者會造成不便的這些不懷好意的程式碼, 就可以被歸類為病毒。
電腦病毒的生命週期 電腦病毒就好像細菌的生長一般, 所以我們才將它稱做「病毒」。而電腦病毒的成長可以被歸納 成下列幾個階段: ◢ 創造期: 當電腦駭客們花了數天或數週努力的研究出一些可以廣為散佈的程式碼, 電腦病毒就這樣誕了。當然, 他們是不會這樣就算了的, 他們通常都會設計一些破壞的行為在其中。 ◢ 孕育期: 這些電腦駭客們會將這些含有電腦病毒的檔案放在一些容易散播的地方。如BBS站, Internet的FTP站, 甚至是公司或是學校的網路中等等。 ◢ 潛伏期: 在潛伏期中, 電腦病毒會不斷地繁殖與傳染。一個完美的病毒擁有很長的潛伏期, 如此一來病毒就有更多的時間去傳染到更多的地方, 更多的使用者, 一旦發病將會造成更大的傷害。例如世界知名的米開朗基羅病毒, 在每年三月六日發作前, 有整整一年的潛伏期。 ◢ 發病期: 當一切條件形成之後, 病毒於是就開始破壞的動作。有些病毒會在某些特定的日期發病, 有些則自己有個倒數計時裝置來決定發病的時間。雖然有些病毒並沒有發病時的破壞動作, 但是它們仍然會佔據一些系統資源, 而降低系統運作的效率。 ◢ 根除期: 如果有夠多的防毒軟體能夠偵測及控制這些病毒, 並且有夠多的使用者購買了防毒軟體, 那麼這些病毒就有機會被連根撲滅。雖然到現在為止, 並沒有人敢宣稱某一隻病毒完全絕跡, 但是有些病毒已經很明顯的被完全制止了 –如早期的Disk Killer等。
電 腦 病 毒 的 種 類〈1〉 電腦病毒的基本種類 一般來說,根據電腦病毒所影響的方式,約可區分為三大類,概述如下: ★開機型病毒(Boot-type virus) 開機型病毒,顧名思義就是透過開機而傳染的病毒,它會感染磁 碟的啟動磁區(Boot Sector)或是硬碟分割表(Partition Table)。 當使用者用有毒的磁片或是硬碟開機,那麼整個 作業系統將會處於 病毒控制之下,一般來說 ,開機型病毒的種類不及檔案型病毒來得多,如果不幸中開機型病 毒的話,也較容易殺掉,不過它所造成的災害卻比檔案型來得嚴重 ,一次很可能就毀掉整個硬碟。 ★檔案型病毒(File-type virus) 從字義上來看,就是純粹感染檔案的病毒,所感染的檔案類型大部份是可執行檔,如.COM、.EXE、SYS、BAT、OVL等。當使用者中毒之後,只要再執行其他的程式,病毒就會把自己複製到程式之中,如此不斷的複製與感染,病毒便可以永久生存下去。別以為一個檔案只會中一種病毒,其實一個檔案有可能會中很多個病毒。檔案型的病毒較難加以清除,因為檔案型病毒的感染方式有千百種,而且很可能一次就有好幾百個檔案中毒 。 ★開機與檔案複合型病毒(multip-partitevirus) 就是綜合開機型以及檔案型特性的病毒,此種病毒透過這兩種方 式來感染,更加速了病毒的傳染性以及存活率。不管是被那一種方 式傳染到,只要中毒就會經由開機或是執行程式而感染其他的磁片 或檔案,此種病毒也是最難殺掉的。
電 腦 病 毒 的 種 類〈2〉 ◆電腦病毒的細部種類 而隨著感染方式的不同又可細分為下列數種類型: 傳統開機型病毒 傳統的開機型病毒多利用軟碟開機時侵入電腦系統,然後再伺機感染其他的軟碟或硬碟,例如: DISK KILLER、STONED 3(米開朗基羅)。 CIH病毒 八十七年四、五月底,電腦網路上出現了一破壞力強大的綜合型電腦病毒CIH,造成各行業不小的損失。目前該病毒延伸出的版本中,其發作日期分別為每年的四月二十六日、六月二十六日及每個月的二十六日;由於四月二十六日為前蘇聯「車諾比爾」核電廠輻射外洩意外的同一天,該病毒又有「車諾比爾」病毒之稱。該病毒的傳染途徑,是病毒之作者先將病毒碼植入熱門的應用程式內,上傳至資訊網站之軟體下載區供人免費下載,不知情的使用者將其下載至個人電腦後,再將被感染的軟體經由轉載至其它網站或是透過電子郵件、電子佈告欄、通訊軟體等方式而傳染給他人;鑑於網際網路無遠弗屆的傳播能力與威力,該病毒透過傳輸通路漸次散佈至全世界。 隱形開機型病毒 所謂隱形開機型病毒即是當病毒感染的系統,當您檢查Partition Table及BOOTSector時,病毒會將正常的磁區資料還原,就好像沒有 中毒一般,此型病毒較不易為一般掃毒軟體所查覺,較有名的有 MONKEY、FISH等等。
檔案感染型兼開機型病毒 檔案感染型兼開機型病毒顧名思意是利用檔案感染時伺機感染開 機區,因而具有雙重的行動能力。較有名的病毒有NATAS、MACGYVER 2.0、CANCER等,DIR 2即為其代表。 修改目錄型病毒 本型病毒之感染方式非常獨特,此類病毒僅修改目錄區(ROOT), 藉以干擾DOS的檔案作業,並不會真正的感染檔案,卻能造成檔案系 統大亂!! 傳統檔案型病毒檔案 感染型病毒最大的特徵,便是將病毒程式本身植入檔案,使檔案 膨脹,以達到散播傳染的目的。較為熟知的有十三號星期五(13 FRIDAY)、SUNDAY。 千面人病毒 千面人病毒乃指具有"自我編碼"能力的病毒,其目的,在使其感 染的每一個檔案,看起來皆不一樣,干擾掃毒軟體的偵測。1701下 雨病毒、FLIP、4096為代表。 變體引擎 有鑑於千面人病毒無法解決的程式開頭相同的問題,便又出現了 一種變體引擎,克服了千面人病毒的問題,並寫成.OBJ副程式,供 人製造此型病毒,此即McTation Engine、Polymorphic Engine,此 類引擎代表的有PME、TPE與FOR Windows的PME/W。 隱形檔案型病毒 隱形病毒能直接植入DOS的作業環境中,取得DOS的原始中斷,當 外部程式呼叫DOS的中斷服務時,便同時執行到病毒本身,使得病毒 能從容地將被感染的檔案,粉飾成正常無毒的樣子。此型病毒有 4096、512及最近流行的DREAMING KING、NATAS, 特洛伊木馬型病毒 這個病毒是仿效木馬屠城記的故事所研製的,並不以感染檔案為 傳播途徑,而改以比較吸引人的程式功能來引人拷貝使用(願者上 鉤?),平常在使用上均很正常,也沒有破壞行為,但一到此病毒 發作日(符合發作條件如:日期等...)便原形畢露,破壞硬碟 資料。
多形病毒 所謂「多形病毒」就是病毒在感染檔案時,會自我編碼,而且有 很多不同的編碼方式,很難找到連續二個bytes是一樣的,令一般的 解毒軟體無從偵測。此類型病毒的代表有CONNIE系列、NATAS、CVEX 6.X~7.X。 更名感染型病毒 此類型病毒之感染方式頗為特殊,它會將欲感染之執行檔(如 .EXE)先RENAME成資料檔或另開一資料檔,然後再去感染此資料檔 ,感染完後再RENAME回來或刪除原執行檔,再將資料檔RENAME成原 來的執行檔名,此法造成偵測病毒上的盲點。因為對任何一個資料 檔而言,要分辨是遭受到病毒感染抑或是正常修改,是一個不易界 定的行為;但若要對「修改檔名的動作」攔截,以達到防止該類型 病毒的目的,卻又有因噎廢食的困擾,因為不少軟體於安裝時,多 少都會將原檔案做更名儲存的動作。此型病毒目前以最近流行的 CVEX、BAD HEAD系列為代表。 磁區填碼型病毒 一般病毒都是透過DOS進行感染,但此型病毒「感染」方式大不相 同,它不透過DOS而直接呼叫INT 13藉以監視磁區間的讀寫動作,並 在某一磁區內的檔案符合其感染的要求時,便直接把病毒填入該磁 區內(如SKID-ROW若發現磁區內\fs24的前兩碼為EXE檔頭的標記"5A 4D"或"4D 5A",且磁區內之第61H至1FFH Byte皆為零時,便進行感 染,直接將病毒填入該空白區段),由於病毒利用此法將病毒直接 寫入受感染之檔案內的空白區段,故被感染之檔案長度不會增加。 此型病毒最近才出現,以SKID-ROW(貧民街)系列為其代表。 檔案壓縮型病毒 通常執行檔受病毒感染時,檔案長度都會變大,但受此病毒感染 之檔案長度不增加反而變小,所以對一些偵測檔案長度變大即警告 之防毒軟體,就無法攔截到此類型病毒了。檔案壓縮型病毒以外國 傳進來的CRUNCHER和國內的SATAN 4.03為代表。 Windows &Windows98下的電腦視窗病毒 DOS下的病毒與Windows下的病毒感染的檔案類型並不相同,DOS病 毒會感染DOS規格的檔案(*.COM,*.EXE...),而Windows病毒就會感 染Windows的NE(註)規格檔案(*.EXE,*.DLL,*.VXD...),截至目前 還沒發現有DOS與Windows共通的病毒,視窗病毒的代表有Wintiny、 Winlamer、Winvir、Winsurfer等複合型病毒。世界第一隻32位元的 Windows 95病毒為Bizatch(BOZA)病毒。
病 毒 防 治 技 術 1.病毒碼掃描法 將新發現的病毒加以分析後, 根據其特徵, 編成病毒碼, 加入資料庫中。以後每當執行掃毒程式時, 便能立刻掃描程式檔案, 並作病毒碼比對, 即能偵測到是否有病毒。病毒碼掃描法又快又有效率( 例如趨勢科技的PC-cillin及Server Protect, 利用深層掃描技術, 在即時掃瞄各個或大或小的檔案時,平均只需1/20秒的時間), 大多數防毒軟體均採用這種方式, 但其缺點是無法偵測到未知的新病毒及以變種病毒。 ◢ 2.加總比對法 (Check-sum) 根據每個程式的檔案名稱、大小、時間、日期及內容, 加總為一個檢查碼, 再將檢查碼附於程式的後面, 或是將所有檢查碼放在同一個資料庫中, 再利用此Check-sum系統, 追蹤並記錄每個程式的檢查碼是否遭更改, 以判斷是否中毒。一個很簡單的例子就是, 當您把車停下來之後, 將里程表的數字寫下來。那麼下次您再開車時, 只要比對一下里程表的數字, 那麼您就可以斷定是否有人偷開了您的車子。這種技術可偵測到各式的病毒, 但最大的缺點就是誤判斷高, 且無法確認是哪種病毒感染的。對於隱形飛機式病毒, 亦無法偵測到。 ◢ 3.人工智慧陷阱(Rule-based) 人工智慧陷阱是一種監測電腦行為的常駐式掃描技術。它將所有病毒所產生的行為歸納起來, 一旦發現記憶體的程式有任何不當的行為, 系統就會有所警覺, 並告知使用者。這種技術的優點是執行速度快、手續簡便, 且可以偵測到各式病毒;其缺點就是程式設計難, 且不容易考慮週全。不過在這千變萬化的病毒世界中, 人工智慧陷阱掃描技術是一個至少具有保全功能的新觀點。目前趨勢科技的PC-cillin, 就對病毒的可疑行為設下了將近12道的陷阱, 以達到預防重於治療的目標。 ◢ 4.軟體模擬掃描法 軟體模擬技術專門用來對付千面人病毒(Polymorphic /Mutation Virus)。千面人病毒在每次傳染時 , 都以不同的隨機亂數加密於每個中毒的檔案中, 傳統病毒碼比對的方式根本就無法找到這種病毒。軟體模擬技術則是成功地模擬CPU執行, 在其設計的DOS虛擬機器(Virtual Machine)下假執行病毒的變體引擎解碼程式, 安全並確實地將多型體病毒解開, 使其顯露原本的面目, 再加以掃描。
資 料 來 源 http://content.edu.tw/junior/computer/tp_ct/content7-b11.htm http://www.csie.ntu.edu.tw/~b6506036/asmhw4/4.htm
心 得 我個人本來就不常用電腦〈在這個年紀的學生,我算異類吧!〉 但是經過這次的作業,我覺得學習到不少的知識,不論是防治或是解決‧
