Transcript 電腦病毒實務分析
第十三章 電腦病毒 課前指引 電腦病毒原是一段小程式,它常寄存在可執行檔,不論是用組合語言或巨集功能,感 染電腦檔案,透過主動式複製、感染、傳播及發作等特徵,造成電腦系統之操作失靈、 故障破壞、磁碟毀損或資料遺失。在網際網路日益興盛之後,病毒傳染的速度加快、 範圍也擴大,損失也愈嚴重,成本也有所遞增,寫病毒程式的人不僅精明,更嘗試寫 出複雜、難偵測和解毒的電腦病毒。舉凡下載檔案、瀏覽網頁、讀取信件,幾乎都可 能會導致中毒事件發生,電腦病毒在結合網際網路後成為一種惡意程式,更結合木馬、 網蟲及攻擊程式的特性,已成為不可忽視之全球性問題,更有形成如同網路瘟疫般地 令人注意警戒。 章節大綱 13-1 緣起 13-4 電腦病毒的實務分析 13-2 電腦病毒的種類 13-5 結語 13-3 電腦病毒的防治 備註:可依進度點選小節 13-1 緣起 核心大戰 核心大戰是個籠統的名稱,而核心大戰核心大戰 程式就如同一支「淘氣」程式(Imp Programs) 因為本身的程式大小很小,容易成功複製並存活, 被發現且消滅的機率不高,除了會在記憶體中跑 來跑去,也會覆蓋他所經過的任何區域,有時更 會破壞部分複雜偵測程式的一部分。 3 13-1 緣起 核心大戰 表3.1 核心大戰遊戲的程式類型 4 13-1 緣起 作者動機與心態 原因一:思想誤解 病毒作者自認為自己本身的撰寫病毒過程屬正當行為, 以擁有引發恐懼驚慌的魔鬼能力為傲,而散布研究成果 也為學術研究的一種表現 為了喚起大家對某一特定安全問題的重視,喜歡與防護 (毒)公司鬥智,期望教育使用者電腦病毒可能的產生 危害,以提醒系統安全問題,並讓防護(毒)公司有事 可做。 5 13-1 緣起 作者動機與心態 原因二:創新興趣 病毒作者為尋求不斷創新,精研各種不同的感染、發作 的不同效果,除沈迷於病毒程式的研究外,也在虛擬網 路間找到同好 期待本身能在專研他人研發病毒程式後有心得,能創造 出有特性的行為特徵,供人稱頌羨慕。 6 13-1 緣起 作者動機與心態 原因三:自我滿足 病毒作者自我個性較為封閉,也擁有強烈的自我思考模 式,期望透過匿名方式進行擴散病毒工作,卸去散布病 毒的道德責任感 除想看看病毒能造成如何的影響力外,亦祈禱病毒能永 久存活,不被發現。 7 13-1 緣起 作者動機與心態 原因四:製造商機 在資訊安全業界,經常會存在類似「防毒公司自行釋放 已有解讀方法的病毒,以提升本身在市場的先進性與實 用性」的傳說故事 有時某一防毒公司較早出現某種病毒的防毒方法也會被 競爭防毒公司質疑是否為該公司所釋放,但這樣的問題, 通常不易獲得查證。 8 13-2 電腦病毒的種類 常見的電腦病毒有數種呈現方式,有的會顯 示訊息,有的會刪除某些檔案,有的會更改 儲存檔案資料,有的程式碼會使檔案長度增 加、出現不尋常的錯誤訊息或不斷擴散感染 其他程式檔案,有的可能會造成資料、檔案 或程式的毀損或破壞。 某些感染的行為或發作的影響是無法被防毒 軟體修復的,身為電腦使用者的我們不可不 慎,瞭解電腦病毒的各種特性,也將有助我 們對抗電腦病毒,將電腦病毒所造成的災害 減到最低。 9 13-2 電腦病毒的種類 電腦病毒的特性 特性一:難防未知型 一般掃毒程式只不過是依據程式設計者給予它的邏輯, 去判斷電腦中是否有病毒的特徵而已,並很難具有偵測 未來病毒程式的功能。 特性二:傳播速度快 病毒通常沒有特定的目標,可能會透過網路環境擴大散 布範圍,一旦開始複製散布,便會變的更為快速廣泛且 有可能捲土從來回過頭傳染。 10 13-2 電腦病毒的種類 電腦病毒的特性 特性三:型態多樣化 多型態的變化病毒,促使電腦駭客尋找網路入侵目標過 程中,更加輕易,利用病毒本身建置的後門管道逕行侵 入,直接產生攻擊性的破壞效果。 特性四:資訊損害大 最可怕的病毒行為是採漸漸潛伏在電腦中,再一次大舉 毀壞資料,這樣的蓄意惡搞行為,除了短暫的個人負面 成就感,對病毒作者而言,根本不會有任何好處。 11 13-2 電腦病毒的種類 電腦病毒的生命週期 週期一:孕育創造期 當病毒作者們花費精力研究出可以廣為散佈的病毒程式 碼時,會附帶設計一些發作行為,並將隱含電腦病毒的 檔案放置於容易擴散公開的地方,供人存取使用。 週期二:散布寄居期 電腦病毒可藉由磁片的攜帶、檔案的複製或網路的傳輸 而藉由潛伏、繁殖與傳染等方式,散布其感染觸角,尋 求病毒本身的生存方式,也唯有具備不斷複製的功能, 才有具備病毒的基本資格。 12 13-2 電腦病毒的種類 電腦病毒的生命週期 週期三:啟動發作期 病毒的觸發啟動通常是靠著日期、時間上的設定或特定 數字、文字片段,而在符合條件狀況下開始啟動發作。 週期四:消滅根除期 如果有夠多夠強的防毒軟體能夠偵測及控制這些病毒, 那麼這些病毒就有機會被連根撲滅。問題是,從來沒有 人敢宣稱某一隻病毒完全絕跡。在電腦安全的領域中, 「多一份準備,便少一份損失」是永遠不變的道理。 13 13-2 電腦病毒的種類 電腦病毒的生命週期 圖3.4 清除Happy99病毒的步驟 14 13-2 電腦病毒的種類 電腦病毒的時代典型 一、傳統型電腦病毒 電腦病毒可隨著時間的變革,歸納出不同的少數幾個類 型,也因為在病毒行為中,其實都是使用複製、感染、 傳播及發作等幾個主要的關鍵型態。 早期的電腦病毒主要可以區分成3種,檔案型病毒 (File Infector Virus)、開機型病毒(Boot-Sector Viruses)與巨集型病毒(Macro Viruses)。 15 13-2 電腦病毒的種類 電腦病毒的時代典型 二、綜合型病毒:結合惡意程式的網路瘟疫 網路瘟疫(Cyberplagues)主要是指利用網路為傳播媒體 的綜合型病毒(包含病毒、木馬、網蟲及攻擊程式等惡 意程式的多樣特質),也可說是電腦病毒發展環境的另 一種延伸 目前網路上發現的綜合型病毒大多伴隨電子郵件及網站 網頁存在,透過網路更新防毒防駭軟體也變得習以為常, 可被接受。 16 13-3 電腦病毒的防治 電腦系統越自動化,功能越強,在未徵 詢狀況下所做的事件便越多,安全性考 量也較差,相形之下電腦系統越便利便 存在更多的安全問題。 功能越強的電腦軟體,便會更廣泛地被 使用,也會存在更多病毒在該環境中運 行,也加深感染病毒的可能性。 17 13-3 電腦病毒的防治 電腦病毒的感染癥候 大部份的電腦病毒都會長駐記憶體中直到電腦關 機,電腦關機時,病毒雖從記憶體中移除,磁碟 中電腦檔案病毒依然存在,待下次在開機時,便 再度出現並感染更多的程式檔案。 電腦病毒的感染,如同人類遭受細菌病毒感染一 樣,會不斷地複製繁衍,也會出現一些徵狀可供 觀察,如果所屬電腦發現「電腦檔案的異常狀 況」、「不尋常的訊息出現」及「電腦執行的速 度變慢」等徵狀時,便很可能中毒。 18 13-3 電腦病毒的防治 電腦病毒的感染癥候 表3.2 電腦病毒的徵狀 19 13-3 電腦病毒的防治 電腦病毒的防治方法:病毒碼過濾法及 加值總和法 病毒碼過濾法係根據病毒某一部份的特徵,去比 對每一個可執行之程式,有該特徵者則判定為該 病毒。 加值總和法須確定原程式無毒,否則不適合使用, 而加值總和法係將原始程式碼做總和值檢查、循 環重複檢查(Cyclic Redundancy Check,CRC) 或影像計算等特殊運算,且儲存每一個可執行程 式的運算結果,只要程式有異樣便會被發現。 20 13-3 電腦病毒的防治 建置數位免疫系統 數位免疫系統(Digital Immune System)的建置 已變得迫不及待,尤其是已被識別出來得未知型 態病原體,大多根基於現成知名病毒的變化處理, 在大多數的狀況下是可以是先預防阻止的,甚至 可以在幾分鐘內地得到偵測方法,並得知相關的 移除方式訊息。 以下列出「建立正確的使用習慣」、「備份啟動 磁區、硬碟分割表及重要資料」及「安裝防毒軟 體、防駭軟體、偵測程式或將檔案加上疫苗」等3 點預防常識的貫徹策略。 21 13-4 電腦病毒實務分析 一、權限的工具箱Rootkit (一)Rootkit簡介 Rootkit從字面上拆成Root與Kit來看,便可知這是一種 為了竊取到最高權限而集合了很多工具程式的工具包, 可以讓攻擊者隱藏本身的蹤跡,並透過偽造資訊讓使用 者無法辨別,進一步入侵其電腦系統 22 13-4 電腦病毒實務分析 一、權限的工具箱Rootkit (二)Rootkit的隱藏原理 Rootkit常用的隱藏原理,在應用階級的Rootkit一般都 利用hook方式修改原來程式的功能。所謂的hook是指在 程式設計中,可以控制事件流程的先後順序,例如在原 來執行的流程中安排插入另一個執行程序,使得新的執 行程序先執行後再返回原流程,也因此能達到不自覺地 自動執行了不明的其他流程。常見的hook方式有兩種, 關於應用程式介面的API(Application Program Interface) hook及系統裝置傳遞表的SSDT(System Device Dispatch Table) hook。 23 13-4 電腦病毒實務分析 一、權限的工具箱Rootkit (三)Rootkit的偵測技巧 Netstat Pslist Psservice RootkitRevealer (四)Rootkit可能的記錄 IP及網路卡資訊 連線資訊 惡意程式 數位行為 24 13-4 電腦病毒實務分析 電腦病毒的法律問題 刑法第13條第2項中規定「行為人對於構成要件之 事實,預見其發生而其發生並不違背其本意者, 以故意論」 刑法第15條規定「對於一定結果之發生,法律上 有防止之義務,能防止而不防止者,與因積極行 為發生結果者同。因自己行為致有發生一定結果 之危險者,負防止其發生之義務」 民法第184、185條規定「因故意或過失,不法侵 害他人之權利者,負損害賠償責任」、「數人共 同不法侵害他人之權利者,連帶負損害賠償責任; 不能知其中孰為加害人者,亦同」。 25 13-4 電腦病毒實務分析 電腦病毒的法律問題 病毒一經外洩、散布與擴散,實在無法完全阻止, 即使事後研析出免疫程式或提出解毒方法,在電 腦世界中,永遠會存在沒有做好防護準備的電腦 主機,在遇到觸發事件發生時,會發生傷害損失。 就我國現行刑法觀察,需出自故意(包含間接故 意)才有處罰,但民法求償則不然(不論故意或 過失均可),因此,病毒程式的設計者(或散布 者)本身有責任防止自身的研發成果之蔓延、擴 散,如果造成他人電腦主機的破壞毀損,依然需 要負擔損害賠償責任。 26 13-4 電腦病毒實務分析 電腦病毒的查緝問題 電腦病毒的破壞性攻擊行動均起源於原設計者的 原始設計,一但遇上觸發事件便啟動電腦病毒的 攻擊機制,攻擊方式的傳播完全藉由電腦檔案的 傳遞與執行,而非藉由某特定帳號或電腦主機 這樣的特性使得現有的安全機制根本無法確實得 悉電腦病毒的發源與傳遞經過。 在電腦病毒的查緝方面,實為一相當不易的工作, 主要理由有「潛伏期間不易確定」、「感染途徑 不易證實」、「因果關係不易證明」、「追查線 索不易取得」及「創新病毒不易發現」等5大因素。 27 13-5 結語 如同人會生病一樣,電腦也有不正常的時候, 而依賴於其他程式碼中運作的電腦病毒便因 應而生,當被依附程式被複製或執行後,病 毒程式也就被複製擴散。 病毒網路化的出現無疑替電腦病毒開創了一 個新紀元,以網路為媒介的攻擊園地,其傳 播速度、範圍及可怕性更是難以想像,很可 能在短短的幾天內將遠端主機電腦硬碟格式 化,儲存資料頓時消匿無蹤,遭受損失亦難 補救,而建立正確的防毒觀念已成為現今資 訊社會電腦使用者所必備的常識之一。 28 本章結束 Q&A討論時間 29