電腦病毒 11304 高偉恩
Download
Report
Transcript 電腦病毒 11304 高偉恩
電腦病毒
11304 高偉恩
目錄
1.何謂電腦病毒
• 電腦病毒的生命週期
• 電腦病毒型態分類
2.如何判斷電腦是否中毒
3.中了病毒該怎麼辦
4.調查好用的防毒軟體
5.平時可以怎樣防範病毒
• 參考資料
• THE END
1.何謂電腦病毒
第一隻電腦病毒出現於1980年中旬。到了1990,電腦病毒也大
概只有百種。但今日卻有超過五萬種病毒存在,而常見的只有一
百種左右。
所謂「電腦病毒」,事實上就是一電腦程式,與一般電腦程
式不同的地方,是病毒程式會惡意地複製自己,將病毒程式植入
其他電腦檔案。有這種舉動的程式,便可稱是「病毒」。電腦病
毒在特別的設計下,電腦使用者無法察覺,造成電腦系統的損害
或使用者的困擾。
上述這種感染式的做法,除了透過磁片及網路,隨著
Internet的盛行,透過電子郵件夾帶病毒附件、Script碼
(Javascript、VBscript)、網路元件(Javaapplet、ActiveX)的
傳染方式如今相當普遍。
電腦病毒的生命週期
主要階段有潛伏期(infectionphase)及發病期(attackphase),
說明如下:
創造期:當電腦駭客們花了數天或數週努力的研究出一些可
以廣為散佈的程式碼,電腦病毒就這樣誕生了。當然,他們是不
會這樣就算了的,他們通常都會設計一些破壞的行為在其中。
孕育期:這些電腦駭客們會將這些含有電腦病毒的檔案放在
一些容易散播的地方。如BBS站,Internet的FTP站,甚至是公
司或是學校的網路中等等。
潛伏期:在潛伏期中,電腦病毒會不斷地繁殖與傳染。一個
完美的病毒擁有很長的潛伏期,如此一來病毒就有更多的時間去
傳染到更多的地方,更多的使用者,一旦發病將會造成更大的傷
害。例如世界知名的米開朗基羅病毒,在每年三月六日發作前,
有整整一年的潛伏期。
發病期:當一切條件形成之後,病毒於是就開始破壞的動作。
有些病毒會在某些特定的日期發病,有些則自己有個倒數計時裝
置來決定發病的時間。雖然有些病毒並沒有發病時的破壞動作,
但是它們仍然會佔據一些系統資源,而降低系統運作的效率。
根除期:如果有夠多的防毒軟體能夠偵測及控制這些病毒,
並且有夠多的使用者購買了防毒軟體,那麼這些病毒就有機會被
連根撲滅。雖然到現在為止,並沒有人敢宣稱某一隻病毒完全絕
跡,但是有些病毒已經很明顯的被完全制止了–如早期的
DiskKiller等。
電腦病毒型態分類
(1)檔案型
檔案型病毒通常寄生在可執行檔(如*.COM,*.EXE等)中。
當這些檔案被執行時,病毒的程式就跟著被執行。檔案型的病毒
依傳染方式的不同,又分成非常駐型以及常駐型兩種:
(A)非常駐型病毒(Non-memoryResidentVirus):非常駐型
病毒將自己寄生在*.COM,*.EXE或是*.SYS的檔案中。當這些
中毒的程式被執行時,就會嘗試地去傳染給另一個或多個檔案。
(B)常駐型病毒(MemoryResidentVirus):常駐型病毒躲在記
憶體中,其行為就好像是寄生在各類的低階功能一般(如
Interrupts),由於這個原因,常駐型病毒往往對磁碟造成更大的
傷害。一旦常駐型病毒進入了記憶體中,只要執行檔被執行,它
就對其進行感染的動作,其效果非常顯著。將它趕出記憶體的唯
一方式就是冷開機(完全關掉電源之後再開機)。
(2)開機型
開機型病毒是藏匿在磁碟片或硬碟的第一個磁區。因為DOS的
架構設計,使得病毒可以於每次開機時,在作業系統還沒被載入之
前就被載入到記憶體中,這個特性使得病毒可以針對DOS的各類中
斷(Interrupt)得到完全的控制,並且擁有更大的能力去進行傳染與
破壞。開機型病毒都是常駐型。
(3)巨集型
巨集病毒是目前最熱門的話題,它主要是利用軟體本身所提供
的巨集能力來設計病毒,所以凡是具有寫巨集能力的軟體都有巨集
病毒存在的可能,如Word,Excel,AmiPro都相繼傳出巨集病毒危
害的事件,在台灣最著名的例子正是TaiwanNO.1Word巨集病毒。
(4)多型病毒(Polymorphic/MutationVirus):
多型病毒可怕的地方,在於每當它們繁殖一次,就會以不同的病
毒碼傳染到別的地方去。每一個中毒的檔案中,所含的病毒碼都不一
樣,對於掃描固定病毒碼的防毒軟體來說,無疑是一個嚴重的考驗!
如Whale病毒依附於.COM檔時,幾乎無法找到相同的病毒碼,而Flip
病毒則只有2byte的共同病毒碼(好像戴面具只剩兩個眼睛露出來)。
(5)隱型病毒(StealthVirus):
隱型病毒又稱作中斷截取者(InterruptInterceptors)。顧名思義,
它藉由控制DOS的中斷向量來讓作業系統以及防毒軟體誤認為所有的
檔案都是乾淨的。隱型病毒是常駐型,會欺騙電腦系統,不知病毒存
在或檔案已受破壞。
(6)新型態網路病毒
JAVA和ActiveX的執行方式,是把程式碼寫在網頁上,當你
連上這個網站時,瀏覽器就把這些程式碼抓下來,然後用使用者自己
系統裡的資源去執行它。可是如此一來,使用者就會在神不知鬼不覺
的狀態下,執行了一些來路不明的程式。回歸到第一代病毒來看,病
毒是寄生在「可執行的」程式碼中,伺機對系統進行破壞,因為病毒
本身也就是一段「可執行的」程式碼而已。也因此,在以往病毒都是
存在於「可執行檔」中,因為具有「可執行的」程式碼的檔案,就只
有「可執行檔」。
但是,文件病毒的流行,讓人對這個定義有了疑問,而其實並不違背。
因為所謂的文件病毒,也只是利用文件中巨集寫成的,而巨集本身也
是「可執行的」程式碼,當然也能成為病毒的溫床囉!現在再來看看
所謂的第二代病毒,它就是利用網頁編寫所用的JAVA或ActiveX這
些語言。由這些語言可以寫出一些「可執行的」程式碼,而在使用者
瀏覽網頁時,一併下載下來在系統裡執行。既然JAVA或ActiveX可
寫成一些「可執行的」程式碼,那就沒什麼理由不能讓病毒藏身其中。
2.如何判斷電腦是否中毒
(1)檔案長度、日期改變:一般套裝軟體執行檔的時間,應該
都是該產品的出廠日期,如果檔案的時間無緣無故變成系統時
間時,或是檔案長度和原先的不一樣時,這表示檔案內容曾經
被更改過,電腦很有可能被病毒感染了。
(2)系統執行速度下降:覺得電腦執行速度越來越慢,或是系
統載入執行檔的時間越來越長時,可能是因為電腦中毒了。一
般常駐型的電腦病毒在常駐記憶體後,會強搶CPU的時間及記
憶體空間,而非常駐型電腦病毒則會在寄主程式被載入系統的
那一剎那間,伺機感染3~5個檔案,這兩種行為,都會造成系
統執行速度變慢。
(3)檔案無故消失、I/O動作改變:有些病毒會刪除檔案,造成
檔案無故的消失;另有些病毒會使得列印失效、DIR不同的軟碟卻
得到相同的內容...等I/O動作的改變,造成電腦使用的阻礙。
(4)奇怪的錯誤訊息、演奏美妙音樂:當螢幕上好端端的突然出
現一些訊息,如:“TodayisSunday!Whydoyouworksohard?....”、
或是螢幕上出現了一堆鬼臉符號或字不斷的往下墜落、或是電腦
突然演奏起美妙音樂、或是出現“釣魚台是中華民國領土….”等,
這些都是病毒所為。
(5)系統經常無故當機:有些病毒如"Crash","512",
"Datacrime"等,都會造成系統當機,所以,當使用者感覺到電
腦常常當機時,除了懷疑硬體問題外,還應當考慮到病毒的問題。
根據一些電腦維修中心的人員透露:大約一半以上送廠維修的電
腦,都是病毒的問題,所以,如有上述現象時,不妨先用掃毒程
式檢查一下,以減少額外的維修費。
3.中了病毒該怎麼辦
Step 1
立刻關掉電腦電源 (記得,千萬不要用 ALT-CTRL-DEL 暖開機
的方式),這樣,才能
將病毒自記憶體中清除,並使病毒立刻停止活動,或至少將病
毒所損毀的資料減至
最低。其次,千萬不要再用硬碟開機,以防止開機型病毒有再
次活動的機會。
Step 2
找一張絕對乾淨 DOS系統磁片(最好是原版的),或是趨勢科技
PC-cillin安裝時,教您製作的“硬碟緊急救援磁片”重新開機。
這時,記得要在這片開機磁片上,設定為
防寫磁片。此外,若是用DOS 磁片開機,還要確定與原先硬碟
上的DOS 版本相同。
Step 3
開始掃瞄病毒。這時,如果您使用的是PC-cillin,則可啟動
PCSCAN掃瞄程式,來檢
查究竟是硬碟內的哪幾處,或是哪幾片磁片的哪幾個檔案中了毒。
Step 4
若偵測到是檔案中毒時, 則有三種處理方式: 刪除檔案、重新命名
檔案、或是清除
病毒。記得,千萬不要對中毒檔案置之不理,特別是不能讓其停留
在執行檔。
Step 5
若偵測到的是硬碟分割區或啟動區的病毒時,則若您所使用的是
PC-cillin,則可直接用“硬碟緊急救援磁片”,啟動RESCUE程式,
再選取所需之選項,救回硬碟分割區及啟動區的資料。或是...
您也可用乾淨的DOS 磁片中的FDISK 指令,執行FDISK/MBR,
以救回硬碟分割區的料; 或是在A 槽中執行A> SYS C: (C 為中毒磁
碟) ,以救回硬碟啟動區的資料。
Step6
現在,您可以重新建檔:重新安裝軟體或準備備份資料,請切
記,備份資料在重新
建入系統前,應先進行掃瞄,以防萬一。
Step 7
千萬記得,重新建檔到開始運作之前,應再度掃瞄整個系統,
以免中毒檔不小心又
被存入系統中。
Step 8
現在,您可以安心的開始操作電腦了!
4.調查好用的防毒軟體
以下列出2005年防毒軟體排行:
1. Kaspersky Personal Pro version 5.0.20 - 99.28%
2. AVK version 15.0.5 - 97.93%
3. F-Secure 2005 version 5.10.450 - 97.55%
4. eScan Virus Control version 2.6.518.8 - 96.75%
5. Norton Corporate version 9.0.3.1000 - 91.64%
6. Norton Professional version 2005 - 91.57%
7. McAfee version 9.0.10 - 89.75%
8. Virus Chaser version 5.0 - 88.31%
9. BitDefender version 8.0.137 - 88.13%
10. CyberScrub version 1.0 - 87.87%
後面的%數,為它所能找到的病毒
以上僅列出前10名,是由知名防毒軟體測試機構 Virus.gr 公布,
此次的測試是由 2005 年四月二號進行至十六號,採用的是 Windows
XP Professional SP1 的平台 CPU P4 2600 Mhz, 512MB DDRAM.
所有的防毒軟體在測試期間都已經更新到最新的資料庫狀態且將掃描等
級設定至最大且開啟自我啟發式檢測 ( 智慧式判斷 )。
檢測總共採集了 91202 個病毒的樣本。
所有的病毒樣本都以最原始的狀態來進行測試 ( 意指並未經過 winzip,
winrar 等這些壓縮軟體壓縮過 )。
沒有任何假的樣本或是任何玩笑的垃圾檔案 。
5.平時可以怎樣防範病毒
電腦病毒的傳染途徑,主要是經由磁片(開機型病毒)與檔案
(檔案型病毒)兩種媒介傳播,因此,要防止電腦中毒,除非是
該台電腦完全不和其它電腦有磁片或檔案的交換,否則就無
法保證不中毒了,但事實上,誰都無法作如此的保證。
(A)避免使用盜版軟體
(B)儘量用硬碟開機,如無硬碟,則開機磁片要記得貼上防寫
貼紙
(C)要裝置真正有效的防毒軟體(如Norton-Antivirus、PCcillin),以達到預防重於治療的目的。
(D)開啟Email附件或至Internet下載檔案時,要先用
防毒軟體所附之掃毒程式檢查過,才可放入硬碟內(一
般防毒軟體會提供即時偵測)。
(E)定期更新病毒碼,啟動防毒軟體掃瞄整個電腦系統。
(F)養成每日備份資料。
參考資料
• http://tw.knowledge.yahoo.
com/question/?qid=130509
2107325
• http://tw.knowledge.yahoo.
com/question/?qid=100502
0104986
• http://tw.knowledge.yahoo.
com/question/?qid=120508
0211319
THE END