有很多的电脑用家.doc

哇快點來救我。有病毒攻擊我了壹、前言1貳、病毒是什麼？1參、病毒的定義1肆、病毒如何產生 2伍、有哪些類別3l開機型病毒3l檔案型病毒3l複合型病毒4l千面人病毒4l巨集型病毒4陸、病毒的種類4lCIH病毒5lI Love You病毒5lVBS_Kalamar 克菈瑪病毒5lBlack Firday (黑色星期五)6l特洛伊木馬程式6柒、病毒的生命週期7l創造期7l孕育期7l潛伏感染期7l發病期7l根除期7捌、電腦病毒的傳播8玖、測試病毒的方法8l病毒碼掃描法8l加總比對法 (Check Sum)9l人工智慧陷阱(Rule-based)9l軟體模擬掃描法9lVICE(Virus Instruction Code Emulation) - 先知掃描法10l即時的I/O掃描(Realtime I/O Scan)10l文件巨集病毒陷阱(MacroTrapTM)10壹拾、如何預防11l預防篇11l治療篇12壹拾壹、心得14壹拾貳、參考資料14一愛號林育苹壹、 前言有很多的電腦用家，當聽到電腦病毒時都聞毒而色變。其中有些或者真是曾身受其害，但更多的 是因為誇張的道聽途說而致人人自危。不但擔驚受怕，更多的是錢包受損(商人的圈套)。 他們只是不明白電腦病毒的真相，電腦病毒只不過是一組不必要的程式碼。它和我們在電腦 中運行的其他程式並沒有不同，不同的只是它會對你的電腦系統造成不同程度的損害。當你們知道了 電腦病毒的真相後，是否覺得電腦病毒並不是那麼可怕了？ 貳、 病毒是什麼？有很多的電腦用家，當聽到電腦病毒時都聞毒而色變。其中有些或者真是曾身受其害，但更多的 是因為誇張的道聽途說而致人人自危。不但擔驚受怕，更多的是錢包受損(商人的圈套)。 他們只是不明白電腦病毒的真相，電腦病毒只不過是一組不必要的程式碼。它和我們在電腦 中運行的其他程式並沒有不同，不同的只是它會對你的電腦系統造成不同程度的損害。當你們知道了 電腦病毒的真相後，是否覺得電腦病毒並不是那麼可怕了？ 簡單的說，電腦病毒只是一個電腦程式。它與你常用的文書處理軟體、你常玩的電腦遊戲，都一樣 ，都是電腦程式罷了。只不過電腦遊戲可以讓你享受聲光的刺激，文書處理軟體是設計來讓你打字排 版列印出來，而電腦病毒是設計來破壞電腦裡的軟體，讓你的工作不能正常進行。 在揭開了電腦病毒的神秘面紗後，就讓我們一起來研究它。或者從中你會發覺，從某一程度來 說，電腦病毒也是一種藝術呢？！ 參、 病毒的定義電腦病毒是一段很小的電腦程式，它是一種會不斷自我複製及感染的程式，在傳統的DOS環境下，通常它會寄存在可執行的檔案之中，或者是軟、硬碟的開機磁區啟動部份，隨著被感染程式由作業系統載入記憶體而同時執行，病毒因此獲得系統控制權；但在視窗系統中出現的文件巨集病毒則是附著在文件檔中，且其感染之對象亦限於文件檔。 簡單來說，會使檔案長度增加刪減、不尋常的錯誤訊息出現, 而且可以不斷的去感染其它程式的程式，我們都可以通稱它為電腦毒。 電腦病毒在我們的電腦裏執行並且導致不同的影響。它可把電腦裏的程式或數據消失或改變。電腦病毒與其它威脅不同，它可以不需要人們的介入就能由程式或系統傳播出去。程式碼包含一套不必要的指令，當執行時，它把自己傳播到其它的電腦系統、程式裏。首先它把自己拷貝(copy)在一個沒有被感染的程式或檔案裏，當這個程式或檔案執行任何指令時，這電腦病毒都會包括在指令裏。 根據病毒創造者的動機，這些指令可以做出任何事，其中包括顯示一段訊息、刪除檔案或精細地改變數據。有些情況下，電腦病毒並沒有破壞指令的企圖。但取而代之就是毒病佔據磁碟空間，中央處理器時間或網絡的連接。 肆、 病毒如何產生 電腦病毒被製造有很多不同的原因。例如：病毒是由僱員故意製造用來向 公司報復，表示自己的不滿；有些就是用來慶祝某些節日；甚至有些是由宗教狂、政治狂製造的 ，目的就是想從這途徑發表自己的聲音。有些程式編寫員製造電腦病毒的目的是為了表現自己的 能力或挑戰自己或別人，他們只是想看看病毒會帶來甚麼後果或者看看是否有人能夠把病毒清除 ，其實這種做法是錯誤運用自己的能力。其實很多病毒只不過是程式中的錯誤。當一個程式 編寫員設計一個新程式時，很多時都會注要不到其中的小問題或錯誤(bugs)。就因為這些小問題 或錯誤(bug)，造成一些不必要的指令及影響。所以作為一個好的程式編寫員應該在程式未公開前 把程式作一次徹底的檢查及測試。其實大部的錯誤病毒都沒有破壞性，所以正確來說這些錯 誤病毒應該被定義為錯誤(bug)而不是病毒伍、 有哪些類別l 開機型病毒開機型病毒是藏匿和感染磁碟片或硬碟的第一個磁區，即我們平常所說的Boot Sector。開機型病毒藉由開機動作而侵入記憶體，若你用已感染的磁片開機，那麼病毒將立即感染到你的硬碟。因為DOS的架構設計, 使得開機型病毒可以於每次開機時, 在作業系統還沒被載入之前就被載入到記憶體中, 這個特性使得病毒可以針對DOS的各類中斷 (Interrupt) 得到完全的控制, 並且擁有更大的能力去進行傳染與破壞。開機型病毒是以猴子（Monkey)病毒最為經典，另外像是曾經流行一陣子的米開朗基羅病毒（又名石頭三號病毒）也是屬於此類型的病毒。開機型病毒又分為種：.傳統開機型病毒。傳統開機型病毒大多經由磁碟傳染，進入電腦後再伺機傳染其他檔案，最有名的例子是米開朗基羅病毒。 .隱型開機型病毒。隱型開機型病毒感染的是硬碟的開機磁區，它偽造開機磁區的資料，使防毒軟件以為系是正常的。.目錄型開機型病毒。它只感染電腦的檔案配置表(FAT)，一但你的檔案配置表被破壞後，你的電腦檔案讀寫就會不正常，甚至失去檔案l 檔案型病毒檔案型病毒通常寄生在可執行檔(如 *.COM, *.EXE等)中。當這些檔案被執行時, 病毒的程式就跟著被執行。我們常見的檔案型病毒有Connie系到病毒與耶路撒冷(Jerusalem)系列病毒等等。檔案型的病毒依傳染方式的不同, 又分成非常駐型、常駐型和隱形三種a. 非常駐型病毒(Non-memory Resident Virus) : 非常駐型病毒將自己寄生在 *.COM, *.EXE或是 *.SYS的檔案中。當這些中毒的程式被執行時，就會嘗試地去傳染給另一個或多個檔案。 b. 常駐型病毒(Memory Resident Virus) :常駐型病毒躲在記憶體中，其行為就好像是寄生在各類的低階功能一般(如 Interrupts)，由於這個原因, 常駐型病毒往往對磁碟造成更大的傷害。一旦常駐型病毒進入了記憶體中, 只要執行檔被執行, 它就對其進行感染的動作, 其效果非常顯著。將它趕出記憶體的唯一方式就是冷開機(完全關掉電源之後再開機)。 c. 隱形檔案型病毒：它會把自己植入作業系統裡面，當程式向作業系統要求中斷服務時，它就會感染那個提出要的程式，而且看起來不像被感染的樣子。 l 複合型病毒 複合型病毒兼具開機型病毒以及檔案型病毒的特性。它們可以傳染 *.COM, *.EXE 檔，也可以傳染磁碟的開機系統區(Boot Sector)。由於這個特性，使得這種病毒具有相當程度的傳染力。一旦發病，其破壞的程度將會非常可觀！例如：台灣曾經流行的大榔頭(Hammer)，歐洲流行的Flip翻轉病毒皆是。l 千面人病毒千面人病毒可怕的地方，在於每當它們繁殖一次，就會以不同的病毒碼傳染到別的地方去。每一個中毒的檔案中，所含的病毒碼都不一樣，對於掃描固定病毒碼的防毒軟體來說，無疑是一個嚴重的考驗！如Whale病毒依附於.COM檔時，幾乎無法找到相同的病毒碼，而Flip病毒則只有2 byte的共同病毒碼（好像戴面具只剩兩個眼睛露出來）。l 巨集型病毒巨集病毒是目前最熱門的話題，它主要是利用軟體本身所提供的巨集能力來設計病毒，所以凡是具有寫巨集能力的軟體都有巨集病毒存在的可能，如Word、Excel、AmiPro都相繼傳出巨集病毒危害的事件,在台灣最著名的例子正是Taiwan NO.1 Word巨集病毒。陸、 病毒的種類l CIH病毒CIH 病毒是一種運用最新技術，會 Format 硬碟的最新病毒，通常都利用網路族上網時，進行傳播感染 。目前最新的變種病毒為CIH 會在每月 26 日發病，並會展現最強大的破壞力-Format 硬碟.CIH病毒平常並沒有作什麼破壞性的動作，也沒有顯示任何畫面，只是佔用部份記憶體而已。但是有些 32-bit的程式被感染之後，運作會不正常，甚至會造成當機。但是，CIH病毒長駐在主記憶體之後，每次 執行時，會檢查電的日期是否為4月26日，如果是，它會透果你的電腦I/O部：CF8，CFD，CFE修改你 的電腦的某些設定，並且把你電腦所有磁區的資料都毀了，甚至連硬碟分割區及開機區的資料都不在了 ，並且讓電腦當機。當你重新開機，螢幕會出現DISK BOOT FAILURE, INSERT SYSTEM DISK AND PRESS ENTER。若是用A槽開機再執行C:指令，則出現Invalid drive specification。即使曾經有備份開機 區資料，但是你磁碟中的資料已全毀，可不可以開機已經沒有意義了l I Love You病毒I LOVE YOU是 一 隻 只 會 影 響 微 軟 系 統 的 MICROSOFT OUTLOOK 與 OUTLOOK EXPRESS的 電腦 病 毒 它 是 不 會 影 響 使 用 MACINTOSH 或 LINOX 操 作 系 統 的 電 腦 。 如 果 是 使 用 後 者 電 腦 打 開 I LOVE YO U 的 電 子 信 是 沒 有 問 題 的 但 不 要 打 開 它 附 帶 的 檔 案 。“ I LOVE YOU” 電 腦 病 毒 是 滲 透 一 位 電 腦 用 戶 的 地 址 薄 自 發 地 向 遇 襲 者 的 聯 絡 人 發 出 這 封 信 這 項 病 毒 也 可 以 使 用 即 時 語 言 與 網 絡 清 談 系 統 作 祟 如 ICQ 系 統 等 。 所 以 不 要 接 受 清 談 室 的 檔 案l VBS_Kalamar 克菈瑪病毒VBS_Kalamar 克拉瑪 (別名: Anna Kournikova 為知名俄羅斯女網球選手古尼高娃，曾獲1999澳洲公開賽雙打冠軍)的病毒。這病毒主要透過一封信件標題名為”Here you have, ;o)的電子郵件，迅速地在全球各地散播。這病毒是由VB Script 程式語言所撰寫，傳播模式類似I Love You病毒，如收件人一旦執行附加檔案ANNAKOURNIKO.VA.JPG.VBS ，病毒便會自動透過受害者的MS Outlook內的名單發送大量郵件。l Black Firday (黑色星期五)這隻病毒於1987年在以色列希伯萊大學(Hebrew University) 電腦中心出現，並於年月日星期五在英國及世界各地爆發，這病毒會在每月的13號並且該日是星期五的日子才會發作。當這病毒出現後，很多人士便以這病毒為藍圖，並製造出很多很出品的病毒，如Jerusalem, New Jerusalem, Payday。l 特洛伊木馬程式現今電腦術語借用古希臘戰爭的其名，意思是一經進入，後患無窮。 特洛伊木馬原則上它和Laplink 、 PCanywhere 等程式一樣，只是一種遠端管理工具。 而且本身不帶傷害性，也沒有感染力，所以不能稱之為病毒(也有人稱之為第二代病毒)；但卻常常被視之為病毒。原因是如果有人不當的使用，破壞力可以比病毒更強。它駐留在目標電腦裡，可以隨電腦自動啟動並在某一連接進行偵聽，在對接收的資料識別後，對目標電腦執行特定的*作。 木馬，其實只是一個使用連接進行通訊的網路客戶/伺服器程式。 基本概念：網路客戶/伺服器模式的原理是一台主機提供伺服器(伺服端)，另一台主機接受伺服器(客戶端)。 作為伺服端的主機一般會開啟一個預設的連接埠並進行監聽(Listen)，如果有客戶端向伺服端的這一連接埠提出連接請求(Connect Request)，伺服端上的相對應程式就會自動執行，來回覆客戶端的請求。對於特洛伊木馬，被控制端就成為一台伺服器。木馬程式會想盡一切辦法隱藏自己，主要途徑有：在工作程序中隱形：將程式設為系統伺服器可以偽裝自己。 當然它也會悄無聲息地啟動，木馬會在每次使用者啟動時自動載入伺服器端，Windows系統啟動時自動載入應用程式的方法，木馬都會用上，如：win.ini、system.ini、註冊表等等都是木馬藏身的好地方。柒、 病毒的生命週期l 創造期當電腦駭客們花了數天或數週努力的研究出一些可以廣為散佈的程式碼, 電腦病毒就這樣誕了。當然, 他們是不會這樣就算了的, 他們通常都會設計一些破壞的行為在其中。l 孕育期這些電腦駭客們會將這些含有電腦病毒的檔案放在一些容易散播的地方。如BBS站, Internet的FTP站, 甚至是公司或是學校的網路中等等l 潛伏感染期在潛伏期中, 電腦病毒會不斷地繁殖與傳染。一個完美的病毒擁有很長的潛伏期, 如此一來病毒就有更多的時間去傳染到更多的地方, 更多的使用者, 一旦發病將會造成更大的傷害。例如世界知名的米開朗基羅病毒, 在每年三月六日發作前, 有整整一年的潛伏期。l 發病期當一切條件形成之後, 病毒於是就開始破壞的動作。有些病毒會在某些特定的日期發病, 有些則自己有個倒數計時裝置來決定發病的時間。雖然有些病毒並沒有發病時的破壞動作, 但是它們仍然會佔據一些系統資源, 而降低系統運作的效率。l 根除期如果有夠多的防毒軟體能夠偵測及控制這些病毒, 並且有夠多的使用者購買了防毒軟體, 那麼這些病毒就有機會被連根撲滅。雖然到現在為止, 並沒有人敢宣稱某一隻病毒完全絕跡, 但是有些病毒已經很明顯的被完全制止了 如早期的Disk Killer等。 捌、 電腦病毒的傳播電腦病毒一定要在電腦系統裏才能傳播。這提供了很多的途徑。例如如果你在別的電腦下載或執行一個已經被感染的程式，這樣你的電腦亦會被病毒所傳染。 病毒程式第一件要做的事通常是把自己複製電腦病毒主要是傳播、隱藏及破壞電腦系統。病毒會把附在一處可以有利於自己執行的系統裏。在運作電腦時，病毒可在很短的時間內把自己複製多個。 電腦病毒蔓延的主要方式是透過軟件的分享。如果軟件是透過人手散佈出去的，病毒蔓延的速度會比由BBS或國際網絡慢得多。 由於文書處理系統及國際網絡十分受歡迎，所以電腦病毒例如宏集病毒(marco virus)很容易在很短的日子裏傳播到無數用家的電腦系統裏。現在很多人都會用到文書處理器，並且附在電子郵件中傳送給其他人。如果這文件是帶有病毒的話，收件人亦會被傳染。 現在很多電子郵件程式都會把接收到的郵件自動地放在文書處理器開啟，所以收件人是在沒有選擇的情況下被傳染病毒。 另一電腦病毒傳播的除徑就是CD。現在翻版CD的情況十分嚴重，尤其在香港。這些翻版CD很多時都會帶有病毒，但由於CD不能用來編寫，所以CD裏的病毒亦不能被清除。另外，一些軟件製造商為了教訓這些用翻版軟件的人，他們故意設計一種病毒放在他們的軟件中。如果用家用的是正版軟件，病毒就不會發作；相反如果用的是反翻軟件，病毒程式就會執行破壞系統。 玖、 測試病毒的方法l 病毒碼掃描法 將新發現的病毒加以分析後, 根據其特徵, 編成病毒碼, 加入資料庫中。以後每當執行掃毒程式時, 便能立刻掃描程式檔案, 並作病毒碼比對, 即能偵測到是否有病毒。病毒碼掃描法又快又有效率( 例如趨勢科技的PC-cillin及Server Protect, 利用深層掃描技術, 在即時掃瞄各個或大或小的檔案時,平均只需1/20秒的時間), 大多數防毒軟體均採用這種方式, 但其缺點是無法偵測到未知的新病毒及以變種病毒。l 加總比對法 (Check Sum) 根據每個程式的檔案名稱、大小、時間、日期及內容, 加總為一個檢查碼, 再將檢查碼附於程式的後面, 或是將所有檢查碼放在同一個資料庫中, 再利用此Check-sum系統, 追蹤並記錄每個程式的檢查碼是否遭更改, 以判斷是否中毒。一個很簡單的例子就是, 當您把車停下來之後, 將里程表的數字寫下來。那麼下次您再開車時, 只要比對一下里程表的數字, 那麼您就可以斷定是否有人偷開了您的車子。這種技術可偵測到各式的病毒, 但最大的缺點就是誤判斷高, 且無法確認是哪種病毒感染的。對於隱形飛機式病毒, 亦無法偵測到。l 人工智慧陷阱(Rule-based) 人工智慧陷阱是一種監測電腦行為的常駐式掃描技術。它將所有病毒所產生的行為歸納起來, 一旦發現記憶體的程式有任何不當的行為, 系統就會有所警覺, 並告知使用。這種技術的優點是執行速度快、手續簡便, 且可以偵測到各式病毒；其缺點就是程式設計難, 且不容易考慮週全。不過在這千變萬化的病毒世界中, 人工智慧陷阱掃描技術是一個至少具有保全功能的新觀點。目前趨勢科技的PC-Cillin, 就對病毒的可疑行為設下了將近12道的陷阱, 以達到預防重於治療的目標。l 軟體模擬掃描法 軟體模擬技術專門用來對付千面人病毒(Polymorphic /Mutation Virus)。千面人病毒在每次傳染時, 都以不同的隨機亂數加密於每個中毒的檔案中, 傳統病毒碼比對的方式根本就無法找到這種病毒。軟體模擬技術則是成功地模擬CPU執行, 在其設計的DOS虛擬機器(Virtual Machine)下假執行病毒的變體引擎解碼程式, 安全並確實地將多型體病毒解開,使其顯露原本的面目, 再加以掃描。l VICE(Virus Instruction Code Emulation) - 先知掃描法 VICE先知掃描技術是繼軟體模擬後的一大技術上突破。既然軟體模擬可以建立一個保護模式下的DOS虛擬機器, 模擬CPU動作並假執行程式以解開變體引擎病毒, 那麼應用類似的技術也可以用來分析一般程式檢查可疑的病毒碼。因此VICE將工程師用來判斷程式是否有病毒碼存在的方法, 分析歸納成專家系統知識庫, 再利用軟體工程的模擬技術(Software Emulation)假執行新的病毒, 則可分析出新病毒碼對付以後的病毒。l 即時的I/O掃描(Realtime I/O Scan) Realtime I/O Scan的目的在於即時地對資料的輸入/輸出動作做病毒碼比對的動作, 希望能夠在病毒尚未被執行之前, 就能夠防堵下來。理論上, 這樣的即時掃描程式雖然會影響到整體的資料傳輸速率, 但是使用Realtime I/O scan, 檔案傳送進來之後, 就等於掃過了一次毒, 整體來說, 是沒有什麼差別的。l 文件巨集病毒陷阱(MacroTrapTM) MacroTrapTM 是結合了病毒碼比對與人工智慧陷阱的技術,依病毒行為模式(Rule base) 來偵測已知及未知的巨集病毒。其中,配合OLE2技術,可將巨集與文件分開,使得掃描速度變得飛快,而且更可有效地將巨集病毒徹底清除!壹拾、 如何預防l 預防篇1. 提倡尊重知識產權的觀念，支持使用合法原版的軟件，拒絕使用翻版軟件，只有這樣才能夠確實降低使用者電腦發生中毒的機會。 2. 平常就要將重要的資料備份起來，畢竟解毒軟體不能完全還原中毒的資料，只有靠自己的備份才是最重要的。 3. 建立一張緊急救援磁片，而且是乾淨可開機，DOS的版本與硬碟相同，同時裡面還要有以下程式：FDISK.EXE、FORMAT.COM、UNFORMAT.COM、SYS.COM、UNDELETE.EXE、SCANDISK.EXE、掃毒軟體所備份的啟動磁區及硬碟分割表檔案。如果你有PCTOOLS或Norton Utility等軟體，用它們來幫助你做一張緊急救援磁片，它們甚至可以還原CMOS資料，或是災後重建資料。(別忘了貼上防寫標籤。) 4. 不要隨便使用來路不明的檔案或磁碟，就算要使用，先用掃毒軟體掃一掃再用。 5. 隨時注意特殊的檔案(如COMMAND.COM、EMM386.EXE、WIN.COM、SMARTDRV.COM等)的長度與日期，以及記憶體使用的情形。利用MEM.EXE或MEMMAKER等來檢查傳統記憶體(Conventional Memory)有否640K(655360Bytes)？一般來說， 假如您的 BIOS 沒有挪做其它用途的話， 那您的電腦八成是中毒了！ 6. 避免用軟碟開機，甚且是別人的磁片。 7. 準備一些好的防毒、掃毒、解毒軟體，並且定期使用。 8. 建立正確病毒基本觀念，瞭解病毒感染、發作的原理，可以提高自己的警覺心。 9. 學習災後重建資料的技巧，別以為DIR看到一堆亂碼就救不回來了，其實有很多軟體修復資料的功能很強大，學會使用它們是很有幫助的。 l 治療篇1. 關(Step 1；關閉電源) 2. 開(Step 2；以乾淨磁片開機) 3. 掃(Step 3；用防