《资讯安全》PPT课件.ppt

資訊安全 電腦病毒一年十六班四號林沛瑩 目錄 電腦病毒的產生病毒種類電腦病毒的影響電腦病毒的測驗電腦病毒的防治電腦病毒的徵兆相關資訊 病毒種類 開機磁區電腦病毒此類病毒會寄生在磁碟的啟動磁區中 當使用者開機 載入作系統的系統檔案時 便會常駐在記憶體中 進而感染其他軟 硬磁碟機的乒動磁區 常見 米開朗基羅 磁碟殺手 檔案型電腦病毒早期大多會寄生在副名為COM及EXE的執行檔上 現今的檔案型病毒則多以javacript或VBScript 副檔名JS VBS 撰寫而成 常見 十三號星期五 病毒種類 混合型病毒兼具了開機型及檔案型病毒的特性 他除 會感染執行檔之外還能感染啟動磁區 常見 大榔頭 NATAS 巨集型病毒通常寄生含有VBA聚集的文件檔案 如 doc xls 上當使用者開啟感染此類病毒的文件檔案時病毒便會開始進行破壞電腦系統的工作常見 台灣NO 1 台灣釣魚台 病毒種類 蠕蟲蠕蟲是另一種能自行複製和經由網絡擴散的程式 蠕蟲利用電郵系統去複製 例如把自己隱藏於附件並於短時間內電郵予多個用戶 特洛伊木馬是一個看似正當的程式 但事實上當執行時會進行一些惡性及不正當的活動 特洛伊可用作黑客工具去竊取用戶的密碼資料或破壞硬碟內的程式或數據 與電腦病毒的分別是特洛伊不會複製自己 它的傳播技倆通常是誘騙電腦用家把特洛伊木馬植入電腦內 例如通過電郵上的遊戲附件等 電腦病毒的產生 電腦病毒被製造有很多不同的原因 如 病毒是由僱員故意製造用來向公司報復 表示自己的不滿 有些就是用來慶祝某些節日 甚至有些是由宗教狂 政治狂製造的 目的就是想從這途徑發表自己的聲音 有些程式編寫員製造電腦病毒的目的是為了表現自己的能力或挑戰自己或別人 他們只是想看看病毒會帶來甚麼後果或者看看是否有人能夠把病毒清除 其實這種做法是錯誤運用自己的能力 其實很多 病毒 只不過是程式中的錯誤 當一個程式編寫員設計一個新程式時 很多時都會注要不到其中的小問題或錯誤 bugs 就因為這些小問題或錯誤 bug 造成一些不必要的指令及影響 所以作為一個好的程式編寫員應該在程式未公開前把程式作一次徹底的檢查及測試 其實大部的 錯誤 病毒都沒有破壞性 所以正確來說這些錯誤病毒應該被定義為 錯誤 bug 而不是 病毒 電腦病毒的影響 大部份的病毒都是把電腦程式及數據破壞 有些電腦病毒例如FormatC macrovirus 及StonedDaniela 當它們被觸發時 會無條件地把硬磁碟格式化及刪除磁碟上所有系統檔案 以AOL4FreeTrojanHorse為例子 它附在電子郵件訊息上並以AOL4FREE COM為檔案名 其實它是用DOS的公用程式 utility BATEXEC1 5版本由成批文件 batchfile 轉換過來的 這個TrojanHorse首先會在DOS裏的不同目錄找尋DELTREE EXE這個檔案 然後用這個檔案把硬磁碟裏的所有檔案刪除 當檔案被刪除後 它會顯示一個DOS錯誤訊息 BadCommandorfilename 以及一個猥褻的訊息 obscenemessage 如果這病毒找不到DELTREE EXE的話 它就不能把檔案刪除 但猥褻的訊息 obscenemessage 仍會出現 有些病毒 如Monkey Stoned Empire Monkey 及AntiEXE 會感染主啟動記錄 MasterBootRecordMBR 及DOS啟動磁區 DosBootSector 之後它會降低記憶體及硬磁碟的效能 直至當我們的用電腦時螢光幕上顯示一些訊息或有其他損壞 電腦病毒的測驗 對曾中過電腦病毒的朋友 都知道電腦病毒是什麼樣子 例如是檔案的長度和日期忽然改變 系統執行速度下降或出現一些奇怪的訊息或者無故當機 嚴重的是硬碟被重新格式化 電腦病毒如前文所說的那麼神通廣大 那麼我們常用的防毒軟件是如何去發現它們的呢 他們就是利用所謂的病毒碼 VirusPattern 電腦病毒的測驗 防毒軟體常使用的病毒測試技術 病毒碼掃描法將新發現的病毒加以分析後 根據其特徵 編成病毒碼 加入資料庫中 以後每當執行掃毒程式時 便能立刻掃描程式檔案 並作病毒碼比對 即能偵測到是否有病毒 病毒碼掃描法又快又有效率 例如趨勢科技的PC cillin及ServerProtect 利用深層掃描技術 在即時掃瞄各個或大或小的檔案時 平均只需1 20秒的時間 大多數防毒軟體均採用這種方式 但其缺點是無法偵測到未知的新病毒及以變種病毒 電腦病毒的測驗 加總比對法 Check sum 根據每個程式的檔案名稱 大小 時間 日期及內容 加總為一個檢查碼 再將檢查碼附於程式的後面 或是將所有檢查碼放在同一個資料庫中 再利用此Check sum系統 追蹤並記錄每個程式的檢查碼是否遭更改 以判斷是否中毒 這種技術可偵測到各式的病毒 但最大的缺點就是誤判斷高 且無法確認是哪種病毒感染的 對於隱形飛機式病毒 亦無法偵測到 人工智慧陷阱 Rule based 人工智慧陷阱是一種監測電腦行為的常駐式掃描技術 它將所有病毒所產生的行為歸納起來 一旦發現記憶體的程式有任何不當的行為 系統就會有所警覺 並告知使用 這種技術的優點是執行速度快 手續簡便 且可以偵測到各式病毒 其缺點就是程式設計難 且不容易考慮週全 不過在這千變萬化的病毒世界中 人工智慧陷阱掃描技術是一個至少具有保全功能的新觀點 目前趨勢科技的PC Cillin 就對病毒的可疑行為設下了將近12道的陷阱 以達到預防重於治療的目標 電腦病毒的測驗 軟體模擬掃描法軟體模擬技術專門用來對付千面人病毒千面人病毒在每次傳染時 都以不同的隨機亂數加密於每個中毒的檔案中 傳統病毒碼比對的方式根本就無法找到這種病毒 軟體模擬技術則是成功地模擬CPU執行 在其設計的DOS虛擬機器下假執行病毒的變體引擎解碼程式 安全並確實地將多型體病毒解開 使其顯露原本的面目 再加以掃描 VICE先知掃描法VICE先知掃描技術是繼軟體模擬後的一大技術上突破 既然軟體模擬可以建立一個保護模式下的DOS虛擬機器 模擬CPU動作並假執行程式以解開變體引擎病毒 那麼應用類似的技術也可以用來分析一般程式檢查可疑的病毒碼 因此VICE將工程師用來判斷程式是否有病毒碼存在的方法 分析歸納成專家系統知識庫 再利用軟體工程的模擬技術假執行新的病毒 則可分析出新病毒碼對付以後的病毒 電腦病毒的測驗 即時的I O掃描RealtimeI OScan的目的在於即時地對資料的輸入 輸出動作做病毒碼比對的動作 希望能夠在病毒尚未被執行之前 就能夠防堵下來 理論上 這樣的即時掃描程式雖然會影響到整體的資料傳輸速率 但是使用RealtimeI Oscan 檔案傳送進來之後 就等於掃過了一次毒 整體來說 是沒有什麼差別的 文件巨集病毒陷阱MacroTrapTM是結合了病毒碼比對與人工智慧陷阱的技術 依病毒行為模式 Rulebase 來偵測已知及未知的巨集病毒 其中 配合OLE2技術 可將巨集與文件分開 使得掃描速度變得飛快 而且更可有效地將巨集病毒徹底清除 電腦病毒的防治 電腦病毒的防治包括了兩方面 一是預防 二是治毒 古人有云 預防勝於治療 所以預防電腦病毒對保護你的電腦系統免受病毒破壞是非常重要的 但是亡羊補牢 為時未晚也 治毒和預防都不可忽視 預防篇提倡尊重知識產權的觀念 支持使用合法原版的軟件 拒絕使用翻版軟件 只有這樣才能夠確實降低使用者電腦發生中毒的機會 平常就要將重要的資料備份起來 畢竟解毒軟體不能完全還原中毒的資料 只有靠自己的備份才是最重要的 避免用軟碟開機 甚且是別人的磁片 準備一些好的防毒 掃毒 解毒軟體 並且定期使用 建立正確病毒基本觀念 瞭解病毒感染 發作的原理 學習災後重建資料的技巧 別以為DIR看到一堆亂碼就救不回來了 其實有很多軟體修復資料的功能很強大 學會使用它們是很有幫助的 電腦病毒的防治 治療篇關 Step1 關閉電源 開 Step2 以乾淨磁片開機 掃 Step3 用防毒軟體掃瞄病毒 除 Step4 若偵測到病毒 則刪除之 救 Step5 若偵測到的是硬碟分割區或啟動區病毒時 可用 硬碟緊急救援磁片 救回資料 或用乾淨DOS磁片中的FDISK指令 執行FDISK MBR以救回硬碟分割區資料 另可在A槽中執行A SYSC C為中毒磁碟 以救回資料 若不行就只有重新格式化硬碟了防 Step 好了 您的電腦安全了 不過為了預防未來不再受到病毒之侵害 建議您經常更新你的防毒軟件 以建立完善且堅固的病毒防疫系統 電腦病毒的徵兆 不具破壞型這種溫和型的電腦病毒因其設計原理較為簡單且不具殺傷力 所以在今電腦病毒家族中以不見其蹤跡了 其可能的徵兆有 1 程式的執行速度變慢了 2 出現一些玩笑的字句 3 出現一些電腦音樂 4 電腦常常莫名其 妙當機 電腦病毒的徵兆 輕微破壞型這種型最常見的徵兆就是檔案忽然變大 或是檔案屬性被改了 諸如此類都還是算是較輕微的破壞 其徵兆如下 1 執行程式時就出現 Programtoobigtofitinthememory 2 由軟碟開機時 無法進入硬碟C D 中 3 檔案名稱 屬性被更改了或無緣無故將檔案消除不見了 4 在DOS下 鍵入DIR時會出現一些亂碼 電腦病毒的徵兆 嚴重破壞型此種所表現出來的徵兆最為可怕