字體:小 中 大 | |
|
|
2009/11/09 13:38:31瀏覽852|回應2|推薦0 | |
1. 何謂電腦病毒(Computer Virus) 上述這種感染式的做法,除了透過磁片及網路,隨著Internet的盛行,透過電子郵件夾帶病毒附件、Script碼(Java script、VB script)、網路元件(Java applet、ActiveX)的傳染方式如今相當普遍。電腦病毒的生命週期,主要階段有潛伏期(infection phase)及發病期(attack phase),說明如下: 創造期: 當電腦駭客們花了數天或數週努力的研究出一些可以廣為散佈的程式碼, 電腦病毒就這樣誕生了。當然, 他們是不會這樣就算了的, 他們通常都會設計一些破壞的行為在其中。 孕育期: 這些電腦駭客們會將這些含有電腦病毒的檔案放在一些容易散播的地方。如BBS站, Internet的FTP站, 甚至是公司或是學校的網路中等等。 潛伏期: 在潛伏期中, 電腦病毒會不斷地繁殖與傳染。一個完美的病毒擁有很長的潛伏期, 如此一來病毒就有更多的時間去傳染到更多的地方, 更多的使用者, 一旦發病將會造成更大的傷害。例如世界知名的米開朗基羅病毒, 在每年三月六日發作前, 有整整一年的潛伏期。 發病期: 當一切條件形成之後, 病毒於是就開始破壞的動作。有些病毒會在某些特定的日期發病, 有些則自己有個倒數計時裝置來決定發病的時間。雖然有些病毒並沒有發病時的破壞動作, 但是它們仍然會佔據一些系統資源, 而降低系統運作的效率。 根除期: 如果有夠多的防毒軟體能夠偵測及控制這些病毒, 並且有夠多的使用者購買了防毒軟體, 那麼這些病毒就有機會被連根撲滅。雖然到現在為止, 並沒有人敢宣稱某一隻病毒完全絕跡, 但是有些病毒已經很明顯的被完全制止了 – 如早期的Disk Killer等。
木馬:源自希臘木馬屠城神話,木馬程式偽裝成有用的程式,隱藏著危害電腦系統的程式。木馬程式本身沒有複製能力,而是透過病毒、電腦蟲、愚弄程式、郵件附檔植入電腦系統。例子:1989年,有人以AIDS資訊名義,寄送大量磁片給大眾。只要電腦讀取磁片,便偷偷地將木馬程式植入電腦。之後當電腦開機滿90次,潛伏的木馬程式會將硬碟機上的所有檔案更名及隱藏。 電腦蟲:與一般病毒不同,它是藉由網路將自己複製給網路上的其他電腦,而不是感染其他檔案。電腦蟲不需要使用者介入啟動,透過電腦機制自動擴散,造成網路中斷或傷害網路電腦。例子:1988年,名為Morris的電腦蟲迅速散佈於網路上,不斷複製至網路電腦,造成網路癱瘓。 愚弄郵件:
3. 電腦病毒型態分類 (2) 開機型 (3) 巨集型 多型病毒可怕的地方,在於每當它們繁殖一次,就會以不同的病毒碼傳染到別的地方去。每一個中毒的檔案中,所含的病毒碼都不一樣,對於掃描固定病毒碼的防毒軟體來說,無疑是一個嚴重的考驗!如Whale病毒依附於.COM檔時,幾乎無法找到相同的病毒碼,而Flip病毒則只有2 byte的共同病毒碼(好像戴面具只剩兩個眼睛露出來)。 (5) 隱型病毒 (Stealth Virus):
4. 病毒防治 根據每個程式的檔案名稱、大小、時間、日期及內容, 加總為一個檢查碼,再將檢查碼附於程式的後面,或是將所有檢查碼放在同一個資料庫中,再利用此Check-sum系統,追蹤並記錄每個程式的檢查碼是否遭更改,以判斷是否中毒。一個很簡單的例子就是,當您把車停下來之後,將里程表的數字寫下來。那麼下次您再開車時,只要比對一下里程表的數字,那麼您就可以斷定是否有人偷開了您的車子。這種技術可偵測到各式的病毒,但最大的缺點就是誤判斷高,且無法確認是哪種病毒感染的。對於隱形病毒,亦無法偵測到。 人工智慧陷阱(Rule-based) 人工智慧陷阱是一種監測電腦行為的常駐式掃描技術。它將所有病毒所產生的行為歸納起來,一旦發現記憶體的程式有任何不當的行為,系統就會有所警覺,並告知使用者。這種技術的優點是執行速度快、手續簡便,且可以偵測到各式病毒;其缺點就是程式設計難,且不容易考慮週全。不過在這千變萬化的病毒世界中, 人工智慧陷阱掃描技術是一個至少具有保全功能的新觀點,以達到預防重於治療的目標。 軟體模擬掃描法 軟體模擬技術專門用來對付多型病毒(Polymorphic /Mutation Virus)。多型病毒在每次傳染時,都以不同的隨機亂數加密於每個中毒的檔案中,傳統病毒碼比對的方式根本就無法找到這種病毒。軟體模擬技術則是成功地模擬CPU執行,在其設計的DOS虛擬機器(Virtual Machine)下假執行病毒的變體引擎解碼程式,安全並確實地將多型體病毒解開,使其顯露原本的面目,再加以掃描。 VICE(Virus Instruction Code Emulation)-先知掃描法 VICE先知掃描技術是繼軟體模擬後的一大技術上突破。既然軟體模擬可以建立一個保護模式下的DOS虛擬機器,模擬CPU動作並假執行程式以解開變體引擎病毒,那麼應用類似的技術也可以用來分析一般程式檢查可疑的病毒碼。因此VICE將工程師用來判斷程式是否有病毒碼存在的方法,分析歸納成專家系統知識庫,再利用軟體工程的模擬技術(Software Emulation)假執行新的病毒,則可分析出新病毒碼對付以後的病毒。 即時的I/O掃描(Realtime I/O Scan)
文件巨集病毒陷阱(MacroTrap) MacroTrap是結合了病毒碼比對與人工智慧陷阱的技術,依病毒行為模式(Rule base) 來偵測已知及未知的巨集病毒。其中,配合OLE2技術,可將巨集與文件分開,使得掃描速度變得飛快,而且更可有效地將巨集病毒徹底清除!5. 病毒碼及病毒掃瞄引擎 什麼是病毒碼 (Virus Pattern)? 所謂的病毒碼其實可以想像成是犯人的指紋,當防毒軟體公司收集到一隻新的病毒時,他們就會從這個病毒程式中截取一小段獨一無二而且足以表示這隻病毒的二進位程式碼 (Binary Code),來當做掃毒程式辨認此病毒的依據,而這段獨一無二的二進位程式碼就是所謂的病毒碼。說到這裡又有人要問,什麼叫二進位程式碼呢? 在電腦中所有可以執行的程式 (如 *.EXE, *.COM) 幾乎都是由二進位程式碼所組成,也就是電腦的最基本語言 -- 機械碼。就連當紅的文件巨集病毒,雖然它只是包含在Word文件檔案中的巨集,可是它的巨集程式也是以二進位碼的方式存在於Word文件檔中。 病毒碼是如何產生的? 上面提到病毒碼就是一小段二進位程式碼的組合,可是一個執行檔或是一個Word文件病毒要怎麼取得病毒碼? 又如何才算是獨一無二的病毒碼呢? 其實病毒碼必須依照各種不同格式的檔案及病毒感染的方式來取得。舉例來講,如果有一個Windows的程式被病毒染感,那麼我們就必須先研究出Windows檔案的格式,看看Windows檔案是怎麼被系統執行,以便找出Windows程式的進入點,因為病毒就是藏身在這個地方來取得控制權並進行傳染及破壞,知道病毒程式在一個Windows檔案中所存在的位置之後,就可以從這個區域中來找出一段特殊的病毒碼供掃毒程式使用。 在防毒軟體公司中都會有一組電腦功力高強的人,專門在為各種不類型的檔案或病毒抓病毒碼,可是當病毒愈來愈多,要找出每一隻病毒都獨一無二的病毒碼可能就不太容易,有時後甚至這些病毒碼還會誤判到一些不是病毒的正常檔案,所以通常防毒軟體公司在將病毒碼送給客戶前都必須先經過一番嚴格的測試,比方說拿這些病毒碼去掃描前100大 (Top 100) 軟體都不會造成任何誤判現象,而且都能偵測到所有的病毒才能出貨,經過這些手續之後一個病毒碼定義檔才算是真正完成,可放在Internet或BBS上供使用者自由 Download。 何謂掃毒引擎 (Scan Engine)? 掃毒引擎可以說是防毒軟體中最精華的部份。 當您使用一套防毒軟體時, 不論它的畫面是否精美, 操作是否簡便, 功能是否完善, 這些其實都還不足以證明一套防毒軟體的好壞, 事實上, 當您操作防毒軟體去掃描某一個磁碟機或目錄時, 它其實是把這個磁碟機或目錄下的檔案一一送進掃毒引擎來進行掃描, 也就是說您所看到的漂亮畫面其實只是一個使用者介面 (UI, User Interface), 真正影響掃描速度及偵測率的因素就是掃毒引擎, 掃毒引擎是一個沒有畫面, 沒有包裝的核心程式, 它被放在防毒軟體所安裝的目錄之下, 就好像汽車引擎平常是無法直接看見的, 可是它卻是影響汽車性能最主要的關鍵。有了病毒碼, 有了掃毒引擎, 再配合一個精美的操作畫面, 就成了市面上您所看到的防毒軟體。 為什麼要更新掃瞄引擎和病毒碼? 在一開始提到過絕大多數的人都以為安裝了一套防毒軟體之後, 就可以從此高枕無憂, 這是一個絕對錯誤的觀念, 因為病毒的種類及型態一直在改變, 新病毒也每天不斷的被產生, 如果不經常更換最新的病毒碼以及掃瞄引擎, 再強悍的防毒軟體也會有失靈的一天。舉個最明顯的例子來說, 在還沒有出現巨集病毒以前, 全世界沒有任何一家防毒軟體廠商支援巨集病毒掃描能力, 當然如果您還在沿用數年前的防毒軟體, 就無法偵測到巨集病毒了, 所以您必須使用能掃到到巨集病毒的病毒碼及支援巨集病毒的掃毒瞄引擎。 若只單單更換病毒碼或掃毒引擎還是不夠的, 因為舊的病毒碼檔可能還沒加入巨集病毒的病毒碼, 或者是舊的掃毒引擎跟本還沒支援文件檔的掃毒, 因此這樣的組合還是沒辦法發揮防毒的效果。病毒碼和掃毒引擎是防毒工作中相當重要的一環, 目前一些比較大的防毒軟體廠商都有將病毒碼及掃毒引擎放在網站上供人免費下載, 請記得定期更新防毒元件(病毒碼及掃瞄引擎)。6. 判斷電腦是否中毒的簡易方法, 其實電腦少根筋時,是有跡可尋的,由於電腦病毒會影響電腦系統, 所以, 當使用者發現使用的電腦有下列狀況時,應該要考慮是否有病毒感染的問題:(1)檔案長度、日期改變 一般套裝軟體執行檔的時間, 應該都是該產品的出廠日期,如果檔案的時間無緣無故變成系統時間時,或是檔案長度和原先的不一樣時,這表示檔案內容曾經被更改過, 電腦很有可能被病毒感染了。 (2) 系統執行速度下降 覺得電腦執行速度越來越慢,或是系統載入執行檔的時間越來越長時,可能是因為電腦中毒了。一般常駐型的電腦病毒在常駐記憶體後,會強搶 CPU 的時間及記憶體空間,而非常駐型電腦病毒則會在寄主程式被載入系統的那一剎那間,伺機感染 3~5 個檔案,這兩種行為, 都會造成系統執行速度變慢。 (3) 檔案無故消失、I/O 動作改變 有些病毒會刪除檔案, 造成檔案無故的消失; 另有些病毒會使得列印失效、DIR 不同的軟碟卻得到相同的內容... 等I/O 動作的改變,造成電腦使用的阻礙。
有些病毒如 "Crash", "512", "Datacrime" 等, 都會造成系統當機,所以,當使用者感覺到電腦常常當機時,除了懷疑硬體問題外,還應當考慮到病毒的問題。 根據一些電腦維修中心的人員透露:大約一半以上送廠維修的電腦, 都是病毒的問題,所以, 如有上述現象時,不妨先用掃毒程式檢查一下,以減少額外的維修費。7. 日常防毒保健 電腦病毒的傳染途徑,主要是經由磁片(開機型病毒) 與檔案(檔案型病毒) 兩種媒介傳播,因此,要防止電腦中毒,除非是該台電腦完全不和其它電腦 有磁片或檔案的交換,否則就無法保證不中毒了,但事實上,誰都無法作如 此的保證。 • 避免使用盜版軟體 • 儘量用硬碟開機,如無硬碟,則開機磁片要記得貼上防寫貼紙 • 要裝置真正有效的防毒軟體(如 Norton-Antivirus、PC-cillin), 以達到預防重於治療的目的。 • 開啟 Email 附件或至 Internet 下載檔案時,要先用防毒軟體所附之掃毒程式檢查過,才可放入硬碟內(一般防毒軟體會提供即時偵測)。 • 定期更新病毒碼,啟動防毒軟體掃瞄整個電腦系統。 • 養成每日備份資料。
|
|
( 休閒生活|網路生活 ) |