电脑病毒vs防毒系统

1、電腦病毒vs防毒系統組員:陳建榮 簡仲玲 劉得中1電腦病毒是一段很小的電腦程式，它是一種會不斷自我複製及感染的程式，在傳統的DOS環境下，通常它會寄存在可執行的檔案之中，或者是軟、硬碟的開機磁區啟動部份，隨著被感染程式由作業系統載入記憶體而同時執行，病毒因此獲得系統控制權；但在視窗系統中出現的文件巨集病毒則是附著在文件檔中，且其感染之對象亦限於文件檔。簡單來說，會使檔案長度增加刪減、不尋常的錯誤訊息出現，而且可以不斷的去感染其它程式的程式，我們都可以通稱它為電腦病毒。電腦病毒在我們的電腦裏執行並且導致不同的影響。它可把電腦裏的程式或數據消失或改變。電腦病毒與其它威脅不同，它可以不需要人們的介入

2、就能由程式或系統傳播出去。程式碼包含一套不必要的指令，當執行時，它把自己傳播到其它的電腦系統、程式裏。首先它把自己拷貝（copy）在一個沒有被感染的程式或檔案裏，當這個程式或檔案執行任何指令時，這電腦病毒都會包括在指令裏。根據病毒創造者的動機，這些指令可以做出任何事，其中包括顯示一段訊息、刪除檔案或精細地改變數據。有些情況下，電腦病毒並沒有破壞指令的企圖。但取而代之就是毒病佔據磁碟空間，中央處理器時間或網絡的連接。資料來源:奇摩知識綠精靈什麼是病毒?2電腦病毒並非是最近才出現的新產物 ,事實上 ,早在一九四九年 ,距離第一部商用電腦的出現仍有好幾年時 ,電腦的先驅者約翰.范紐曼(John Vo

3、n Neumann)在他所提出的一篇論文 複雜自動裝置的理論及組織的進行裏,即已把病毒程式 的藍圖勾勒出來 ,當時 ,絕大部份的電腦專家都無法想像這種會自我繁植的程式 是可能的 ,可是少數幾個科學家默默的研究范紐曼的所提出的概念 ,直到十年之 後 ,在美國電話電報公司(AT&T) 的貝爾(Bell)實驗室中 ,這些概念在一種很奇怪 的電子遊戲中成形了 ,這種電子遊戲叫做 磁蕊大戰 (core war)。磁蕊大戰是當時貝爾實驗室中三個年輕程式人員在工餘想出來的 ,他們是道格拉斯 麥耀萊(H, Douglas McIlroy) ,維特.維索斯基(Victor Vysottsky)以及羅伯.莫里 斯

4、(Robert T. Morris) ,當時三人年紀都只有二十多歲。附註: Robert T. Morris 就是後來寫了一個 Worm ,把 Internet 搞的天翻地覆的 那個 Robert T. Morris Jr. 的爸爸 ,當時大 Morris 剛好是負責 Arpanet 網路安全 。電腦病毒的老祖宗:磁蕊大戰的玩法如下:兩方各寫一套程式 ,輸入同一部電腦中 ,這兩套程式在電腦的 記憶系統內互相追殺 ,有時它們會放下一些關卡 ,有時會停下來修理(重新寫)被對方 破壞的幾行指令 ;當它被困時 ,也可以把自己複製一次 ,逃離險境 ,因為它們都在電 腦的記憶磁蕊中遊走 ,因此得到了磁蕊大

5、戰之名。這個遊戲的特點 ,在於雙方的程式進入電腦之後 ,玩遊戲的人只能看著螢幕上顯示的 戰況 ,而不能做任何更改 ,一直到某一方的程式被另一方的程式完全 吃掉 為止。資料來源:http:/librarys/computer/virus/baset1.htm(牛頓雜誌)病毒的起源3一. 網路媒介:電腦病毒蔓延的主要方式是透過軟件的分享。如果軟件是透過人手散佈出去的，病毒蔓延的速度會比由BBS或國際網絡慢得多。由於文書處理系統及國際網絡十分受歡迎，所以電腦病毒例如宏集病毒（marcovirus）很容易在很短的日子裏傳播到無數用家的電腦系統裏。現在很多人都會用到文書處理器，並且附在電子郵件中傳送給其

6、他人。如果這文件是帶有病毒的話，收件人亦會被傳染。現在很多電子郵件程式都會把接收到的郵件自動地放在文書處理器開啟，所以收件人是在沒有選擇的情況下被傳染病毒。 二. CD媒介:現在翻版CD的情況十分嚴重，尤其在香港。這些翻版CD很多時都會帶有病毒，但由於CD不能用來編寫，所以CD裏的病毒亦不能被清除。另外，一些軟件製造商為了教訓這些用翻版軟件的人，他們故意設計一種病毒放在他們的軟件中。如果用家用的是正版軟件，病毒就不會發作；相反如果用的是反翻軟件，病毒程式就會執行破壞系統。 資料來源:病毒主要感染途徑4開機型病毒（BootStrapSectorVirus）:開機型病毒是藏匿和感染磁碟片或硬碟的第

7、一個磁區，即我們平常所說的BootSector。開機型病毒藉由開機動作而侵入記憶體，若你用已感染的磁片開機，那麼病毒將立即感染到你的硬碟。因為DOS的架構設計，使得開機型病毒可以於每次開機時，在作業系統還沒被載入之前就被載入到記憶體中，這個特性使得病毒可以針對DOS的各類中斷（Interrupt）得到完全的控制，並且擁有更大的能力去進行傳染與破壞。開機型病毒是以猴子（Monkey）病毒最為經典，另外像是曾經流行一陣子的米開朗基羅病毒（又名石頭三號病毒）也是屬於此類型的病毒。開機型病毒又可以分為：傳統開機型病毒：傳統開機型病毒大多經由磁碟傳染，進入電腦後再伺機傳染其他檔案，最有名的例子是米開朗基

8、羅病毒。隱型開機型病毒：隱型開機型病毒感染的是硬碟的開機磁區，它偽造開機磁區的資料，使防毒軟件以為系是正常的。目錄型開機型病毒：它只感染電腦的檔案配置表（FAT），一但你的檔案配置表被破壞後，你的電腦檔案讀寫就會不正常，甚至失去檔案。病毒種類一5檔案型病毒（）:檔案型病毒通常寄生在可執行檔（如*.COM，*.EXE等）中。當這些檔案被執行時，病毒的程式就跟著被執行。我們常見的檔案型病毒有Connie系到病毒與耶路撒冷（Jerusalem）系列病毒等等。檔案型的病毒依傳染方式的不同，又分成非常駐型、常駐型和隱形三種:非常駐型病毒（Non-memoryResidentVirus）:非常駐型病毒將自

9、己寄生在*.COM，*.EXE或是*.SYS的檔案中。當這些中毒的程式被執行時，就會嘗試地去傳染給另一個或多個檔案。常駐型病毒（MemoryResidentVirus）:常駐型病毒躲在記憶體中，其行為就好像是寄生在各類的低階功能一般（如Interrupts），由於這個原因，常駐型病毒往往對磁碟造成更大的傷害。一旦常駐型病毒進入了記憶體中，只要執行檔被執行，它就對其進行感染的動作，其效果非常顯著。將它趕出記憶體的唯一方式就是冷開機（完全關掉電源之後再開機）。隱形檔案型病毒：它會把自己植入作業系統裡面，當程式向作業系統要求中斷服務時，它就會感染那個提出要的程式，而且看起來不像被感染的樣子。 病毒種

10、類二6複合型病毒（Multi-PartiteVirus）:複合型病毒兼具開機型病毒以及檔案型病毒的特性。它們可以傳染*.COM，*.EXE檔，也可以傳染磁碟的開機系統區（BootSector）。由於這個特性，使得這種病毒具有相當程度的傳染力。一旦發病，其破壞的程度將會非常可觀！例如：台灣曾經流行的大榔頭（Hammer），歐洲流行的Flip翻轉病毒皆是。千面人病毒（Polymorphic/MutationVirus）:千面人病毒可怕的地方，在於每當它們繁殖一次，就會以不同的病毒碼傳染到別的地方去。每一個中毒的檔案中，所含的病毒碼都不一樣，對於掃描固定病毒碼的防毒軟體來說，無疑是一個嚴重的考驗！如

11、Whale病毒依附於.COM檔時，幾乎無法找到相同的病毒碼，而Flip病毒則只有2byte的共同病毒碼（好像戴面具只剩兩個眼睛露出來）。巨集病毒（MacroVirus）:巨集病毒是目前最熱門的話題，它主要是利用軟體本身所提供的巨集能力來設計病毒，所以凡是具有寫巨集能力的軟體都有巨集病毒存在的可能，如Word、Excel、AmiPro都相繼傳出巨集病毒危害的事件，在台灣最著名的例子正是TaiwanNO.1Word巨集病毒。資料來源:奇摩知識重生病毒種類三7一代病毒（傳統型病毒）的共同特色，就是一定有一個寄主程式，所謂寄主程式就是指那些讓病毒窩藏的地方。最常見的就是一些可執行檔，像是副檔名為.EX

12、E及.COM的檔案。但是由於微軟的WORD愈來愈流行，且WORD所提供的巨集功能又很強，使用WORD巨集寫出來的病毒也愈來愈多，也因此副檔名為.DOC的也會成為寄主程式。尤其是這一年來，巨集病毒可真的算是紅上半邊天，只要提到TaiwanNO.1，那可說是無人不知，無人不曉。也許你覺得像WORD這種文件檔都可以中毒，真是一件不可思議的事，那麼，第二代病毒的特性更會讓你合不攏嘴！相對於第一代病毒，第二代病毒完全不需要寄主的程式，如果硬要說它寄生在哪裡，或許只能說它是寄生在Internet上吧。說真的，如果Internet上的網頁只是單純用HTML寫成的話，那麼要傳播病毒的機會可說是非常小了。但是呢

13、，為了讓網頁看起來更生動，更漂亮，許多語言也紛紛出籠，其中最有名的就屬JAVA和ActiveX了，不幸的是，這兩個語言都相繼地被有心人士點召，成為第二代病毒的溫床。資料來源:病毒新趨勢8病毒碼掃描法 :所謂的病毒碼其實可以想像成是犯人的指紋，當防毒軟體公司收集到一隻新的病毒時，他們就會從這個病毒程式中截取一小段獨一無二而且足以表示這隻病毒的二進位程式碼（BinaryCode），來當做掃毒程式辨認此病毒的依據，而這段獨一無二的二進位程式碼就是所謂的病毒碼。在電腦中所有可以執行的程式（如*.EXE，*.COM）幾乎都是由二進位程式碼所組成，也就是電腦的最基本語言-機械碼。就連當紅的文件巨集病毒，雖

14、然它只是包含在Word文件檔案中的巨集，可是它的巨集程式也是以二進位碼的方式存在於Word文件檔中。將新發現的病毒加以分析後，根據其特徵，編成病毒碼，加入資料庫中。以後每當執行掃毒程式時，便能立刻掃描程式檔案，並作病毒碼比對，即能偵測到是否有病毒。病毒碼掃描法又快又有效率（例如趨勢科技的PC-cillin及ServerProtect，利用深層掃描技術，在即時掃瞄各個或大或小的檔案時，平均只需1/20秒的時間），大多數防毒軟體均採用這種方式，但其缺點是無法偵測到未知的新病毒及以變種病毒。防毒系統介紹一9軟體模擬掃描法:軟體模擬技術專門用來對付千面人病毒（Polymorphic/MutationV

15、irus）。千面人病毒在每次傳染時，都以不同的隨機亂數加密於每個中毒的檔案中，傳統病毒碼比對的方式根本就無法找到這種病毒。軟體模擬技術則是成功地模擬CPU執行，在其設計的DOS虛擬機器（VirtualMachine）下假執行病毒的變體引擎解碼程式，安全並確實地將多型體病毒解開，使其顯露原本的面目，再加以掃描。VICE（VirusInstructionCodeEmulation）-先知掃描法VICE先知掃描技術是繼軟體模擬後的一大技術上突破。既然軟體模擬可以建立一個保護模式下的DOS虛擬機器，模擬CPU動作並假執行程式以解開變體引擎病毒，那麼應用類似的技術也可以用來分析一般程式檢查可疑的病毒碼。

16、因此VICE將工程師用來判斷程式是否有病毒碼存在的方法，分析歸納成專家系統知識庫，再利用軟體工程的模擬技術（SoftwareEmulation）假執行新的病毒，則可分析出新病毒碼對付以後的病毒。資料來源:防毒系統介紹二101.長度比較法及內容比較法 病毒感染系統或檔，必然引起系統或檔的變化，既包括長度的變化，又包括內容的變化。因此，將無毒的系統或檔與被檢測的系統或檔的長度和內容進行比較，即可發現病毒。長度比較法和內容比較法就是從長度和內容兩方面進行比較而得名。 以長度或內容是否變化做為檢測病毒的依據，在許多場合是有效的。但是，眾所周知，現在還沒有一種方法可以檢測所有的病毒。長度比較法和內容比較

17、法有其局限性，只檢查可疑系統或檔的長度和內容是不充分的。因為： （1）長度和內容的變化可能是合法的。有些普通的命令可以引起長度和內容變化。 （2）某些病毒感染檔時，宿主檔長度可保持不變。 上述情況下，長度比較法和內容比較法不能區別程式的正常變化和病毒攻擊引起的變化，不能識別保持宿主程序長度不變的病毒，無法判定為何種病毒。實踐告訴人們，只靠檢測長度或內容是不充分的，將長度比較法、內容比較法做為檢測病毒的手段之一，與其他方法配合使用，效果更好。 2記憶體比較法 這是一種對記憶體駐留病毒進行檢測的方法。由於病毒駐留於記憶體，必須在記憶體中申請一定的空間，並對該空間進行佔用、保護。因此，通過對記憶體的

18、檢測，觀察其空間變化，與正常系統記憶體的佔用和空間進行比較，可以判定是否，有病毒駐留其間。但無法判定為何種病毒。此法對於那些隱蔽型病毒無效。 3中斷比較法 病毒為實現其隱蔽和傳染破壞之目的，常採用“截留盜用”技術，更改、接管中斷向量，讓系統中斷向量轉向執行病毒控制部分。因此，將正常系統的中斷向量與有毒系統的中斷向量進行比較，可以發現是否有病毒修改和盜用中斷向量。 由於高版本的DOS系統在DOS引導之後重新管理一部分BIOS中斷服務程式，即將原中斷向量保存起來，這時；引導型病毒所修改的中斷向量也同時被保存起來，因而從中斷向量中可能觀察不到引導型病毒對中斷向量的修改。與PCTOOLS一同提供的MI

19、是一個非常有用的檢測工具，它不僅能夠顯示系統記憶體大小、記憶體分配狀況， 而且能夠顯示出哪個駐留程序佔用哪些記憶體空間、接管哪些中斷向量。用MI軟體可檢測出檔型病毒常駐記憶體及更改部分中斷向量的信息。資料來源:病毒診斷原理11支持使用合法原版的軟件，拒絕使用翻版軟件，降低使用者電腦發生中毒的機會。平常就要將重要的資料備份起來，畢竟解毒軟體不能完全還原中毒的資料，只有靠自己的備份建立一張緊急救援磁片，而且是乾淨可開機，DOS的版本與硬碟相同，同時裡面還要有以下程式：FDISK.EXE、FORMAT.COM、UNFORMAT.COM、SYS.COM、UNDELETE.EXE、SCANDISK.EXE、掃毒軟體所備份的啟動磁區及硬碟分割表檔案。如果你有PCTOOLS或N