電腦病毒電腦病毒 vsvs防毒系統防毒系統

組員 : 陳建榮 簡仲玲 劉得中

• 電腦病毒是一段很小的電腦程式，它是一種會不斷「自我複製」及「感染」的程式，在傳統的 DOS 環境下，通常它會寄存在可執行的檔案之中，或者是軟、硬碟的開機磁區啟動部份，隨著被感染程式由作業系統載入記憶體而同時執行，病毒因此獲得系統控制權；但在視窗系統中出現的文件巨集病毒則是附著在文件檔中，且其感染之對象亦限於文件檔。簡單來說，會使檔案長度增加刪減、不尋常的錯誤訊息出現，而且可以不斷的去感染其它程式的程式，我們都可以通稱它為電腦病毒。電腦病毒在我們的電腦裏執行並且導致不同的影響。它可把電腦裏的程式或數據消失或改變。『電腦病毒』與其它威脅不同，它可以不需要人們的介入就能由程式或系統傳播出去。『程式碼』包含一套不必要的指令，當執行時，它把自己傳播到其它的電腦系統、程式裏。首先它把自己拷貝（ copy ）在一個沒有被感染的程式或檔案裏，當這個程式或檔案執行任何指令時，這電腦病毒都會包括在指令裏。根據病毒創造者的動機，這些指令可以做出任何事，其中包括顯示一段訊息、刪除檔案或精細地改變數據。有些情況下，電腦病毒並沒有破壞指令的企圖。但取而代之就是毒病佔據磁碟空間，中央處理器時間或網絡的連接。

•

• 資料來源 : 奇摩知識 ~ 綠精靈

• 電腦病毒並非是最近才出現的新產物 , 事實上 , 早在一九四九年 , 距離第一部商用電腦的出現仍有好幾年時 , 電腦的先驅者約翰 . 范紐曼 (John Von Neumann) 在他所提出的一篇論文 [ 複雜自動裝置的理論及組織的進行 ] 裏 , 即已把病毒程式 的藍圖勾勒出來 , 當時 , 絕大部份的電腦專家都無法想像這種會自我繁植的程式 是可能的 , 可是少數幾個科學家默默的研究范紐曼的所提出的概念 ,直到十年之 後 , 在美國電話電報公司 (AT&T) 的貝爾 (Bell) 實驗室中 , 這些概念在一種很奇怪 的電子遊戲中成形了 , 這種電子遊戲叫做 [ 磁蕊大戰 ] (core war) 。磁蕊大戰是當時貝爾實驗室中三個年輕程式人員在工餘想出來的 , 他們是道格拉斯 麥耀萊 (H, Douglas McIlroy) ,維特 .維索斯基 (Victor Vysottsky) 以及羅伯 .莫里 斯 (Robert T. Morris) , 當時三人年紀都只有二十多歲。附註 : Robert T. Morris 就是後來寫了一個 Worm , 把 Internet 搞的天翻地覆的 那個 Robert T. Morris Jr. 的爸爸 , 當時大 Morris 剛好是負責 Arpanet 網路安全 。

電腦病毒的老祖宗 :

磁蕊大戰的玩法如下 :兩方各寫一套程式 ,輸入同一部電腦中 , 這兩套程式在電腦的 記憶系統內互相追殺 , 有時它們會放下一些關卡 , 有時會停下來修理 (重新寫 ) 被對方 破壞的幾行指令 ;當它被困時 ,也可以把自己複製一次 ,逃離險境 , 因為它們都在電 腦的記憶磁蕊中遊走 , 因此得到了磁蕊大戰之名。這個遊戲的特點 , 在於雙方的程式進入電腦之後 ,玩遊戲的人只能看著螢幕上顯示的 戰況 , 而不能做任何更改 , 一直到某一方的程式被另一方的程式完全 [吃掉 ] 為止。

資料來源 :http://heartwen.myweb.hinet.net/librarys/computer/virus/baset1.htm(牛頓雜誌 )

• 一 . 網路媒介 : 電腦病毒蔓延的主要方式是透過軟件的分享。如果軟件是透過人手散佈出去的，病毒蔓延的速度會比由 BBS 或國際網絡慢得多。由於文書處理系統及國際網絡十分受歡迎，所以電腦病毒例如宏集病毒（ marcovirus ）很容易在很短的日子裏傳播到無數用家的電腦系統裏。現在很多人都會用到文書處理器，並且附在電子郵件中傳送給其他人。如果這文件是帶有病毒的話，收件人亦會被傳染。現在很多電子郵件程式都會把接收到的郵件自動地放在文書處理器開啟，所以收件人是在沒有選擇的情況下被傳染病毒。

二 . CD 媒介 : 現在翻版 CD 的情況十分嚴重，尤其在香港。這些翻版 CD 很多時都會帶有病毒，但由於 CD 不能用來編寫，所以 CD 裏的病毒亦不能被清除。另外，一些軟件製造商為了教訓這些用翻版軟件的人，他們故意設計一種病毒放在他們的軟件中。如果用家用的是正版軟件，病毒就不會發作；相反如果用的是反翻軟

件，病毒程式就會執行﹝破壞系統﹞。 • 資料來源 :http://tw.knowledge.yahoo.com/question/?qid=1005022200443

• 開機型病毒（ BootStrapSectorVirus ） : 開機型病毒是藏匿和感染磁碟片或硬碟的第一個磁區，即我們平常所說的 BootSector 。開機型病毒藉由開機動作而侵入記憶體，若你用已感染的磁片開機，那麼病毒將立即感染到你的硬碟。因為 DOS 的架構設計，使得開機型病毒可以於每次開機時，在作業系統還沒被載入之前就被載入到記憶體中，這個特性使得病毒可以針對 DOS 的各類中斷（ Interrupt ）得到完全的控制，並且擁有更大的能力去進行傳染與破壞。開機型病毒是以猴子（ Monkey ）病毒最為經典，另外像是曾經流行一陣子的米開朗基羅病毒（又名石頭三號病毒）也是屬於此類型的病毒。開機型病毒又可以分為：傳統開機型病毒：傳統開機型病毒大多經由磁碟傳染，進入電腦後再伺機傳染其他檔案，最有名的例子是米開朗基羅病毒。隱型開機型病毒：隱型開機型病毒感染的是硬碟的開機磁區，它偽造開機磁區的資料，使防毒軟件以為系是正常的。目錄型開機型病毒：它只感染電腦的檔案配置表（ FAT ），一但你的檔案配置表被破壞後，你的電腦檔案讀寫就會不正常，甚至失去檔案。

• 檔案型病毒（ FileInfectorVirus ） : 檔案型病毒通常寄生在可執行檔（如*.COM ， *.EXE等）中。當這些檔案被執行時，病毒的程式就跟著被執行。我們常見的檔案型病毒有 Connie 系到病毒與耶路撒冷（ Jerusalem ）系列病毒等等。檔案型的病毒依傳染方式的不同，又分成非常駐型、常駐型和隱形三種 :非常駐型病毒（ Non-memoryResidentVirus ） : 非常駐型病毒將自己寄生在 *.COM ， *.EXE 或是 *.SYS 的檔案中。當這些中毒的程式被執行時，就會嘗試地去傳染給另一個或多個檔案。常駐型病毒（ MemoryResidentVirus ） : 常駐型病毒躲在記憶體中，其行為就好像是寄生在各類的低階功能一般（如 Interrupts ），由於這個原因，常駐型病毒往往對磁碟造成更大的傷害。一旦常駐型病毒進入了記憶體中，只要執行檔被執行，它就對其進行感染的動作，其效果非常顯著。將它趕出記憶體的唯一方式就是冷開機（完全關掉電源之後再開機）。隱形檔案型病毒：它會把自己植入作業系統裡面，當程式向作業系統要求中斷服務時，它就會感染那個提出要的程式，而且看起來不像被感染的樣子。

• 複合型病毒（ Multi-PartiteVirus ） : 複合型病毒兼具開機型病毒以及檔案型病毒的特性。它們可以傳染 *.COM ， *.EXE 檔，也可以傳染磁碟的開機系統區（ BootSector ）。由於這個特性，使得這種病毒具有相當程度的傳染力。一旦發病，其破壞的程度將會非常可觀！例如：台灣曾經流行的大榔頭（ Hammer ），歐洲流行的 Flip翻轉病毒皆是。

千面人病毒（ Polymorphic/MutationVirus ） :千面人病毒可怕的地方，在於每當它們繁殖一次，就會以不同的病毒碼傳染到別的地方去。每一個中毒的檔案中，所含的病毒碼都不一樣，對於掃描固定病毒碼的防毒軟體來說，無疑是一個嚴重的考驗！如Whale 病毒依附於 .COM 檔時，幾乎無法找到相同的病毒碼，而 Flip 病毒則只有 2byte 的共同病毒碼（好像戴面具只剩兩個眼睛露出來）。

巨集病毒（ MacroVirus ） : 巨集病毒是目前最熱門的話題，它主要是利用軟體本身所提供的巨集能力來設計病毒，所以凡是具有寫巨集能力的軟體都有巨集病毒存在的可能，如Word 、 Excel 、 AmiPro 都相繼傳出巨集病毒危害的事件，在台灣最著名的例子正是 TaiwanNO.1Word 巨集病毒。資料來源 : 奇摩知識 ~重生

• 一代病毒（傳統型病毒）的共同特色，就是一定有一個「寄主」程式，所謂寄主程式就是指那些讓病毒窩藏的地方。最常見的就是一些可執行檔，像是副檔名為 .EXE 及 .COM 的檔案。但是由於微軟的 WORD愈來愈流行，且 WORD 所提供的巨集功能又很強，使用 WORD 巨集寫出來的病毒也愈來愈多，也因此副檔名為 .DOC 的也會成為寄主程式。尤其是這一年來，巨集病毒可真的算是紅上半邊天，只要提到 TaiwanNO.1 ，那可說是無人不知，無人不曉。也許你覺得像WORD 這種文件檔都可以中毒，真是一件不可思議的事，那麼，第二代病毒的特性更會讓你合不攏嘴！相對於第一代病毒，第二代病毒完全不需要寄主的程式，如果硬要說它寄生在哪裡，或許只能說它是寄生在「 Internet 」上吧。說真的，如果 Internet 上的網頁只是單純用 HTML寫成的話，那麼要傳播病毒的機會可說是非常小了。但是呢，為了讓網頁看起來更生動，更漂亮，許多語言也紛紛出籠，其中最有名的就屬 JAVA和 ActiveX了，不幸的是，這兩個語言都相繼地被有心人士「點召」，成為第二代病毒的溫床。

• 資料來源 :http://tw.knowledge.yahoo.com/question/?qid=1005022200443

• 病毒碼掃描法 : 所謂的病毒碼其實可以想像成是犯人的指紋，當防毒軟體公司收集到一隻新的病毒時，他們就會從這個病毒程式中截取一小段獨一無二而且足以表示這隻病毒的二進位程式碼（ BinaryCode ），來當做掃毒程式辨認此病毒的依據，而這段獨一無二的二進位程式碼就是所謂的病毒碼。在電腦中所有可以執行的程式（如 *.EXE ， *.COM ）幾乎都是由二進位程式碼所組成，也就是電腦的最基本語言 -- 機械碼。就連當紅的文件巨集病毒，雖然它只是包含在 Word 文件檔案中的巨集，可是它的巨集程式也是以二進位碼的方式存在於 Word 文件檔中。將新發現的病毒加以分析後，根據其特徵，編成病毒碼，加入資料庫中。以後每當執行掃毒程式時，便能立刻掃描程式檔案，並作病毒碼比對，即能偵測到是否有病毒。病毒碼掃描法又快又有效率（例如趨勢科技的 PC-cillin 及 ServerProtect ，利用深層掃描技術，在即時掃瞄各個或大或小的檔案時，平均只需 1/20秒的時間），大多數防毒軟體均採用這種方式，但其缺點是無法偵測到未知的新病毒及以變種病毒。

• 軟體模擬掃描法 : 軟體模擬技術專門用來對付千面人病毒（ Polymorphic/MutationVirus ）。千面人病毒在每次傳染時，都以不同的隨機亂數加密於每個中毒的檔案中，傳統病毒碼比對的方式根本就無法找到這種病毒。軟體模擬技術則是成功地模擬 CPU 執行，在其設計的 DOS虛擬機器（ VirtualMachine ）下假執行病毒的變體引擎解碼程式，安全並確實地將多型體病毒解開，使其顯露原本的面目，再加以掃描。VICE （ VirusInstructionCodeEmulation ） - 先知掃描法VICE 先知掃描技術是繼軟體模擬後的一大技術上突破。既然軟體模擬可以建立一個保護模式下的 DOS虛擬機器，模擬 CPU 動作並假執行程式以解開變體引擎病毒，那麼應用類似的技術也可以用來分析一般程式檢查可疑的病毒碼。因此 VICE將工程師用來判斷程式是否有病毒碼存在的方法，分析歸納成專家系統知識庫，再利用軟體工程的模擬技術（ SoftwareEmulation ）假執行新的病毒，則可分析出新病毒碼對付以後的病毒。

• 資料來源 :http://www.ascc.sinica.edu.tw/netsrv/hpchou/virus/cd9703/3422.html

• ． 1. 長度比較法及內容比較法 病毒感染系統或檔，必然引起系統或檔的變化，既包括長度的變化，又包括內容的變化。因此，將無毒的系統或檔與被檢測的系統或檔的長度和內容進行比較，即可發現病毒。長度比較法和內容比較法就是從長度和內容兩方面進行比較而得名。 以長度或內容是否變化做為檢測病毒的依據，在許多場合是有效的。但是，眾所周知，現在還沒有一種方法可以檢測所有的病毒。長度比較法和內容比較法有其局限性，只檢查可疑系統或檔的長度和內容是不充分的。因為： （ 1 ）長度和內容的變化可能是合法的。有些普通的命令可以引起長度和內容變化。 （ 2 ）某些病毒感染檔時，宿主檔長度可保持不變。 上述情況下，長度比較法和內容比較法不能區別程式的正常變化和病毒攻擊引起的變化，不能識別保持宿主程序長度不變的病毒，無法判定為何種病毒。實踐告訴人們，只靠檢測長度或內容是不充分的，將長度比較法、內容比較法做為檢測病毒的手段之一，與其他方法配合使用，效果更好。

•     2．記憶體比較法 這是一種對記憶體駐留病毒進行檢測的方法。由於病毒駐留於記憶體，必須在記憶體中申請一定的空間，並對該空間進行佔用、保護。因此，通過對記憶體的檢測，觀察其空間變化，與正常系統記憶體的佔用和空間進行比較，可以判定是否，有病毒駐留其間。但無法判定為何種病毒。此法對於那些隱蔽型病毒無效。

•     3．中斷比較法 病毒為實現其隱蔽和傳染破壞之目的，常採用“截留盜用”技術，更改、接管中斷向量，讓系統中斷向量轉向執行病毒控制部分。因此，將正常系統的中斷向量與有毒系統的中斷向量進行比較，可以發現是否有病毒修改和盜用中斷向量。 由於高版本的 DOS 系統在 DOS引導之後重新管理一部分 BIOS 中斷服務程式，即將原中斷向量保存起來，這時；引導型病毒所修改的中斷向量也同時被保存起來，因而從中斷向量中可能觀察不到引導型病毒對中斷向量的修改。與 PCTOOLS 一同提供的 MI 是一個非常有用的檢測工具，它不僅能夠顯示系統記憶體大小、記憶體分配狀況， 而且能夠顯示出哪個駐留程序佔用哪些記憶體空間、接管哪些中斷向量。用 MI 軟體可檢測出檔型病毒常駐記憶體及更改部分中斷向量的信息。

• 資料來源 :http://tw.knowledge.yahoo.com/question/?qid=1305100100588

• 支持使用合法原版的軟件，拒絕使用翻版軟件，降低使用者電腦發生中毒的機會。平常就要將重要的資料備份起來，畢竟解毒軟體不能完全還原中毒的資料，只有靠自己的備份建立一張緊急救援磁片，而且是乾淨可開機， DOS 的版本與硬碟相同，同時裡面還要有以下程式： FDISK.EXE 、 FORMAT.COM 、 UNFORMAT.COM 、 SYS.COM 、 UNDELETE.EXE 、SCANDISK.EXE 、掃毒軟體所備份的啟動磁區及硬碟分割表檔案。如果你有 PCTOOLS 或 NortonUtility等軟體，用它們來幫助你做一張緊急救援磁片，它們甚至可以還原 CMOS 資料，或是災後重建資料。（別忘了貼上防寫標籤。）不要隨便使用來路不明的檔案或磁碟，就算要使用，先用掃毒軟體掃一掃再用。隨時注意特殊的檔案（如 COMMAND.COM 、 EMM386.EXE 、 WIN.COM 、 SMARTDRV.COM等）的長度與日期，以及記憶體使用的情形。利用 MEM.EXE 或 MEMMAKER等來檢查傳統記憶體（ ConventionalMemory ）有否 640K （ 655360Bytes ）？一般來說，假如您的 BIOS 沒有挪做其它用途的話，那您的電腦八成是中毒了！避免用軟碟開機，甚且是別人的磁片。學習災後重建資料的技巧，別以為 DIR看到一堆亂碼就救不回來了，其實有很多軟體修復資料的功能很強大，學會使用它們是很有幫助的。治療篇關（ Step1 ；關閉電源）開（ Step2 ；以乾淨磁片開機）掃（ Step3 ；用防毒軟體掃瞄病毒）除（ Step4 ；若偵測到病毒，則刪除之）救（ Step5 ；若偵測到的是硬碟分割區或啟動區病毒時，可用“硬碟緊急救援磁片”救回資料，或用乾淨 DOS 磁片中的 FDISK 指令，執行 FDISK/MBR 以救回硬碟分割區資料；另可在 A槽中執行 A>SYSC：（ C 為中毒磁碟）以救回資料；若不行就只有重新格式化硬碟了防（ Step６；好了！您的電腦安全了。不過為了預防未來不再受到病毒之侵害，建議您經常更新你的防毒軟件，以建立完善且堅固的病毒防疫系統）

• 資料來源 :http://tw.knowledge.yahoo.com/question/?qid=1105052908566