電腦病毒vs防毒系統(tǒng)

1、電腦病毒vs防毒系統(tǒng)組員:陳建榮 簡(jiǎn)仲玲 劉得中1電腦病毒是一段很小的電腦程式，它是一種會(huì)不斷自我複製及感染的程式，在傳統(tǒng)的DOS環(huán)境下，通常它會(huì)寄存在可執(zhí)行的檔案之中，或者是軟、硬碟的開機(jī)磁區(qū)啟動(dòng)部份，隨著被感染程式由作業(yè)系統(tǒng)載入記憶體而同時(shí)執(zhí)行，病毒因此獲得系統(tǒng)控制權(quán)；但在視窗系統(tǒng)中出現(xiàn)的文件巨集病毒則是附著在文件檔中，且其感染之對(duì)象亦限於文件檔。簡(jiǎn)單來說，會(huì)使檔案長(zhǎng)度增加刪減、不尋常的錯(cuò)誤訊息出現(xiàn)，而且可以不斷的去感染其它程式的程式，我們都可以通稱它為電腦病毒。電腦病毒在我們的電腦裏執(zhí)行並且導(dǎo)致不同的影響。它可把電腦裏的程式或數(shù)據(jù)消失或改變。電腦病毒與其它威脅不同，它可以不需要人們的介入

2、就能由程式或系統(tǒng)傳播出去。程式碼包含一套不必要的指令，當(dāng)執(zhí)行時(shí)，它把自己傳播到其它的電腦系統(tǒng)、程式裏。首先它把自己拷貝（copy）在一個(gè)沒有被感染的程式或檔案裏，當(dāng)這個(gè)程式或檔案執(zhí)行任何指令時(shí)，這電腦病毒都會(huì)包括在指令裏。根據(jù)病毒創(chuàng)造者的動(dòng)機(jī)，這些指令可以做出任何事，其中包括顯示一段訊息、刪除檔案或精細(xì)地改變數(shù)據(jù)。有些情況下，電腦病毒並沒有破壞指令的企圖。但取而代之就是毒病佔(zhàn)據(jù)磁碟空間，中央處理器時(shí)間或網(wǎng)絡(luò)的連接。資料來源:奇摩知識(shí)綠精靈什麼是病毒?2電腦病毒並非是最近才出現(xiàn)的新產(chǎn)物 ,事實(shí)上 ,早在一九四九年 ,距離第一部商用電腦的出現(xiàn)仍有好幾年時(shí) ,電腦的先驅(qū)者約翰.范紐曼(John Vo

3、n Neumann)在他所提出的一篇論文 複雜自動(dòng)裝置的理論及組織的進(jìn)行裏,即已把病毒程式 的藍(lán)圖勾勒出來 ,當(dāng)時(shí) ,絕大部份的電腦專家都無法想像這種會(huì)自我繁植的程式 是可能的 ,可是少數(shù)幾個(gè)科學(xué)家默默的研究范紐曼的所提出的概念 ,直到十年之 後 ,在美國(guó)電話電報(bào)公司(AT&T) 的貝爾(Bell)實(shí)驗(yàn)室中 ,這些概念在一種很奇怪 的電子遊戲中成形了 ,這種電子遊戲叫做 磁蕊大戰(zhàn) (core war)。磁蕊大戰(zhàn)是當(dāng)時(shí)貝爾實(shí)驗(yàn)室中三個(gè)年輕程式人員在工餘想出來的 ,他們是道格拉斯 麥耀萊(H, Douglas McIlroy) ,維特.維索斯基(Victor Vysottsky)以及羅伯.莫里 斯

4、(Robert T. Morris) ,當(dāng)時(shí)三人年紀(jì)都只有二十多歲。附註: Robert T. Morris 就是後來寫了一個(gè) Worm ,把 Internet 搞的天翻地覆的 那個(gè) Robert T. Morris Jr. 的爸爸 ,當(dāng)時(shí)大 Morris 剛好是負(fù)責(zé) Arpanet 網(wǎng)路安全 。電腦病毒的老祖宗:磁蕊大戰(zhàn)的玩法如下:兩方各寫一套程式 ,輸入同一部電腦中 ,這兩套程式在電腦的 記憶系統(tǒng)內(nèi)互相追殺 ,有時(shí)它們會(huì)放下一些關(guān)卡 ,有時(shí)會(huì)停下來修理(重新寫)被對(duì)方 破壞的幾行指令 ;當(dāng)它被困時(shí) ,也可以把自己複製一次 ,逃離險(xiǎn)境 ,因?yàn)樗鼈兌荚陔?腦的記憶磁蕊中遊走 ,因此得到了磁蕊大

5、戰(zhàn)之名。這個(gè)遊戲的特點(diǎn) ,在於雙方的程式進(jìn)入電腦之後 ,玩遊戲的人只能看著螢?zāi)簧巷@示的 戰(zhàn)況 ,而不能做任何更改 ,一直到某一方的程式被另一方的程式完全 吃掉 為止。資料來源:http:/librarys/computer/virus/baset1.htm(牛頓雜誌)病毒的起源3一. 網(wǎng)路媒介:電腦病毒蔓延的主要方式是透過軟件的分享。如果軟件是透過人手散佈出去的，病毒蔓延的速度會(huì)比由BBS或國(guó)際網(wǎng)絡(luò)慢得多。由於文書處理系統(tǒng)及國(guó)際網(wǎng)絡(luò)十分受歡迎，所以電腦病毒例如宏集病毒（marcovirus）很容易在很短的日子裏傳播到無數(shù)用家的電腦系統(tǒng)裏。現(xiàn)在很多人都會(huì)用到文書處理器，並且附在電子郵件中傳送給其

6、他人。如果這文件是帶有病毒的話，收件人亦會(huì)被傳染。現(xiàn)在很多電子郵件程式都會(huì)把接收到的郵件自動(dòng)地放在文書處理器開啟，所以收件人是在沒有選擇的情況下被傳染病毒。 二. CD媒介:現(xiàn)在翻版CD的情況十分嚴(yán)重，尤其在香港。這些翻版CD很多時(shí)都會(huì)帶有病毒，但由於CD不能用來編寫，所以CD裏的病毒亦不能被清除。另外，一些軟件製造商為了教訓(xùn)這些用翻版軟件的人，他們故意設(shè)計(jì)一種病毒放在他們的軟件中。如果用家用的是正版軟件，病毒就不會(huì)發(fā)作；相反如果用的是反翻軟件，病毒程式就會(huì)執(zhí)行破壞系統(tǒng)。 資料來源:病毒主要感染途徑4開機(jī)型病毒（BootStrapSectorVirus）:開機(jī)型病毒是藏匿和感染磁碟片或硬碟的第

7、一個(gè)磁區(qū)，即我們平常所說的BootSector。開機(jī)型病毒藉由開機(jī)動(dòng)作而侵入記憶體，若你用已感染的磁片開機(jī)，那麼病毒將立即感染到你的硬碟。因?yàn)镈OS的架構(gòu)設(shè)計(jì)，使得開機(jī)型病毒可以於每次開機(jī)時(shí)，在作業(yè)系統(tǒng)還沒被載入之前就被載入到記憶體中，這個(gè)特性使得病毒可以針對(duì)DOS的各類中斷（Interrupt）得到完全的控制，並且擁有更大的能力去進(jìn)行傳染與破壞。開機(jī)型病毒是以猴子（Monkey）病毒最為經(jīng)典，另外像是曾經(jīng)流行一陣子的米開朗基羅病毒（又名石頭三號(hào)病毒）也是屬於此類型的病毒。開機(jī)型病毒又可以分為：傳統(tǒng)開機(jī)型病毒：傳統(tǒng)開機(jī)型病毒大多經(jīng)由磁碟傳染，進(jìn)入電腦後再伺機(jī)傳染其他檔案，最有名的例子是米開朗基

8、羅病毒。隱型開機(jī)型病毒：隱型開機(jī)型病毒感染的是硬碟的開機(jī)磁區(qū)，它偽造開機(jī)磁區(qū)的資料，使防毒軟件以為系是正常的。目錄型開機(jī)型病毒：它只感染電腦的檔案配置表（FAT），一但你的檔案配置表被破壞後，你的電腦檔案讀寫就會(huì)不正常，甚至失去檔案。病毒種類一5檔案型病毒（）:檔案型病毒通常寄生在可執(zhí)行檔（如*.COM，*.EXE等）中。當(dāng)這些檔案被執(zhí)行時(shí)，病毒的程式就跟著被執(zhí)行。我們常見的檔案型病毒有Connie系到病毒與耶路撒冷（Jerusalem）系列病毒等等。檔案型的病毒依傳染方式的不同，又分成非常駐型、常駐型和隱形三種:非常駐型病毒（Non-memoryResidentVirus）:非常駐型病毒將自

9、己寄生在*.COM，*.EXE或是*.SYS的檔案中。當(dāng)這些中毒的程式被執(zhí)行時(shí)，就會(huì)嘗試地去傳染給另一個(gè)或多個(gè)檔案。常駐型病毒（MemoryResidentVirus）:常駐型病毒躲在記憶體中，其行為就好像是寄生在各類的低階功能一般（如Interrupts），由於這個(gè)原因，常駐型病毒往往對(duì)磁碟造成更大的傷害。一旦常駐型病毒進(jìn)入了記憶體中，只要執(zhí)行檔被執(zhí)行，它就對(duì)其進(jìn)行感染的動(dòng)作，其效果非常顯著。將它趕出記憶體的唯一方式就是冷開機(jī)（完全關(guān)掉電源之後再開機(jī)）。隱形檔案型病毒：它會(huì)把自己植入作業(yè)系統(tǒng)裡面，當(dāng)程式向作業(yè)系統(tǒng)要求中斷服務(wù)時(shí)，它就會(huì)感染那個(gè)提出要的程式，而且看起來不像被感染的樣子。 病毒種

10、類二6複合型病毒（Multi-PartiteVirus）:複合型病毒兼具開機(jī)型病毒以及檔案型病毒的特性。它們可以傳染*.COM，*.EXE檔，也可以傳染磁碟的開機(jī)系統(tǒng)區(qū)（BootSector）。由於這個(gè)特性，使得這種病毒具有相當(dāng)程度的傳染力。一旦發(fā)病，其破壞的程度將會(huì)非常可觀！例如：臺(tái)灣曾經(jīng)流行的大榔頭（Hammer），歐洲流行的Flip翻轉(zhuǎn)病毒皆是。千面人病毒（Polymorphic/MutationVirus）:千面人病毒可怕的地方，在於每當(dāng)它們繁殖一次，就會(huì)以不同的病毒碼傳染到別的地方去。每一個(gè)中毒的檔案中，所含的病毒碼都不一樣，對(duì)於掃描固定病毒碼的防毒軟體來說，無疑是一個(gè)嚴(yán)重的考驗(yàn)！如

11、Whale病毒依附於.COM檔時(shí)，幾乎無法找到相同的病毒碼，而Flip病毒則只有2byte的共同病毒碼（好像戴面具只剩兩個(gè)眼睛露出來）。巨集病毒（MacroVirus）:巨集病毒是目前最熱門的話題，它主要是利用軟體本身所提供的巨集能力來設(shè)計(jì)病毒，所以凡是具有寫巨集能力的軟體都有巨集病毒存在的可能，如Word、Excel、AmiPro都相繼傳出巨集病毒危害的事件，在臺(tái)灣最著名的例子正是TaiwanNO.1Word巨集病毒。資料來源:奇摩知識(shí)重生病毒種類三7一代病毒（傳統(tǒng)型病毒）的共同特色，就是一定有一個(gè)寄主程式，所謂寄主程式就是指那些讓病毒窩藏的地方。最常見的就是一些可執(zhí)行檔，像是副檔名為.EX

12、E及.COM的檔案。但是由於微軟的WORD愈來愈流行，且WORD所提供的巨集功能又很強(qiáng)，使用WORD巨集寫出來的病毒也愈來愈多，也因此副檔名為.DOC的也會(huì)成為寄主程式。尤其是這一年來，巨集病毒可真的算是紅上半邊天，只要提到TaiwanNO.1，那可說是無人不知，無人不曉。也許你覺得像WORD這種文件檔都可以中毒，真是一件不可思議的事，那麼，第二代病毒的特性更會(huì)讓你合不攏嘴！相對(duì)於第一代病毒，第二代病毒完全不需要寄主的程式，如果硬要說它寄生在哪裡，或許只能說它是寄生在Internet上吧。說真的，如果Internet上的網(wǎng)頁(yè)只是單純用HTML寫成的話，那麼要傳播病毒的機(jī)會(huì)可說是非常小了。但是呢

13、，為了讓網(wǎng)頁(yè)看起來更生動(dòng)，更漂亮，許多語言也紛紛出籠，其中最有名的就屬JAVA和ActiveX了，不幸的是，這兩個(gè)語言都相繼地被有心人士點(diǎn)召，成為第二代病毒的溫床。資料來源:病毒新趨勢(shì)8病毒碼掃描法 :所謂的病毒碼其實(shí)可以想像成是犯人的指紋，當(dāng)防毒軟體公司收集到一隻新的病毒時(shí)，他們就會(huì)從這個(gè)病毒程式中截取一小段獨(dú)一無二而且足以表示這隻病毒的二進(jìn)位程式碼（BinaryCode），來當(dāng)做掃毒程式辨認(rèn)此病毒的依據(jù)，而這段獨(dú)一無二的二進(jìn)位程式碼就是所謂的病毒碼。在電腦中所有可以執(zhí)行的程式（如*.EXE，*.COM）幾乎都是由二進(jìn)位程式碼所組成，也就是電腦的最基本語言-機(jī)械碼。就連當(dāng)紅的文件巨集病毒，雖

14、然它只是包含在Word文件檔案中的巨集，可是它的巨集程式也是以二進(jìn)位碼的方式存在於Word文件檔中。將新發(fā)現(xiàn)的病毒加以分析後，根據(jù)其特徵，編成病毒碼，加入資料庫(kù)中。以後每當(dāng)執(zhí)行掃毒程式時(shí)，便能立刻掃描程式檔案，並作病毒碼比對(duì)，即能偵測(cè)到是否有病毒。病毒碼掃描法又快又有效率（例如趨勢(shì)科技的PC-cillin及ServerProtect，利用深層掃描技術(shù)，在即時(shí)掃瞄各個(gè)或大或小的檔案時(shí)，平均只需1/20秒的時(shí)間），大多數(shù)防毒軟體均採(cǎi)用這種方式，但其缺點(diǎn)是無法偵測(cè)到未知的新病毒及以變種病毒。防毒系統(tǒng)介紹一9軟體模擬掃描法:軟體模擬技術(shù)專門用來對(duì)付千面人病毒（Polymorphic/MutationV

15、irus）。千面人病毒在每次傳染時(shí)，都以不同的隨機(jī)亂數(shù)加密於每個(gè)中毒的檔案中，傳統(tǒng)病毒碼比對(duì)的方式根本就無法找到這種病毒。軟體模擬技術(shù)則是成功地模擬CPU執(zhí)行，在其設(shè)計(jì)的DOS虛擬機(jī)器（VirtualMachine）下假執(zhí)行病毒的變體引擎解碼程式，安全並確實(shí)地將多型體病毒解開，使其顯露原本的面目，再加以掃描。VICE（VirusInstructionCodeEmulation）-先知掃描法VICE先知掃描技術(shù)是繼軟體模擬後的一大技術(shù)上突破。既然軟體模擬可以建立一個(gè)保護(hù)模式下的DOS虛擬機(jī)器，模擬CPU動(dòng)作並假執(zhí)行程式以解開變體引擎病毒，那麼應(yīng)用類似的技術(shù)也可以用來分析一般程式檢查可疑的病毒碼。

16、因此VICE將工程師用來判斷程式是否有病毒碼存在的方法，分析歸納成專家系統(tǒng)知識(shí)庫(kù)，再利用軟體工程的模擬技術(shù)（SoftwareEmulation）假執(zhí)行新的病毒，則可分析出新病毒碼對(duì)付以後的病毒。資料來源:防毒系統(tǒng)介紹二101.長(zhǎng)度比較法及內(nèi)容比較法 病毒感染系統(tǒng)或檔，必然引起系統(tǒng)或檔的變化，既包括長(zhǎng)度的變化，又包括內(nèi)容的變化。因此，將無毒的系統(tǒng)或檔與被檢測(cè)的系統(tǒng)或檔的長(zhǎng)度和內(nèi)容進(jìn)行比較，即可發(fā)現(xiàn)病毒。長(zhǎng)度比較法和內(nèi)容比較法就是從長(zhǎng)度和內(nèi)容兩方面進(jìn)行比較而得名。 以長(zhǎng)度或內(nèi)容是否變化做為檢測(cè)病毒的依據(jù)，在許多場(chǎng)合是有效的。但是，眾所周知，現(xiàn)在還沒有一種方法可以檢測(cè)所有的病毒。長(zhǎng)度比較法和內(nèi)容比較

17、法有其局限性，只檢查可疑系統(tǒng)或檔的長(zhǎng)度和內(nèi)容是不充分的。因?yàn)椋?（1）長(zhǎng)度和內(nèi)容的變化可能是合法的。有些普通的命令可以引起長(zhǎng)度和內(nèi)容變化。 （2）某些病毒感染檔時(shí)，宿主檔長(zhǎng)度可保持不變。 上述情況下，長(zhǎng)度比較法和內(nèi)容比較法不能區(qū)別程式的正常變化和病毒攻擊引起的變化，不能識(shí)別保持宿主程序長(zhǎng)度不變的病毒，無法判定為何種病毒。實(shí)踐告訴人們，只靠檢測(cè)長(zhǎng)度或內(nèi)容是不充分的，將長(zhǎng)度比較法、內(nèi)容比較法做為檢測(cè)病毒的手段之一，與其他方法配合使用，效果更好。 2記憶體比較法 這是一種對(duì)記憶體駐留病毒進(jìn)行檢測(cè)的方法。由於病毒駐留於記憶體，必須在記憶體中申請(qǐng)一定的空間，並對(duì)該空間進(jìn)行佔(zhàn)用、保護(hù)。因此，通過對(duì)記憶體的

18、檢測(cè)，觀察其空間變化，與正常系統(tǒng)記憶體的佔(zhàn)用和空間進(jìn)行比較，可以判定是否，有病毒駐留其間。但無法判定為何種病毒。此法對(duì)於那些隱蔽型病毒無效。 3中斷比較法 病毒為實(shí)現(xiàn)其隱蔽和傳染破壞之目的，常採(cǎi)用“截留盜用”技術(shù)，更改、接管中斷向量，讓系統(tǒng)中斷向量轉(zhuǎn)向執(zhí)行病毒控制部分。因此，將正常系統(tǒng)的中斷向量與有毒系統(tǒng)的中斷向量進(jìn)行比較，可以發(fā)現(xiàn)是否有病毒修改和盜用中斷向量。 由於高版本的DOS系統(tǒng)在DOS引導(dǎo)之後重新管理一部分BIOS中斷服務(wù)程式，即將原中斷向量保存起來，這時(shí)；引導(dǎo)型病毒所修改的中斷向量也同時(shí)被保存起來，因而從中斷向量中可能觀察不到引導(dǎo)型病毒對(duì)中斷向量的修改。與PCTOOLS一同提供的MI

19、是一個(gè)非常有用的檢測(cè)工具，它不僅能夠顯示系統(tǒng)記憶體大小、記憶體分配狀況， 而且能夠顯示出哪個(gè)駐留程序佔(zhàn)用哪些記憶體空間、接管哪些中斷向量。用MI軟體可檢測(cè)出檔型病毒常駐記憶體及更改部分中斷向量的信息。資料來源:病毒診斷原理11支持使用合法原版的軟件，拒絕使用翻版軟件，降低使用者電腦發(fā)生中毒的機(jī)會(huì)。平常就要將重要的資料備份起來，畢竟解毒軟體不能完全還原中毒的資料，只有靠自己的備份建立一張緊急救援磁片，而且是乾淨(jìng)可開機(jī)，DOS的版本與硬碟相同，同時(shí)裡面還要有以下程式：FDISK.EXE、FORMAT.COM、UNFORMAT.COM、SYS.COM、UNDELETE.EXE、SCANDISK.EXE、掃毒軟體所備份的啟動(dòng)磁區(qū)及硬碟分割表檔案。如果你有PCTOOLS或N