電腦病毒感染的方式
[ 常駐型病毒]
意義>>
所謂『常駐型病毒』是指當您在執行到被感染病毒程式的時候, 這個帶毒的
程式會將它自己常駐在記憶體之中, 等到下一個程式要執行的時候, 躲藏在
記憶體中的電腦病毒便會去感染目前所要執行的程式。
?
特色>>
對於這一類型的電腦病毒會去攔截中斷向量來加以感染, 相對的此時用
CHKDSK 去檢查記憶體會少了幾 k 。既然病毒會去攔截中斷向量,所以病毒
程式只要利用 INT 21h 功能就可以去修改檔案的屬性。
換句話來說,不管您的檔案是否有設定成唯讀的屬性, 病毒都有辦法修改成
可讀寫的屬性, 然後再來感染檔案。以上所介紹的這些特色皆不同於下面所
要介紹的直接感染型病毒。
?
[ 直接感染型病毒]
意義>>
『直接感染型病毒』則並不需要暫存在記憶體之中就可以對現在所要執行的
檔案來加以感染, 真的是名符其實的直接感染型病毒。由於這類型病毒並不
需要常駐在記憶體中, 所以其又稱為『非常駐型病毒』。
特色>>
此種類型病毒並不佔用記憶體空間, 因此就不用去攔截中斷向量了。
談論到電腦病毒會去感染或者是破壞那些地方, 在學理上而言只要是能夠寫
出來的話都可以成為電腦病毒的攻擊目標,至於電腦病毒會去感染哪些地方
呢? 請看看我們底下為各位使用者所做的分析。
□ 可執行的檔案格式
通常病毒最喜歡感染的檔案格式為 【.COM 檔】與 【.EXE 檔】等,但是有
一些比較特殊的病毒會去感染 .SYS 檔與 .OVL 檔等等。
□ 文字或資料檔案格式
病毒會去感染的文字格式是指在 Windows 系統環境之下,而且病毒本身還會
跨作業平臺的去感染, 如 OS/2 與麥金塔系統等,所以使用者要更加小心防範
才是。另外, 再來介紹到病毒『破壞』資料檔案格式, 目前只有發現到
DBASE 病毒會去破壞 .DBF 檔, 當 .DBF 檔被病毒破壞之後,就會造成資料
讀取的錯誤。
□ 開機磁區部份
一般電腦病毒感染開機磁區的部份, 我們通稱為『開機型病毒』或『系統型
病毒』。而就軟碟而言, 病毒也只能夠去感染 Boot Sector 部份; 以硬碟來
說, 病毒除了會去感染 Boot Sector 之外, 有些病毒會再感染 Partition Sector
部份。
在這個主題中, 我們要來和各位使用者介紹在目前電腦病毒的發展情形,在
技術方面當然比在早期的電腦病毒有過之而無不及了, 面對這種情形, 國內
的土產防毒軟體是否能夠勝任呢? 也請各位使用者看完本文之後, 應該可以
給使用者們滿意的答覆。
另外, 隨者 Windows 95 作業系統在1995年八月中旬的發行,使用這套作業系統
的使用者相當普遍, 由於之前的測試版就有數萬個人參與, 可想而知
Windows 95 似乎主導了整個市場。 因此我們就要來談談目前在 Windows 環境
下到底有哪些電腦病毒正在流行。
[ 病毒產生器]
看到『病毒產生器』這個名詞的時候, 對於資訊業軟體開發者或者是整個社
會的資訊安全不是一件很樂觀的事情, 對於電腦病毒玩家來說, 他們在寫作
電腦病毒或研究電腦病毒就非常簡單了, 然而我們在此呼籲各位病毒作者能
夠把你們的能力運用到正途上。
所謂的『病毒產生器』是依照病毒產生器中所提供的樣板 (template) 定義來產
生電腦病毒的,其實樣板被提出來的時候並不是用來產生電腦病毒的, 它是
專門被程式產生器來使用的, 至於會產生什麼東西還是要由樣板來定義。病
毒產生器除了可以輕鬆製造電腦病毒之外還可以產生出多形的電腦病毒, 當
然在您做完之後, 病毒產生器可以根據你的需要產生原始程式出來, 甚至還
可以組譯成執行檔出來。
目前已有 DK-MPC v0.92 、VM_100 (CVEX Virus Maker) 等病毒產生器。
[ 變體引擎]
所謂的『變體引擎』, 它只是一個模組 (module) , 也就是一個 .OBJ 檔啦!
變體引擎最主要的用意就是要讓病毒作者將寫好的病毒連結 (link) 到變體引擎
所提供的 .OBJ 檔,當然在這之前還是要把一些參數都要先行設定好才可以去
呼叫。
這樣一來就可以藉著變體引擎寫出具有多形的電腦病毒了。目前已有 DSME
v1.0 、PME v1.01 、GPE v1.0 、MIME v1.0 與 MTE v1.01 等。另外, PME/W
v0.00 所提供的模組可以含在您所作的 Windows 病毒裏, 使其具有多形的能
力。
或許使用者看到這裏會有疑問, 什麼是『多形病毒』? 所謂『多形病毒』就
是每次被病毒所感染過的檔案無法利用一連串的病毒碼尋找出中毒的檔案,
因為這種電腦病毒可以說是千變萬化的, 也就是說病毒本身會自我編碼, 此
外多形病毒的另外一個特性是其本身的長度也是不固定。
[ 亂體引擎]
當使用者看到這個名詞之後, 是不是有一點頭緒呢? 好像經由這個引擎所製
作出來的電腦病毒會比較亂一點。沒有錯! 這個引擎是有比上面所提到的變
體引擎還要亂, 也就是說更具有多形的能力。不管是變體引擎或者是亂體引
擎, 它們只是用來產生多形病毒的模組檔而已, 其用意在於讓分析或解毒的
人較難以處理,這對目前解毒軟體業者而言, 更是一個莫大的衝擊, 藉此能
讓這些解毒業者進而提昇它們的解毒能力; 相對的就防毒而言,目前市面上
已有許多的智慧型防毒軟體都能夠防止此類型的多形病毒,因為它們是依據
【病毒的演算法】來做防毒的工作, 而不是利用病毒碼來防毒。
處在這資訊發達且電腦病毒氾濫的社會中, 我們是否應該擬定一套準則來防
治電腦病毒呢? 無論電腦被使用在個人單機上或者是在網路上, 我們都必須
去
面對重視【資訊安全】這一件事情, 底下我們針對電腦病毒的防範提出一些
看法, 以做為身為資訊管理人員如何去面對處理這一方面的事。
1. 提倡尊重智慧財產權的觀念, 支持使用合法原版的軟體,拒絕使用大補帖
等軟體, 我們認為只有這樣才能夠確實降低使用者電腦發生中毒的機會。
2. 當電腦的硬碟中毒時不要馬上進行格式化 (FORMAT) 的動作, 因為像開機
型病毒是感染在硬碟的 PARTITION 區域, 而格式化動作只是針對BOOT
SECTOR ( 啟動磁區) 進行重新規劃。所以, 我們建議各位使用者先找電腦
公司求救, 若是還不行的話, 萬不得已只好執行低階格式化動作, 再做
FDISK 及 FORMAT 的動作, 最後再將原來備份的磁片所儲存的檔案還原回
去,不過我們還是建議使用者少做低階格式化動作, 以免讓硬碟發生無法預
期的錯誤。
3. 每當系統重新安置好之後, 必須立刻準備製作一張乾淨無毒的開機磁片,
順便利用工具軟體把系統的 BOOT 以及 PARTITION 備份起來,並且將一些
常用的工具程式都備份到這張開機片上, 這些動作都完成之後,請務必貼上
防寫貼紙或者是將磁片上的小洞移動到防寫的位置,將來電腦若是不小心中
毒就可以靠著這張磁片來拯救您的電腦了。
4. 在每次執行新的軟體之前, 建議各位使用者能先在沒有硬碟的電腦上去執
行它, 或者是進入 BIOS 的設定把硬碟設為 Not Installed ,並且最好也先用掃
毒程式對它檢查一下, 再進行安裝軟體的工作。
5. 隨時去注意幾個比較特殊的檔案之長度與日期, 若是被改變而且不是人為
的話, 那麼您的電腦已經中毒了。有些使用者問到, 那該特別注意那些檔案
呢? 我們提供幾個方向讓各位去觀察注意:
□ 注意開機自動執行檔 (AUTOEXEC.BAT) 所執行過的每一個程式,例如:
在 Windows 95 系統環境下, 就以筆者的電腦為例, 我就必須去檢查
COMMAND.COM 、EMM386.EXE 、WIN.COM 、SMARTDRV.EXE 等程式。
因為只要是記憶體有病毒存在的話, 它會藉著開機的動作來進行感染。像是
目前最為流行的 4744 ( 又名 NATAS 病毒) , 當您的電腦中了4744 病毒之後,
在一開機的時後就會出現無法執行 EMM386.EXE 的訊息出現。所以各位使用
者應該要養成習慣多去留意一下自己的電腦。
□ 另外就是一些常用的應用程式, 如文書處理軟體或者是中文系統等,這些
地方都要去留意一下它的檔案長度或者是日期與時間等。
6. 經常利用 DOS 所提供的應用程式 (Utility) ,如 MEM.EXE 或 KDSK.EXE 來
檢查傳統記憶體 (Conventional Memory) 是否有 640K (655 ,360 Bytes) ? 一般來
說, 假如您的 BIOS 沒有挪做其它用途的話, 那您的電腦八成是中毒了! 底
下, 我們把檢查後的結果列示如下, 以 Tequila ( 龍舌蘭病毒) 為例, 請注意
中了Tequila 病毒之後, 記憶體會少 3K 。
解毒之指導原則
&nb
留言列表
