广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 1549 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
jack1984yw
数位造型
个人文章 个人相簿 个人日记 个人地图
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x95 鲜花 x150
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[资讯教学] [转]防毒入门-基本概念-认识电脑病毒
一、什么是电脑病毒
过去式:所谓电脑病毒在技术上来说,是一种会自我复制的可执行程式。在真实的世界中, 大部份的电脑病毒都会有一个共通的特性 - 它们通常都会发病。当病毒发病时, 它很可能会破坏硬碟中的重要资料, 有些病毒则会重新格式化 (Format) 您的硬碟。就算病毒尚未发病, 它也会带来不少麻烦。首先病毒可能会占据一些系统的记忆空间, 并寻找机会自行繁殖复制, 您电脑效能将会变得比一般正常的电脑慢。这也是为什么不时就要做好防毒工作的主要原因了。
现在式:自从Internet盛行以来, Java和ActiveX的网页技术逐渐被广泛使用, 一些有心人士于是利用Java和ActiveX的特性来撰写病毒。 以Java病毒为例, Java病毒它并不能破坏您硬碟上的资料, 可是若您使用浏览器来浏览含有 Java 病毒的网页, Java病毒可以强迫您的Windows不断的开启新视窗, 直到系统资源被吃光为止, 而您也只有选择重新开机一途了。所以在Internet革命以后, 电脑病毒的定义就更改为只要是对使用者会造成不便的这些不怀好意的程式码, 就可以被归类为病毒。
二、电脑病毒的生命周期
电脑病毒就好像细菌的生长一般, 所以我们才将它称做「病毒」。而电脑病毒的成长可以被归纳成下列几个阶段:
•      创造期:当电脑骇客们花了数天或数周努力的研究出一些可以广为散布的程式码, 电脑病毒就这样诞生了。当然, 他们是不会这样就算了的, 他们通常都会设计一些破坏的行为在其中。
•      孕育期:这些电脑骇客们会将这些含有电脑病毒的档案放在一些容易散播的地方。如BBS站, Internet的FTP站, 甚至是公司或是学校的网路中等等。
潜伏期:在潜伏期中, 电脑病毒会不断地繁殖与传染。一个完美的病毒拥有很长的潜伏期, 如此一来病毒就有更多的时间去传染到更多的地方, 更多的使用者, 一旦发病将会造成更大的伤害。例如世界知名的米开朗基罗病毒, 在每年三月六日发作前, 有整整一年的潜伏期。
•      发病期:当一切条件形成之后, 病毒于是就开始破坏的动作。有些病毒会在某些特定的日期发病, 有些则自己有个倒数计时装置来决定发病的时间。虽然有些病毒并没有发病时的破坏动作, 但是它们仍然会占据一些系统资源, 而降低系统运作的效率。
•      根除期:如果有够多的防毒软体能够侦测及控制这些病毒, 并且有够多的使用者购买了防毒软体, 那么这些病毒就有机会被连根扑灭。虽然到现在为止, 并没有人敢宣称某一只病毒完全绝迹, 但是有些病毒已经很明显的被完全制止了 - 如早期的Disk Killer等。
三、电脑病毒的种类
巨集病毒 (Macro Virus):
巨集病毒是目前最热门的话题, 它主要是利用软体本身所提供的巨集能力来设计病毒, 所以凡是具有写巨集能力的软体都有巨集病毒存在的可能, 如Word, Excel, AmiPro都相继传出巨集病毒危害的事件, 在台湾最着名的例子正是Taiwan NO.1 Word巨集病毒。
开机型病毒 (Boot Strap Sector Virus):
开机型病毒是藏匿在磁碟片或硬碟的第一个磁区。因为DOS的架构设计, 使得病毒可以于每次开机时, 在作业系统还没被载入之前就被载入到记忆体中, 这个特性使得病毒可以针对DOS的各类中断 (Interrupt) 得到完全的控制, 并且拥有更大的能力去进行传染与破坏。
档案型病毒 (File Infector Virus):
档案型病毒通常寄生在可执行档(如 *.COM, *.EXE等)中。当这些档案被执行时, 病毒的程式就跟着被执行。档案型的病毒依传染方式的不同, 又分成非常驻型以及常驻型两种 :
(1) 非常驻型病毒(Non-memory Resident Virus) :
非常驻型病毒将自己寄生在 *.COM, *.EXE或是 *.SYS的档案中。当这些中毒的程式被执行时,就会尝试地去传染给另一个或多个档案。
(2) 常驻型病毒(Memory Resident Virus) :
常驻型病毒躲在记忆体中,其行为就好像是寄生在各类的低阶功能一般(如 Interrupts),由于这个原因, 常驻型病毒往往对磁碟造成更大的伤害。一旦常驻型病毒进入了记忆体中, 只要执行档被执行, 它就对其进行感染的动作, 其效果非常显着。将它赶出记忆体的唯一方式就是冷开机(完全关掉电源之后再开机)。
复合型病毒 (Multi-Partite Virus):
复合型病毒兼具开机型病毒以及档案型病毒的特性。它们可以传染 *.COM, *.EXE 档,也可以传染磁碟的开机系统区(Boot Sector)。由于这个特性, 使得这种病毒具有相当程度的传染力。一旦发病,其破坏的程度将会非常可观! 例如:台湾曾经流行的大榔头(Hammer),欧洲流行的Flip翻转病毒皆是.
隐型飞机式病毒 (Stealth Virus):
隐型飞机式病毒又称作中断截取者(Interrupt Interceptors)。顾名思义, 它藉由控制DOS的中断向量来让DOS以及防毒软体认为所有的档案都是干净的。
千面人病毒 (Polymorphic/Mutation Virus):
千面人病毒可怕的地方, 在于每当它们繁殖一次, 就会以不同的病毒码传染到别的地方去。每一个中毒的档案中, 所含的病毒码都不一样, 对于扫描固定病毒码的防毒软体来说,无疑是一个严重的考验!如Whale病毒依附于.COM档时,几乎无法找到相同的病毒码, 而Flip病毒则只有2 byte的共同病毒码(好像戴面具只剩两个眼睛露出来)。
四、第二代病毒是什么?
第一代病毒(传统型病毒)的共同特色, 就是一定有一个「寄主」程式, 所谓寄主程式就是指那些让病毒窝藏的地方。最常见的就是一些可执行档, 像是副档名为.EXE及.COM的档案。但是由于微软的WORD愈来愈流行,且WORD所提供的巨集功能又很强, 使用WORD巨集写出来的病毒也愈来愈多, 也因此副档名为.DOC的也会成为寄主程式。尤其是这一年来, 巨集病毒可真的算是红上半边天, 只要提到Taiwan NO.1, 那可说是无人不知, 无人不晓。
也许你觉得像WORD这种文件档都可以中毒,真是一件不可思议的事, 那么, 第二代病毒的特性更会让你合不拢嘴!相对于第一代病毒, 第二代病毒完全不需要寄主的程式, 如果硬要说它寄生在哪里, 或许只能说它是寄生在「Internet」上吧。
说真的, 如果Internet上的网页只是单纯用HTML写成的话, 那么要传播病毒的机会可说是非常小了。但是呢, 为了让网页看起来更生动, 更漂亮, 许多语言也纷纷出笼, 其中最有名的就属JAVA和ActiveX了, 不幸的是, 这两个语言都相继地被有心人士「点召」,成为第二代病毒的温床。JAVA和ActiveX的执行方式, 是把程式码写在网页上, 当你连上这个网站时, 浏览器就把这些程式码抓下来, 然后用使用者自己系统里的资源去执行它。可是如此一来,使用者就会在神不知鬼不觉的状态下,执行了一些来路不明的程式。
回归到第一代病毒来看,病毒是寄生在「可执行的」程式码中,伺机对系统进行破坏,因为病毒本身也就是一段「可执行的」程式码而已。也因此, 在以往病毒都是存在于「可执行档」中, 因为具有「可执行的」程式码的档案,就只有「可执行档」。但是, 文件病毒的流行, 让人对这个定义有了疑问, 而其实并不违背。因为所谓的文件病毒, 也只是利用文件中巨集写成的, 而巨集本身也是「可执行的」程式码, 当然也能成为病毒的温床啰!现在再来看看所谓的第二代病毒, 它就是利用网页编写所用的JAVA或ActiveX这些语言。由这些语言可以写出一些「可执行的」程式码,而在使用者浏览网页时, 一并下载下来在系统里执行。既然JAVA或ActiveX可写成一些「可执行的」程式码, 那就没什么理由不能让病毒藏身其中。



献花 x0 回到顶端 [楼 主] From:台湾 | Posted:2007-12-05 20:54 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.059866 second(s),query:15 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言