電腦病毒 , 駭客 , 防火牆的認識與資訊安全

1. 9804 13楊冠庭 電腦病毒,駭客,防火牆的認識與資訊安全

2. 何謂電腦病毒(ComputerVirus) • 　　第一隻電腦病毒出現於1980年中旬。到了1990，電腦病毒也大概只有百種。但今日卻有超過五萬種病毒存在，而常見的只有一百種左右。　　所謂「電腦病毒」，事實上就是一電腦程式，與一般電腦程式不同的地方，是病毒程式會惡意地複製自己，將病毒程式植入其他電腦檔案。有這種舉動的程式，便可稱是「病毒」。電腦病毒在特別的設計下，電腦使用者無法察覺，造成電腦系統的損害或使用者的困擾。　　上述這種感染式的做法，除了透過磁片及網路，隨著Internet的盛行，透過電子郵件夾帶病毒附件、Script碼(Javascript、VBscript)、網路元件(Javaapplet、ActiveX)的傳染方式如今相當普遍。

3. 電腦病毒的生命週期 • 創造期：當電腦駭客們花了數天或數週努力的研究出一些可以廣為散佈的程式碼，電腦病毒就這樣誕生了。當然，他們是不會這樣就算了的，他們通常都會設計一些破壞的行為在其中。　　孕育期：這些電腦駭客們會將這些含有電腦病毒的檔案放在一些容易散播的地方。如BBS站，Internet的FTP站，甚至是公司或是學校的網路中等等。　　潛伏期：在潛伏期中，電腦病毒會不斷地繁殖與傳染。一個完美的病毒擁有很長的潛伏期，如此一來病毒就有更多的時間去傳染到更多的地方，更多的使用者，一旦發病將會造成更大的傷害。例如世界知名的米開朗基羅病毒，在每年三月六日發作前，有整整一年的潛伏期。　　發病期：當一切條件形成之後，病毒於是就開始破壞的動作。有些病毒會在某些特定的日期發病，有些則自己有個倒數計時裝置來決定發病的時間。雖然有些病毒並沒有發病時的破壞動作，但是它們仍然會佔據一些系統資源，而降低系統運作的效率。　　根除期：如果有夠多的防毒軟體能夠偵測及控制這些病毒，並且有夠多的使用者購買了防毒軟體，那麼這些病毒就有機會被連根撲滅。雖然到現在為止，並沒有人敢宣稱某一隻病毒完全絕跡，但是有些病毒已經很明顯的被完全制止了–如早期的DiskKiller等。

4. 2.病毒(virus)、木馬(trojan)、電腦蟲(worm)、愚弄郵件(hoax)、玩笑程式(joke)2.病毒(virus)、木馬(trojan)、電腦蟲(worm)、愚弄郵件(hoax)、玩笑程式(joke)

5. 木馬 • 　木馬：源自希臘木馬屠城神話，木馬程式偽裝成有用的程式，隱藏著危害電腦系統的程式。木馬程式本身沒有複製能力，而是透過病毒、電腦蟲、愚弄程式、郵件附檔植入電腦系統。　　例子：1989年，有人以AIDS資訊名義，寄送大量磁片給大眾。只要電腦讀取磁片，便偷偷地將木馬程式植入電腦。之後當電腦開機滿90次，潛伏的木馬程式會將硬碟機上的所有檔案更名及隱藏。　　另一個木馬是PictureNote，它是藉由郵件掛上一個Picture.exe附檔，經由Internet寄給無知的收信者。一旦收信者執行Picture.exe，便會把電腦系統中「美國線上(AOL)」的帳號資料寄給特定帳號。

6. 電腦蟲 • 　電腦蟲：與一般病毒不同，它是藉由網路將自己複製給網路上的其他電腦，而不是感染其他檔案。電腦蟲不需要使用者介入啟動，透過電腦機制自動擴散，造成網路中斷或傷害網路電腦。　　例子：1988年，名為Morris的電腦蟲迅速散佈於網路上，不斷複製至網路電腦，造成網路癱瘓。ExploreZip利用MS-Outlook及MAPI指令，取得Outlook收信匣內的來信地址，將自己轉寄給這些地址。收到信的人會以為是認識的人所寄送過來。ExploreZip電腦蟲會複製自己至使用者目錄中，同時改寫win.ini系統起始檔，以致每當電腦開機，便啟動ExploreZip，散發電腦蟲郵件。

7. 愚弄郵件 • 　愚弄郵件：經由電子郵件傳遞，警告收信者做出無意義的操作或大量轉寄，否則會傷害電腦系統或其他不利情況發生。其中可能是真實的病毒，務必小心分辨。

8. 玩笑程式 • 假裝成病毒程式，令使用者以為中毒。對電腦是無害的。

9. 3.電腦病毒型態分類

10. (1)檔案型 • 　檔案型病毒通常寄生在可執行檔(如*.COM，*.EXE等)中。當這些檔案被執行時，病毒的程式就跟著被執行。檔案型的病毒依傳染方式的不同，又分成非常駐型以及常駐型兩種：(A)非常駐型病毒(Non-memoryResidentVirus)：非常駐型病毒將自己寄生在*.COM，*.EXE或是*.SYS的檔案中。當這些中毒的程式被執行時，就會嘗試地去傳染給另一個或多個檔案。(B)常駐型病毒(MemoryResidentVirus)：常駐型病毒躲在記憶體中，其行為就好像是寄生在各類的低階功能一般(如Interrupts)，由於這個原因，常駐型病毒往往對磁碟造成更大的傷害。一旦常駐型病毒進入了記憶體中，只要執行檔被執行，它就對其進行感染的動作，其效果非常顯著。將它趕出記憶體的唯一方式就是冷開機(完全關掉電源之後再開機)。

11. (2)開機型 • 　　開機型病毒是藏匿在磁碟片或硬碟的第一個磁區。因為DOS的架構設計，使得病毒可以於每次開機時，在作業系統還沒被載入之前就被載入到記憶體中，這個特性使得病毒可以針對DOS的各類中斷(Interrupt)得到完全的控制，並且擁有更大的能力去進行傳染與破壞。開機型病毒都是常駐型。

12. (3)巨集型 • 　　巨集病毒是目前最熱門的話題，它主要是利用軟體本身所提供的巨集能力來設計病毒，所以凡是具有寫巨集能力的軟體都有巨集病毒存在的可能，如Word，Excel，AmiPro都相繼傳出巨集病毒危害的事件，在台灣最著名的例子正是TaiwanNO.1Word巨集病毒。

13. (4)多型病毒(Polymorphic/MutationVirus) • 　　多型病毒可怕的地方，在於每當它們繁殖一次，就會以不同的病毒碼傳染到別的地方去。每一個中毒的檔案中，所含的病毒碼都不一樣，對於掃描固定病毒碼的防毒軟體來說，無疑是一個嚴重的考驗！如Whale病毒依附於.COM檔時，幾乎無法找到相同的病毒碼，而Flip病毒則只有2byte的共同病毒碼(好像戴面具只剩兩個眼睛露出來)。

14. (5)隱型病毒(StealthVirus) • 　隱型病毒又稱作中斷截取者(InterruptInterceptors)。顧名思義，它藉由控制DOS的中斷向量來讓作業系統以及防毒軟體誤認為所有的檔案都是乾淨的。隱型病毒是常駐型，會欺騙電腦系統，不知病毒存在或檔案已受破壞。

15. (6)新型態網路病毒 • JAVA和ActiveX的執行方式，是把程式碼寫在網頁上，當你連上這個網站時，瀏覽器就把這些程式碼抓下來，然後用使用者自己系統裡的資源去執行它。可是如此一來，使用者就會在神不知鬼不覺的狀態下，執行了一些來路不明的程式。回歸到第一代病毒來看，病毒是寄生在「可執行的」程式碼中，伺機對系統進行破壞，因為病毒本身也就是一段「可執行的」程式碼而已。也因此，在以往病毒都是存在於「可執行檔」中，因為具有「可執行的」程式碼的檔案，就只有「可執行檔」。但是，文件病毒的流行，讓人對這個定義有了疑問，而其實並不違背。因為所謂的文件病毒，也只是利用文件中巨集寫成的，而巨集本身也是「可執行的」程式碼，當然也能成為病毒的溫床囉！現在再來看看所謂的第二代病毒，它就是利用網頁編寫所用的JAVA或ActiveX這些語言。由這些語言可以寫出一些「可執行的」程式碼，而在使用者瀏覽網頁時，一併下載下來在系統裡執行。既然JAVA或ActiveX可寫成一些「可執行的」程式碼，那就沒什麼理由不能讓病毒藏身其中。

16. 判斷電腦是否中毒的簡易方法

20. 參考資料http://blog.sina.com.tw/archive.php?blog_id=797&md=entry&id=6579參考資料http://blog.sina.com.tw/archive.php?blog_id=797&md=entry&id=6579