Download presentation
Presentation is loading. Please wait.
1
用過電腦的人, 幾乎都會遇過… 電腦病毒
2
大綱 電腦病毒定義 電腦病毒的產生 電腦病毒的影響 電腦病毒的類型 電腦病毒的傳播 電腦病毒的新趨勢 電腦病毒的防治
如何知道電腦受到病毒感染?
3
1.電腦病毒的定義 電腦病毒是一段很小的電腦程式 會不斷「自我複製」及「感染」
在傳統的DOS環境下,通常它會寄存在可執行的檔案之中,或者是軟、硬碟的開機磁區啟動部份,隨著被感染程式由作業系統載入記憶體而同時執行,病毒因此獲得系統控制權。
4
1.電腦病毒的定義 cont. 簡單來說,會使檔案長度增加刪減、不尋常的錯誤訊息出現,而且可以不斷的去感染其它程式的程式,我們都可以通稱它為電腦病毒。
5
2. 電腦病毒的產生 有些程式編寫員製造電腦病毒的目的是為了表現自己的能力或挑戰自己或別人,他們只是想看看病毒會帶來甚麼後果或者看看是否有人能夠把病毒清除,其實這種做法是錯誤運用自己的能力。
6
2.電腦病毒的產生 cont. 其實病毒之所以會產生,大部分是因為作業系統設計不完善的關係。
只要是程式,一定會有某些程度上的缺陷,我們稱之為bug。而網路上有些存心不良的人士也趁著系統的缺點攻擊電腦系統。尤其透過網際網路的散佈,讓電腦病毒更容易傳播… 讓我們了解一下作業系統的漏洞…
7
3.電腦病毒的影響 電腦病毒影響電腦運作的情況,一如生物病毒影響人體,使人生病。就如同電腦病毒讓電腦生病,無法正常運作一樣。
電腦病毒造成的破壞主要是造成滋擾 (例如: 影響滑鼠/鍵盤)、刪除硬碟機的檔案及影響硬碟機的格式。 在CIH 病毒被發現後,人們才知道電腦病毒還可以破壞基本輸入輸出系統(BIOS)的數據。
8
3.電腦病毒的影響 cont. 一般人可能覺得自己的電腦不會受到電腦病毒的影響,所以與自己的關係不大。在十年以前,這種想法也許是對的。當時在家中使用電腦的人口是非常稀少的,而電腦病毒經由磁碟、光碟而擴散的速度非常緩慢的。但電腦科技日新月異,現今電腦病毒可經由多種途徑擴散。感染方式計有在伺服器內的共用檔案、親友寄發的電子郵件、從網際網路及電子佈告欄系統下載的程式。更令人防不勝防的是,有些供應商提供的電腦設備/CD-ROM內就已經感染病毒!由此可見,電腦病毒影響範圍之廣。
9
3.電腦病毒的影響 cont. 一九九八年,美國一家名為「國際電腦保安機構」(International Computer Security Agency,簡稱ICSA) 的公司,對超過 部桌上工作站及 部應用系統及檔案伺服器進行調查,發現電腦受病毒感染的情況非常普遍。該公司發現,差不多所有大型及中型的北美公司(99%以上)的電腦系統,曾受電腦病毒的感染。此外,一種名為「Melissa」的病毒的出現,證明病毒可在數小時便能傳遍整個地球。至此,你還認為電腦病毒與你是毫不相干的嗎?
10
4.電腦病毒的種類 4-1開機型病毒 4-2檔案型病毒 4-3複合型病毒 4-4千面人病毒 4-5巨集病毒 4-6變體病毒 4-7木馬病毒
11
4-1.開機型病毒 開機型病毒是藏匿和感染磁碟片或硬碟的第一個磁區,即我們平常所說的BootSector。開機型病毒藉由開機動作而侵入記憶體,若你用已感染的磁片開機,那麼病毒將立即感染到你的硬碟。因為DOS的架構設計,使得開機型病毒可以於每次開機時,在作業系統還沒被載入之前就被載入到記憶體中,這個特性使得病毒可以針對DOS的各類中斷(Interrupt)得到完全的控制,並且擁有更大的能力去進行傳染與破壞。開機型病毒是以猴子(Monkey)病毒最為經典,另外像是曾經流行一陣子的米開朗基羅病毒(又名石頭三號病毒)也是屬於此類型的病毒。
12
4-1.開機型病毒種類 開機型病毒又可以分為: 傳統開機型病毒:傳統開機型病毒大多經由磁碟傳染,進入電腦後再伺機傳染其他檔案,最有名的例子是米開朗基羅病毒。 隱型開機型病毒:隱型開機型病毒感染的是硬碟的開機磁區,它偽造開機磁區的資料,使防毒軟體以為是正常的。 目錄型開機型病毒:它只感染電腦的檔案配置表(FAT),一但你的檔案配置表被破壞後,你的電腦檔案讀寫就會不正常,甚至失去檔案。
13
4-2.檔案型病毒 檔案型病毒通常寄生在可執行檔(如*.COM,*.EXE等)中。當這些檔案被執行時,病毒的程式就跟著被執行。我們常見的檔案型病毒有Connie系到病毒與耶路撒冷(Jerusalem)系列病毒等等。檔案型的病毒依傳染方式的不同,又分成「非常駐型」、「常駐型」和「隱形」三種:
14
4-2.檔案型病毒 cont. 非常駐型病毒(Non-memoryResidentVirus):非常駐型病毒將自己寄生在*.COM,*.EXE或是*.SYS的檔案中。當這些中毒的程式被執行時,就會嘗試地去傳染給另一個或多個檔案。 常駐型病毒(MemoryResidentVirus):常駐型病毒躲在記憶體中,其行為就好像是寄生在各類的低階功能一般(如Interrupts),由於這個原因,常駐型病毒往往對磁碟造成更大的傷害。一旦常駐型病毒進入了記憶體中,只要執行檔被執行,它就對其進行感染的動作,其效果非常顯著。將它趕出記憶體的唯一方式就是冷開機(完全關掉電源之後再開機)。
15
4-2.檔案型病毒 cont. 隱形檔案型病毒:它會把自己植入作業系統裡面,當程式向作業系統要求中斷服務時,它就會感染那個提出要的程式,而且看起來不像被感染的樣子。
16
4-3.複合型病毒 複合型病毒兼具開機型病毒以及檔案型病毒的特性。它們可以傳染*.COM,*.EXE檔,也可以感染磁碟的開機系統區(BootSector)。由於這個特性,使得這種病毒具有相當程度的傳染力。一旦發病,其破壞的程度將會非常可觀!例如:台灣曾經流行的大榔頭(Hammer),歐洲流行的Flip翻轉病毒皆是。
17
4-4.千面人病毒 千面人病毒可怕的地方,在於每當它們繁殖一次,就會以不同的病毒碼傳染到別的地方去。每一個中毒的檔案中,所含的病毒碼都不一樣,對於掃描固定病毒碼的防毒軟體來說,無疑是一個嚴重的考驗!如Whale病毒依附於.COM檔時,幾乎無法找到相同的病毒碼,而Flip病毒則只有2byte的共同病毒碼(好像戴面具只剩兩個眼睛露出來)。
18
4-5.巨集病毒 巨集病毒(MacroVirus):巨集病毒是目前最熱門的話題,它主要是利用軟體本身所提供的巨集能力來設計病毒,所以凡是具有寫巨集能力的軟體都有巨集病毒存在的可能,如Word、Excel、AmiPro都相繼傳出巨集病毒危害的事件,在台灣最著名的例子正是TaiwanNO.1Word巨集病毒。
19
4-6.變體病毒 此種病毒是所有病毒中最令人聞之色變的, 這種病毒可以包含上述任何一種病毒的性質, 並且在每一次傳染(或特定條件符合時)改變自己的程式碼, 因此一般防毒軟體的病毒特徵碼判斷原理, 一點效用也沒有, 因此只能已未知病毒的偵測方式慢慢偵測, (但有少部分的變體病毒還是會有共通點或特定的變化數量)因此變體病毒可能幾天內就出現數萬種的變種, 十分可怕, 但這種病毒其實是極為少數的.
20
4-7.木馬病毒 這是這一陣子最為流行的病毒種類, 其實他不能算做是真正的病毒, 因為他只是一個執行檔(*.EXE/*.COM...), 他的功能就像是十分強大的遠端遙控軟體, 只是其可能又含有其他駭客用的功能(DDOS攻擊功能就是一例), 其特點是具備輕巧程式本體, 因此易於隱匿, 許許多多的木馬程式也利用各種方式為裝成系統檔/圖片當等等, 但都脫離不了*.EXE *.DLL *.COM等等具執行程式碼的檔案.
21
4-7.木馬病毒cont. 此種病毒目的是為了竊取資料而出現的, 原理是利用Client端(客戶端)以及Server端(伺服端), 界各種方式注入短小的Server端程式到被攻擊者電腦, Server端程式會利用網路功能開啟一個Port(通訊埠), 如此駭客便可輕而易舉的利用手上的Client端程式連線到被攻擊者的電腦了. 最近還出現一種特別的連線方式 - 反端口連線, 他的工作原理是將Client端和Server端反過來, 以被攻擊者連線到攻擊者的方式連線, 此種做法不但可在部分的防火牆軟體蒙混過關, 也可以通過虛擬IP的內部網域, 更可以避免因為浮動IP的關係找不到攻擊者的電腦, 例如台灣的Peep就是反端口木馬程式.
22
5.電腦病毒的傳播 電腦病毒一定要在電腦系統裏才能傳播。這提供了很多的途徑。例如如果你在別的電腦下載或執行一個已經被感染的程式,這樣你的電腦亦會被病毒所傳染。
23
5.電腦病毒的傳播 cont. 病毒程式第一件要做的事通常是把自己複製﹝電腦病毒主要是傳播、隱藏及破壞電腦系統﹞。病毒會把附在一處可以有利於自己執行的系統裏。在運作電腦時,病毒可在很短的時間內把自己複製多個。 電腦病毒蔓延的主要方式是透過軟體的分享。如果軟體是透過人手散佈出去的(磁碟片或光碟),病毒蔓延的速度會比由BBS或網際網路慢得多。
24
5.電腦病毒的傳播 cont. 由於文書處理系統及網際網路十分受歡迎,所以電腦病毒例如巨集病毒(marcovirus)很容易在很短的日子裏傳播到無數使用者的電腦系統裏。現在很多人都會用到文書處理器,並且附在電子郵件中傳送給其他人。如果這文件是帶有病毒的話,收件人亦會受到感染。 現在很多電子郵件程式都會把接收到的郵件自動地放在文書處理器開啟,所以收件人是在沒有選擇的情況下被傳染病毒。
25
6.電腦病毒的新趨勢 初代病毒(傳統型病毒)的共同特色,就是一定有一個「寄主」程式,所謂寄主程式就是指那些讓病毒窩藏的地方。最常見的就是一些可執行檔,像是副檔名為. EXE及.COM的檔案。但是由於微軟的WORD愈來愈流行,且WORD所提供的巨集功能又很強,使用WORD巨集寫出來的病毒也愈來愈多,也因此副檔名為.DOC的也會成為寄主程式。尤其是這一年來,巨集病毒可真的算是紅上半邊天,只要提到TaiwanNO.1,那可說是無人不知,無人不曉。
26
6.電腦病毒的新趨勢 cont. 也許你覺得像WORD這種文件檔都可以中毒,真是一件不可思議的事,那麼,第二代病毒的特性更會讓你合不攏嘴!相對於第一代病毒,第二代病毒完全不需要寄主的程式,如果硬要說它寄生在哪裡,或許只能說它是寄生在「Internet」上吧。 說真的,如果Internet上的網頁只是單純用HTML寫成的話,那麼要傳播病毒的機會可說是非常小了。但是呢,為了讓網頁看起來更生動,更漂亮,許多語言也紛紛出籠,其中最有名的就屬JAVA和ActiveX了,不幸的是,這兩個語言都相繼地被有心人士「點召」,成為第二代病毒的溫床。
27
6.電腦病毒的新趨勢cont. JAVA和ActiveX的執行方式,是把程式碼寫在網頁上,當你連上這個網站時,瀏覽器就把這些程式碼抓下來然後用使用者自己系統裡的資源去執行它。可是如此一來,使用者就會在神不知鬼不覺的狀態下,執行了一些來路不明的程式。
28
6.電腦病毒的新趨勢cont. 回歸到第一代病毒來看,病毒是寄生在「可執行的」程式碼中,伺機對系統進行破壞,因為病毒本身也就是一段「可執行的」程式碼而已。也因此,在以往病毒都是存在於「可執行檔」中,因為具有「可執行的」程式碼的檔案,就只有「可執行檔」。但是,文件病毒的流行,讓人對這個定義有了疑問,而其實並不違背。因為所謂的文件病毒,也只是利用文件中巨集寫成的,而巨集本身也是「可執行的」程式碼,當然也能成為病毒的溫床囉!
29
6.電腦病毒的新趨勢cont. 現在再來看看所謂的第二代病毒,它就是利用網頁編寫所用的JAVA或ActiveX這些語言。由這些語言可以寫出一些「可執行的」程式碼,而在使用者瀏覽網頁時,一併下載下來在系統裡執行。既然JAVA或ActiveX可寫成一些「可執行的」程式碼,那就沒什麼理由不能讓病毒藏身其中。
30
6.電腦病毒的新趨勢cont. 現在,ActiveX和JAVA可以讓我們欣賞動感十足的網頁,可是新的危機卻悄然而至,Internet居然成為「SecondGenerationVirus-邪惡程式」覬覦的最佳傳媒。它們不需要像傳統病毒需要找個寄主程式感染,等待特定條件成熟後展開破壞動作,「SecondGenerationVirus」,會在你防不甚防時侵入你的硬碟,刪除或破壞你的檔案,更有甚者會讓你的CPU完全癱瘓 ActiveX的病毒及JAVA將成為下一代病毒?!
31
6.電腦病毒的新趨勢cont. 新的威脅一旦來臨,隱藏在ActiveX控制及Javaapplets的病毒,它的擴散方式並不需要使用者做些特別的動作。現在,即使隨意在網站間遨遊也很危險!!
32
7.電腦病毒的防治 電腦病毒的防治包括了兩方面,一是預防,二是治毒。古人有云,預防勝於治療,所以預防電腦病毒對保護你的電腦系統免受病毒破壞是非常重要的。但是,亡羊補牢,為時未晚也,治毒和預防都不可忽視。
33
7.電腦病毒的防治-預防篇 提倡尊重知識產權的觀念,支持使用合法原版的軟件,拒絕使用翻版軟件,只有這樣才能夠確實降低使用者電腦發生中毒的機會。 平常就要將重要的資料備份起來,畢竟解毒軟體不能完全還原中毒的資料,只有靠自己的備份才是最重要的。
34
7.電腦病毒的防治-預防篇 建立一張緊急救援磁片,而且是乾淨可開機,DOS的版本與硬碟相同,同時裡面還要有以下程式:FDISK.EXE、FORMAT.COM、 UNFORMAT.COM、SYS.COM、UNDELETE.EXE、SCANDISK.EXE、掃毒軟體所備份的啟動磁區及硬碟分割表檔案。如果你有 PCTOOLS或NortonUtility等軟體,用它們來幫助你做一張緊急救援磁片,它們甚至可以還原CMOS資料,或是災後重建資料。(別忘了貼上防寫標籤。)
35
7.電腦病毒的防治-預防篇 準備一些好的防毒、掃毒、解毒軟體,並且定期使用。
建立正確病毒基本觀念,瞭解病毒感染、發作的原理,可以提高自己的警覺心。
36
7.電腦病毒的防治-治療篇 關(Step1;關閉電源) 開(Step2;以乾淨磁片開機) 掃(Step3;用防毒軟體掃瞄病毒)
37
8.如何知道電腦受到病毒感染? 若您在作業時發現電腦有以下的狀況發生時,那您必須執行電腦病毒偵測軟體,以確認是否遭受電腦病毒的感染:
電腦執行速度比平常緩慢。 不尋常的錯誤訊息出現。 程式載入時間比平常久。 可執行檔的大小改變系統。
38
8.如何知道電腦受到病毒感染? 記憶體容量忽然大量減少。 記憶體內增加來路不明的常駐程式。 磁碟壞軌突然增加。 磁碟可利用的空間突然減少。
檔案名稱、副檔名、日期、屬性被更改過。 檔案的內容多出了一些奇怪的資料。 沒有下載或是瀏覽網路資料,不過網路卻異常忙碌。 無故開啟電子郵件程式或寄出電子郵件。
Similar presentations