認識電腦病毒的基本概念



贊助商連結


Valkyrie
2002-04-27, 07:20 PM
【 以下文字轉載自 dORLIS 的信箱 】
【 原文由 dorlis.bbs@zoo.ee.ntu.edu.tw 所發表 】



********* 認識電腦病毒的基本概念 ***黃明仁*****

PC所用的操作系統叫做 MSDOS 或叫 PCDOS,其必須於打開電源後,由磁碟A
或硬碟C載入到記憶裝置(即所謂的RAM) 裡,此過程叫開機,其程序用以下圖表表示:
1 2 3
┌──┐ ┌─────────┐軟碟 ┌─────────────┐
│開機├───┤BIOS開始動作 ├───┤ 載入啟動程式BOOT執行.│
└──┘ │RAM開始自我測試│ ┌┤ 即磁片第0軌第1磁區程式 │
└───┬─────┘ │└───────┬─────┘
│ 硬碟 │ │
┌──┴────────┴──┐ │
│硬碟會讀入分割管理表,即 │ │
│partion table │ │
└──────────────┘ 4 │
6 5 ┌─────┴────┐
┌───────────┐┌───────────┐│啟動DOS主程式,即 │
│啟動執行半常駐程式 ├┤ 啟動外部裝置,即 ├┤IO.SYS │
│COMMAND.COM││ CONFIG.SYS││MSDOS.SYS │
└───────────┘└───────────┘└──────────┘
開機完成 出現A>或C> 這是正常的開機程序

《系統性病毒》-在開機的過程佈下陷阱,初期讓你覺得正常仍可執行,其間作
暗傳染的工作,時間一到才發作,繼而嚇唬嘲弄或破壞.

『系統性病毒』
如(c)Brain、DISK KILLER、STONE,AIRCOP, COPYLOCK,AZUSA,STONE1-3,
JOSHI,OHIO,MUSICBUG等皆為系統性病毒.亦稱開機型病毒.

[系統性病毒]是
藉由磁碟機的開機(BOOT)來感染的,也就是說病毒將磁片
上的BOOT SECTOR 改變,在開機時先將病毒自己的
程式由磁碟中讀進記憶體中,改變了磁碟的中斷向
量後,再交由正常的BOOT程式執行正確的BOOT的動
作,也就是說在DOS主程式尚未載入時,病毒就已
經讀進記憶體中了,所以凡有磁碟機的動作(BOOT)就產生
傳染硬碟的分割磁區,而一執行到DIR、TYPE、...等
DOS 指令就會感染到磁片來的原因。


  『系統性病毒』是很難讓你發現到它的存在,
它不算是常駐, 因為在系統尚未LOADING 進來之前
它就已經將系統中的MEMORY SIZE 自行縮小,而所
縮小的部份就是存放病毒程式的地方,所以您很難
發現它的存在,但是若您注意的話您會發現似乎一
個很小的程式也會讀得很久,因此您若發現如此情
形,不妨檢查一下磁片上的 BOOT SECTOR ,雖然系
統性病毒很毒,但是它的傳染方式較檔案性病毒不
易暗傳染。

《檔案性病毒》

各位都知道,開機完成以後,在A>或C>的狀況下我們只能下達
1.內在命令:一種系統天生就知道的命令,如DIR,TYPE..等
2.外在命令:存在磁碟的檔案,其型態必是 .EXE 或 .COM
它可當作命令來執行,即所謂的執行檔.當你執行它的時候,
它就載入到記憶體去做事.

《檔案性病毒》就是將原執行檔程式的程序,暫且中斷,而去執行佈陷阱的
工作,再回頭繼續原始的程序,使電腦使用者初期覺得正常
可執行,期間它就作暗傳染的工作,時辰一到才發作或破壞.
如 JERUSALEN,HAPPY SUNAY,TWO TIGER,LOCKUP,1181/1184,
1701-4,RED-9,等

《檔案性病毒》可分一般檔案性病毒,爆炸性病毒,破壞性病毒,和特洛依式
病毒.其傳染的原理如下表:

1 執行 2 6
┌───────┐ ┌────────────┐
│含有病毒的程式├───┤ 原程式+病毒 進入記憶體├───等時機發病
└───┬───┘ └─────┬──┬───┘
退回後程式│ 程式退出時,病毒賴在│ │
大小膨漲 │ 記憶體中不出來,叫作│ ┌┴───────┐
4 │ 常駐(TSR) │ │其他無毒程式進入│
└─────────────┘ │記憶體,將 被傳染│
3 └────────┘
5

『檔案性病毒』似乎比系統性病毒傳染機會來得多,而且種類不只一種,傳染的方式也不
同,在系統性病毒中我們談過系統性病毒是感染在BOOT SECTOR 中,而檔案性病毒則是附
著在檔案之中,隨著檔案的執行而常駐在MEMORY中,而直接感染其餘的檔案,

我們就先來討論一下[一般檔案性病毒]

一般檔案性病毒

例如黑色星期五、HAPPY SUNDAY、兩隻老虎、其實這些都是黑色星期五的變種
病毒,若您執行了這種病毒的檔案後,病毒會藉著執行動作修改DOS 的中斷向量
並常駐在MEMORY之中,並再藉著TIMER 使系統產生病發,在未病發這段時間稱
為電腦病毒的潛伏期.在潛伏期間內,只要執行任一可執行檔,這些執行檔
就成為被傳染的對象,直到病發為止。

爆炸性病毒

爆炸性病毒是當執行一個已經感染了的爆炸性病毒時,在未執行真正的程式前,
病毒就在這個時後先去感染別的程式,當然在未執行之前會先
有條件性的判斷是否該病發了,若"時機未到"就執行傳染的命令,之後再執
行真正的程式,因此爆炸性病毒不需要常駐也不需要修改任一中斷向量,所以
預防程式要在事前攔截到。因此各位最好留意自己檔案的長度。


特洛伊式病毒

這一類型的病毒與上一種的爆炸性病毒是最難防止的,因為特洛伊式病
毒有可能是一個從BBS(電子公告欄)中DOWNLOAD下傳來的一個PD(公用軟體),
在當時,病毒就可能正在幹一些見不得人的事,可是您卻萬萬想不到居
然是您天天用的程式(這不是不可能,雖然臺灣尚未有此案例),而此一類型
的病毒通常並不帶有傳染性,只是含在程式之中,而這一種病毒的由來原是懲
治一些非法使用的盜版軟體。



混合型病毒

混合型病毒是結合系統性及檔案性兩種病毒,而互為感染的病毒,是目前病毒之
王,極為利害,不容易消除.其原理如下:

1 執行 2 7
┌───────┐ ┌────────────┐
│含有病毒的程式├───┤ 原程式+病毒 進入記憶體├───等時機發病
└───┬───┘ └─────┬──┬───┘
退回後程式│程式退出時,病毒賴在 │ │ 4
大小膨漲 │記憶體中不出來,叫作 │ ┌┴────────┐
可能僅一次│常駐(TSR)並感染其他檔案│ │傳染記憶體,並感染 │
5 └─────────────┘ │自己的BOOT區 │
3 └┬────────┘
│ 6
再傳染其他BOOT及檔案

此類病毒有HAMMER 3-6代(大榔頭)

┌─ MUSIC BUG
├─ (c) Brain
├─ AIR COP
┌────┼─ DISK KILLER
《系統性病毒》 │ ├─ COPYLOCK
│ ├─ STONE 1-3
│ └─ OHIO,AZUSA

│ 《一般檔案性病毒》
│ ┌─ FRIDAY Th13 ─┬─ HAPPY SUNDAY
『電腦病毒』 ───────┤ ├─ 1701-4 │
│ ┌──┼─ WOLF MAN └─ 2 TRIGERS
│ │ ├─ 1181/1184
《檔案性病毒》 │ │ ├─ RED-9 VIRUS
│ │ └─ LOCK UP
├─┤ 《爆炸性病毒》
│ │ ┌─ VIENNA ┌── SUNNY 1
│ │ ├─ 13224 ├── SUNNY 2
│ │ ├─ BOM SUNDAY ──┼── SUNNY 3
│ ├──┼─ 13224 ├── SUNNY 4
│ │ ├─ VIRUS 102 └── SUNNY 5
│ │ └─ HAMMER 1-2
│ │ 《特洛伊式病毒》
│ └──── JONEKEY

《混合性病毒》 └──────HAMMER 3-6, FLY WOLF,CANCER,
FLIP,NOCOPY

希望藉此文能讓會員對電腦病毒有多一分的認識,使您染毒的機會更低甚至沒有才好。
******************************************************************************