防毒入門
[轉貼]防毒入門一
什麼是『電腦病毒』、『特洛伊木馬程式』、『電腦蠕蟲』、『惡性程式』、『安全弱點』和『間諜程式』?
電腦病毒
所謂的電腦病毒是會將本身複製到其他乾淨的檔案或開機區的惡性程式,當電腦使用者在不自覺的情形執行到已受病毒感染的檔案或磁片開機時,這個惡性程式就以相同的方式繼續散播出去,至於電腦病毒是不是都會在某特定日期發作且破壞電腦資料?這就和病毒的寫作者如何設計程式有關,並不屬於電腦病毒的特性。
特洛伊木馬程式
特洛伊木馬程式就不像電腦病毒一樣會感染其他檔案,特洛伊木馬程式通常都會以一些特殊管道進入使用者的電腦系統中,然後伺機執行其惡意行為(如格式化磁碟、刪除檔案、竊取密碼等),Back Orifice特洛伊木馬程式便是一個案例,透過該程式電腦駭客便有機會入侵主機竊取機密資料。
電腦蠕蟲
電腦蠕蟲也不會像特洛伊木馬程式一樣感染其他檔案,但『本尊』會複制出很多『分身』,就像西遊記中的孫悟空一樣,拔幾根毛就可以複制出幾個分身,然後像蠕蟲般在電腦網路中爬行,從一台電腦爬到另外一台電腦,最常用的方法是透過區域網路(LAN)、網際網路(Internet)或是 E-mail 來散佈自己。著名的電腦蠕蟲『VBS_LOVELETTER』就是一個例子。
惡性程式
『電腦病毒』單純指的是『Virus』,而『惡性程式』(Malicious Code)則泛指所有不懷好意的程式碼,包括電腦病毒、特洛伊木馬程式、電腦蠕蟲。
在早期電腦病毒、特洛伊木馬程式、電腦蠕蟲都是各自獨立的程式而且彼此不相幹,但近幾年來單一型態的惡性程式愈來愈少了,大部份都以『電腦病毒』加『電腦蠕蟲』或『特洛伊木馬程式』加『電腦蠕蟲』的型態存在以便造成更大的影響力,而且比率以前者居多。
例如:『梅莉莎』(MELISSA) 便是結合『電腦病毒』及『電腦蠕蟲』的兩項特性。該惡性程式不但會感染 Word 的 Normal.dot(此為電腦病毒特性),而且會透過 Outlook E-mail 大量散播(此為電腦蠕蟲特性)。例外一個耳熟能詳的案例是結合了『特洛伊木馬程式』及『電腦蠕蟲』兩項特性的『探險蟲』(ExploreZip)。探險蟲並不會感染任何檔案,但是是會覆蓋掉(Overwrite)在區域網路上遠端電腦中的重要檔案(此為特洛伊木馬程式特性),並且會透過區域網路將自己安裝到遠端電腦上(此為電腦蠕蟲特性)。
安全弱點
安全弱點會讓攻擊者、病毒或其他網路安全威脅更容易傷害您的電腦。Microsoft 已公開確認這些存在於其軟體中的安全弱點,並且發行其相對應的修正檔。修正安全弱點可協助您有效降低您電腦受到攻擊或病毒感染的機會。
間諜程式
間諜程式掃瞄並非病毒或惡意的程式碼, 而是危及您隱私的應用程式,允許駭客在您毫無知覺的情況下取得您電腦的控制權。 它們經常隨著您下載想要的應用程式的同時,不知不覺地下載到您的電腦上。 這些安全威脅包括間諜程式、廣告軟體、惡意撥號程式、惡作劇程式、駭客工具、遠端存取工具、密碼破解應用程式,以及其他未分類的軟體。
[轉貼]防毒入門二
惡性程式進化論
『適者生存、不適者淘汰』,我們不難發現過去許多強悍的開機型及DOS 檔案型病毒似乎轉眼間完全消聲匿跡,取而代之的是另一波新型態的巨集、VBScript病毒;電腦惡性程式的進化和整個大環境的改變有著密不可分的關聯。在此以時間為主軸來探討惡性程式的進化論。
檔案格式
由於Microsoft 的作業系統一直是惡性程式發展的主要平台,所以在此的分析也以 Microsoft 的平台為主。縱觀過去10餘年歷史,Microsoft 共推出了三大主要作業環境─MS-DOS、16位元的Windows 3.x及32位元的 Window 9x/NT/2000。
1987-1993:個人電腦盛行及網路萌芽階段,5.25吋磁片仍為主要的資料交換媒介,而電腦主機則以採用8086/8088 CPU的XT及80286的 AT機種為大宗。處於這個資訊爆炸年代,加上版權觀念尚未普及,一套電腦軟體往往是一傳十、十傳百,倚天中文的普及便是最好的一個例子,而這也是造成開機型及DOS檔案格式病毒如雨後春筍般快速蔓延的主要原因。
1993-1995:繼MS-DOS之後,Microsoft的十六位元的作業系統Windows 3.1逐漸取得市場的佔有率,由於Windows 3.1 作業系統畢竟還是得從 MS-DOS 環境下啟動,除了原有開機型及DOS檔案格式病毒仍具威脅以外,專門針對 Windows 3.1 作業系統設計的NE格式電腦病毒也在這個時期問世。
1996-目前:當Microsoft 推出32位元的作業系統,真正頭痛的問題才要開始。巨集病毒、PE格式的32位元病毒、VBScript等惡性程式紛紛出籠,而且這些惡性程式的大都具有撰寫容易、高影響力等特性。
電腦病毒:從1987年的DOS檔案型病毒、開機型病毒、常駐記憶體型病毒到1993年的十六位元 Windows檔案型病毒、1995年的巨集型病毒以及近三年來針對三十二位元作業系統的檔案型病毒、常駐型病毒(如 PE_CIH)以及能夠同時感染三十二位元可執行檔及Word文件的『跨應用程式應染型病毒』,電腦病毒的型態不停的在演變。不隻如此,電腦病毒的作者為了讓自己的程式碼更難被破解及偵測,隨之而來的『變體引擎』(Polymorphism)、『壓縮』(Compression)、『加密』(Encryption)等各項技術都被大量運用在各種檔案型、開機型、巨集型甚至VBScript類型的病毒上。
特洛伊木馬程式:雖然早期有些零星的破壞案例,但其實真正的威脅性並不大,原因是特洛伊木馬程式本身既不會感染其他檔案,也不會主動傳播自己到網路上的其他電腦,所以如何將這些特洛伊程式『種』到使用者電腦中便是其成功與否的關鍵。一般而言,特洛伊程式會將自己偽裝成一些特殊工具來吸引使用者下載並執行,或是電腦駭客直接入侵電腦主機將惡性程式植入對方系統以竊取重要資料(例如 Backdoor 程式)或是進行大規模的『阻斷服務』(Denial of service)攻擊行動。
電腦蠕蟲:這個名詞其實在最近兩三年來才變得特別熱門,不過早在1990年時期就已經有I-Worm (Internet Worm) 的概念,但是因為缺乏大環境的配合,以緻於I-Worm一直處於『概念股』的狀態。直到最近企業內部網路LAN及Intranet的成熟、網際網路Internet及E-Mail的標準化,『電腦蠕蟲』在天時、地利、人和的機會之下於是大量湧現,例如會主動在企業內部網路爬行的PE_FUNLOVE.4099、透過電子郵件散佈自己的W97M_MELISSA.A及最近的熱門話題TROJ_SIRCAM.A均是典型的『電腦蠕蟲』結合『電腦病毒』或『特洛伊木馬程式』例子。
從過去十年電腦惡性程式的發展史不難看出,『傳播媒介』佔有舉足輕重的角色。『傳播媒介』表示的另一層意義是『影響程度』的高低。當傳播愈方便、愈快速、層面愈廣,此時惡性程式所能影響的範圍也就愈大,PE_CIH再強悍也隻不過能透過一部部電腦之間相互感染,同樣是惡性程式透過E-mail 傳播的W97M_MALISSA.A及TROJ_SIRCAM.A則可以在一週內造成全球數以萬計的電腦用戶受到波及。以現有的傳播媒介而言,『E-mail』快於『LAN』(區域網路),而LAN又快於傳統的『磁碟片』,在進化論的學說中『不適者淘汰』,DOS檔案型及開機型病毒幾乎已經絕跡,而單以區域網路為散播媒介的惡性程式將逐漸減少,取而代之是以 Internet為骨幹的 E-mail 型態惡性程式,然而除了E-mail以外,『點對點』(Peer-to-peer)的傳播方式也值得特別注意,由於網路的普及許多人的電腦已經處於『隨時連線』的狀態,未來惡性程式的發展可能傾向於不必藉由第三者(如檔案伺服器、郵件伺服器)而直接散播至各主機,就像廣播電台一樣,而這點也可能是惡性程式作者及電腦駭客未來可能覬覦的主要目標之一。
[轉貼]防毒入門三
惡性程式的擴散
除了傳統的磁片、檔案伺服器以外,到底還有那些新型態病毒的主要感染管道呢?
一、以合法管道進行非法存取
在傳統的觀念裡,電腦病毒必須先藉由某種方式入侵電腦,然後伺機感染這部電腦的其它檔案,在經過一段潛伏期後,最後在某個特定日子進行破壞,乍聽之下好像是電影ID4 中的情節,不過事實上電腦病毒就是如此。以上面所舉的『TROJ_EXPLOREZIP探險蟲』為例,它開創了另一種新的病毒行為模式,『探險蟲』病毒會以受感染的電腦為源頭,透過網路自動向外擴散,並嚐試進入將資料夾分享(Share)出來的電腦、刪除該電腦中的資料。這樣的行為對於電腦作業系統而言,是完全合法的,因為隻要權限足夠,我們可以對任何設定為資源分享的資料夾做存取的動作,而這也是為什麼『探險蟲』病毒的災情,在過去幾個月中不斷在世界各地傳出的主要原因。
二、閱讀E-MAIL時自動散播
以往我們認為在使用電子郵件時,隻要不執行或開啟附件(Attachment)就不會遭受病毒感染,但『VBS_BUBBLEBOY泡泡男孩』這隻由VBScript語言所寫成的病毒,卻打破了這個觀念,即使是僅開啟電子郵件也可能遭受到病毒的威脅。『泡泡男孩』是以電子郵件的型態在網路上傳播。郵件的主旨為"BubbleBoy is back!",同時郵件的內容為"The BubbleBoy Incident,pictures and sounds."及一個由"bblboy.htm"結尾的沒有意義的網址。當我們收到這封不含有任何附件的E-mail 時,不論我們是直接開啟這封郵件或是在預覽窗格中看這封郵件,其實泡泡男孩病毒已經開始執行了,泡泡男孩被執行後,會自動尋找使用者的通訊錄,再把同樣的郵件自動寄給通訊錄內的地址,當你的朋友正在閱讀你的來信時,其實泡泡男孩病毒又從你朋友的電腦開始散播給其他人了。
三、藉由E-MAIL主動散播
談到能藉由 E-mail主動散播的病毒,就非『梅莉莎』病毒莫屬了。想必大家對於這隻曾經驚動美國聯邦調查局(FBI)的文件巨集病毒一定耳熟能詳,梅莉莎病毒是首隻會透過 Outlook 大量並以等比級數的速度散播的巨集病毒,短短一週內毒性襲捲全球,許多知名大企業的郵件伺服器 (E-MAIL Server) 也都因梅莉莎病毒所引起的郵件風暴,導緻伺服器不堪負荷而紛紛當機。
[轉貼]防毒入門四
各類防毒技術
病毒碼掃描法
將新發現的病毒加以分析後,根據其特徵,編成病毒碼,加入資料庫中。以後每當執行掃毒程式時,便能立刻掃描程式檔案,並作病毒碼比對,即能偵測到是否有病毒。病毒碼掃描法又快又有效率( 例如趨勢科技的PC-cillin及Server Protect,利用深層掃描技術,在即時掃瞄各個或大或小的檔案時,平均隻需1/20秒的時間),大多數防毒軟體均採用這種方式,但其缺點是無法偵測到未知的新病毒及以變種病毒。
加總比對法 (Check-sum)
根據每個程式的檔案名稱、大小、時間、日期及內容, 加總為一個檢查碼,再將檢查碼附於程式的後面,或是將所有檢查碼放在同一個資料庫中,再利用此Check-sum系統,追蹤並記錄每個程式的檢查碼是否遭更改,以判斷是否中毒。這種技術可偵測到各式的病毒,但最大的缺點就是誤判斷高,且無法確認是哪種病毒感染的。對於隱形飛機式病毒,亦無法偵測到。
人工智慧陷阱(Rule-based)
人工智慧陷阱是一種監測電腦行為的常駐式掃描技術。它將所有病毒所產生的行為歸納起來,一旦發現記憶體的程式有任何不當的行為,系統就會有所警覺,並告知使用者。這種技術的優點是執行速度快、手續簡便,且可以偵測到各式病毒;其缺點就是程式設計難,且不容易考慮週全。不過在這千變萬化的病毒世界中, 人工智慧陷阱掃描技術是一個至少具有保全功能的新觀點。目前趨勢科技的PC-cillin,就對病毒的可疑行為設下了將近12道的陷阱, 以達到預防重於治療的目標。
軟體模擬掃描法
軟體模擬技術專門用來對付千面人病毒(Polymorphic /Mutation Virus)。千面人病毒在每次傳染時,都以不同的隨機亂數加密於每個中毒的檔案中,傳統病毒碼比對的方式根本就無法找到這種病毒。軟體模擬技術則是成功地模擬CPU執行,在其設計的DOS虛擬機器(Virtual Machine)下假執行病毒的變體引擎解碼程式,安全並確實地將多型體病毒解開,使其顯露原本的面目,再加以掃描。
VICE(Virus Instruction Code Emulation)-先知掃描法
VICE先知掃描技術是繼軟體模擬後的一大技術上突破。VICE將工程師用來判斷程式是否有病毒碼存在的方法,分析歸納成專家系統知識庫,再利用軟體工程的模擬技術(Software Emulation)假執行新的病毒,則可分析出新病毒碼對付以後的病毒。
即時的I/O掃描(Realtime I/O Scan)
Realtime I/O Scan的目的在於即時地對資料的輸入/輸出動作做病毒碼比對的動作,希望能夠在病毒尚未被執行之前,就能夠防堵下來。理論上,這樣的即時掃描程式雖然會影響到整體的資料傳輸速率,但是使用Realtime I/O scan,檔案傳送進來之後,就等於掃過了一次毒,整體來說,是沒有什麼差別的。
文件巨集病毒陷阱(MacroTrap)
MacroTrap是結合了病毒碼比對與人工智慧陷阱的技術,依病毒行為模式(Rule- based) 來偵測已知及未知的巨集病毒。其中,配合OLE2技術,可將巨集與文件分開,使得掃描速度變得飛快,而且更可有效地將巨集病毒徹底清除!
描述語言陷阱(Script Trap)
結合了病毒碼比對與人工智慧陷阱的技術,依病毒行為模式(Rule- based) 來偵測已知及未知的快樂時光( Happy time)、愛情蟲(ILoveYou)等描述語言病毒(Script Virus),在這些病毒進入電子郵件信箱前予以攔截,即便是潛藏在壓縮附件檔中的病毒也能有效防堵。
木馬殺手(Trojan System Cleaner)
傳統的掃毒程式在面對難纏的特洛伊木馬病毒時,隻能掃瞄病毒檔並加以刪除,無法徹底還原系統中已被病毒修改的部分。PC-cillin2002新整合的『木馬殺手』,是專門對付特洛伊木馬病毒的掃毒解毒工具,對於知名的多種特洛伊木馬病毒,都能自動偵測、徹底移除,並自動還原檔案,讓您的電腦即時恢復正常運作。
[轉貼]防毒入門五
防毒軟體的關鍵-病毒碼與掃瞄引擎
病毒碼像是犯人的指紋,當防毒軟體公司收集到一隻新的病毒時,他們就會從這個病毒程式中截取一小段獨一無二而且足以表示這隻病毒的二進位程式碼 (Binary Code),來當做掃毒程式辨認此病毒的依據,這段獨一無二的二進位程式碼就是所謂的病毒碼。那麼,什麼叫二進位程式碼呢? 在電腦中所有可以執行的程式 (如 *.EXE, *.COM) 幾乎都是由二進位程式碼所組成,也就是電腦的最基本語言 -- 機械碼。就連當紅的文件巨集病毒,雖然它隻是包含在Word文件檔案中的巨集,可是它的巨集程式也是以二進位碼的方式存在於Word文件檔中。
掃瞄引擎可以說是防毒軟體中最精華的部份。 當您使用一套防毒軟體時,不論它的畫面是否精美,操作是否簡便,功能是否完善,這些其實都還不足以證明一套防毒軟體的好壞。事實上,當您操作防毒軟體去掃描某一個磁碟機或目錄時,它其實是把這個磁碟機或目錄下的檔案一一送進掃瞄引擎來進行掃描,也就是說您所看到的漂亮畫面其實隻是一個使用者介面 (UI, User Interface),真正影響掃描速度及偵測率的因素就是掃瞄引擎,掃瞄引擎是一個沒有畫面,沒有包裝的核心程式,它被放在防毒軟體所安裝的目錄之下,就好像汽車引擎平常是無法直接看見的,可是它卻是影響汽車性能最主要的關鍵。有了病毒碼,有了掃瞄引擎,再配合一個精美的操作畫面,就成了市面上您所看到的防毒軟體。
因為病毒的種類及型態一直在改變,新病毒也每天不斷的被產生,如果不經常更換最新的病毒碼以及掃瞄引擎,再強悍的防毒軟體也會有失靈的一天。因為病毒碼和掃毒引擎是防毒工作中相當重要的一環,隻單單更換病毒碼或掃毒引擎是不夠的,必須兩者都進行更新。
