病毒传播原理.doc

按病毒传染的方法 根据病毒传染的方法可分为驻留型病毒和非驻留型病毒，驻留型病毒感染计算机后，把自身的内存驻留部分放在内存（RAM）中，这一部分程序挂接系统调用并合并到操作系统中去，他处于激活状态，一直到关机或重新启动.非驻留型病毒在得到机会激活时并不感染计算机内存，一些病毒在内存中留有小部分，但是并不通过这一部分进行传染，这类病毒也被划分为非驻留型病毒。 定義： ? 電腦病毒是一組具有傳染能力、會自我複製的程式碼， 而且是對使用者有害而無用、使用者卻常渾然不知的程 式碼。 ? 當電腦感染上病毒時，電腦將受到不同程度的損害，例 如 ? 系統當機 ? 資料毀損 ? 異常 ?一般的電腦病毒具有： ? 啟動性 ? 傳播性 ? 傳染性 ? 寄居性8 電腦病毒 ?可藏身在記憶體、硬碟之partition table、boot sector、檔案、e-mail的附加檔或本文、 分成 數段存在於檔案之間的空隙（如CIH），藉 由時間的設定或寄居程式中藉由系統的啟動 發動病毒，再靠複製病毒與磁片的傳染來預 防絕種 ?可對軟碟或硬碟啟動區、檔案配置表或其他 程式、硬體造成破壞 ?與一般程式不同處在於：具有傳染能力，會 不斷複製程式碼至其他檔案或電腦內部 除了電腦病毒外，還有許多種程式也會對電腦產生破壞： ? 蠕蟲（Worms） ? 寄生蟲屬於電腦病毒的一種，此型的病毒不會攻擊其他程式，它 只會不停的複製自己 ? 有如西遊記中的孫悟空一樣，拔幾根毛就可以複製出幾個分 身，會入侵及損壞電腦 ? 然後像蠕蟲般在電腦網路中爬行，從一台電腦爬到另外一台 電腦。 ? 經常透過區域網路、網際網路或是 E-mail 來散播到其他伺服 器，最後所有的伺服器將忙著複製、傳播病毒，沒空服務其 他合法的使用者 ? 著名的電腦蠕蟲如： ? 會主動在企業內部網路爬行的PE_FUNLOVE.4099 ? 透過電子郵件散佈自己的W97M_MELISSA.A和 TROJ_SIRCAM.A ? 以上均屬於典型的『電腦蠕蟲』結合『電腦病毒』或『特洛 伊木馬程式』 暗門程式（Trapdoor） ? 程式或伺服器中未公開的秘密通口，利用暗門程式可以 自由進出系統，而不被別人發現 ? 最早的暗門程式是程式設計師預留做為追蹤、監控、除 錯甚至修復系統。但後來演變成駭客入侵後，為了方便 未來可以直接進入系統而保留的通口 ? 若電腦系統的管理者發現了漏洞，將漏洞補好了，駭客 仍可利用早就安插好的暗門程式，繼續入侵此系統。12 電腦病毒與電腦犯罪 ?木馬藏兵（Trojan Horse） ? 特洛依木馬指的是類似電腦病毒的指令組合，暗藏在普 通程式中，藉著普通程式的執行，偷偷的作自己的事 ? 特洛依木馬程式會記錄使用者做了哪些動作，當然包括 使用者所按下的密碼 ? 特洛伊木馬程式本身既不會感染其他檔案，也不會主動 傳播自己到網路上的其他電腦，所以如何將這些特洛伊 程式『植入』到使用者電腦中便是駭客入侵成功與否的 關鍵。 ? 木馬程式會透過E-mail或將自己偽裝成一些特殊工具來 吸引使用者下載並執行，或是電腦駭客直接入侵電腦主 機將惡性程式植入對方系統以竊取重要資料或進行大規 模的『阻斷服務』（Denial of service）攻擊。 啟動之木馬程式會先在被害者電腦開啟特定埠口 『又稱後門』，CLIENT端(攻擊者電腦)執行程式 即可搜尋此有開放特定埠口之電腦作遠端連線，然 後伺機執行其惡意行為如：格式化磁碟、刪除檔 案、竊取密碼等…… ?木馬程式及開啟之特定埠口： ? Subseven(port:1243，27374) ? BO2K(port:54320) ? netbus(port:12345) ? 冰河等 邏輯炸彈（Logical Bomb） ?屬於特洛依木馬的一種，它需隱藏在其他的程 式中，當某個被預先設定的條件吻合時，它便 會啟動。 ?例如被公司開除的員工因心中不滿，離職前便 在公司電腦裡擺置了一個邏輯炸彈，若干時日 以後，炸彈啟動，自動將電腦中的資料全數銷 毀。 視窗炸彈簡介 ?會不斷的在被害者電腦上開啟視窗，造成系統 資源或CPU耗盡，最後導致當機或必須重開機 才能正常使用。 ?製作方式 ?使用Java Script 或VB Script寫一段永不結束的程式 片段放在HTML檔(*.htm)或郵件內部送出即可。 ?當不慎瀏覽到網頁或點選郵件附加檔執行即不 斷的出現視窗在桌面上 視窗炸彈簡介 ?會不斷的在被害者電腦上開啟視窗，造成系統 資源或CPU耗盡，最後導致當機或必須重開機 才能正常使用。 ?製作方式 ?使用Java Script 或VB Script寫一段永不結束的程式 片段放在HTML檔(*.htm)或郵件內部送出即可。 ?當不慎瀏覽到網頁或點選郵件附加檔執行即不 斷的出現視