********* 认识电脑病毒的基本概念 ********** PC所用的操作系统叫做 MSDOS 或叫 PCDOS,其必须於打开电源後,由磁碟A 或硬碟C载入到记忆装置(即所谓的RAM) 里,此过程叫开机,其程序用以下图表表示: 1 2 3 ┌──┐ ┌─────────┐软碟 ┌─────────────┐ │开机├───┤BIOS开始动作 ├───┤ 载入启动程式BOOT执行.│ └──┘ │RAM开始自我测试│ ┌┤ 即磁片第0轨第1磁区程式 │ └───┬─────┘ │└───────┬─────┘ │ 硬碟 │ │ ┌──┴────────┴──┐ │ │硬碟会读入分割管理表,即 │ │ │partion table │ │ └──────────────┘ 4 │ 6 5 ┌─────┴────┐ ┌───────────┐┌───────────┐│启动DOS主程式,即 │ │启动执行半常驻程式 ├┤ 启动外部装置,即 ├┤IO.SYS │ │COMMAND.COM││ CONFIG.SYS││MSDOS.SYS │ └───────────┘└───────────┘└──────────┘ 开机完成 出现A>或C> 这是正常的开机程序 《系统性病毒》-在开机的过程 下陷阱,初期让你觉得正常仍可执行,其间作 暗传染的工作,时间一到才发作,继而吓唬嘲弄或破坏. 『系统性病毒』 如(c)Brain、DISK KILLER、STONE,AIRCOP, COPYLOCK,AZUSA,STONE1-3, JOSHI,OHIO,MUSICBUG等皆为系统性病毒.亦称开机型病毒. [系统性病毒]是 藉由磁碟机的开机(BOOT)来感染的,也就是说病毒将磁片 上的BOOT SECTOR 改变,在开机时先将病毒自己的 程式由磁碟中读进记忆体中,改变了磁碟的中断向 量後,再交由正常的BOOT程式执行正确的BOOT的动 作,也就是说在DOS主程式尚未载入时,病毒就已 经读进记忆体中了,所以凡有磁碟机的动作(BOOT)就产生 传染硬碟的分割磁区,而一执行到DIR、TYPE、...等 DOS 指令就会感染到磁片来的原因。   『系统性病毒』是很难让你发现到它的存在, 它不算是常驻, 因为在系统尚未LOADING 进来之前 它就已经将系统中的MEMORY SIZE 自行缩小,而所 缩小的部份就是存放病毒程式的地方,所以您很难 发现它的存在,但是若您注意的话您会发现似乎一 个很小的程式也会读得很久,因此您若发现如此情 形,不妨检查一下磁片上的 BOOT SECTOR ,虽然系 统性病毒很毒,但是它的传染方式较档案性病毒不 易暗传染。 《档案性病毒》 各位都知道,开机完成以後,在A>或C>的状况下我们只能下达 1.内在命令:一种系统天生就知道的命令,如DIR,TYPE..等 2.外在命令:存在磁碟的档案,其型态必是 .EXE 或 .COM 它可当作命令来执行,即所谓的执行档.当你执行它的时候, 它就载入到记忆体去做事. 《档案性病毒》就是将原执行档程式的程序,暂且中断,而去执行 陷阱的 工作,再回头继续原始的程序,使电脑使用者初期觉得正常 可执行,期间它就作暗传染的工作,时辰一到才发作或破坏. 如 JERUSALEN,HAPPY SUNAY,TWO TIGER,LOCKUP,1181/1184, 1701-4,RED-9,等 《档案性病毒》可分一般档案性病毒,爆炸性病毒,破坏性病毒,和特洛依式 病毒.其传染的原理如下表: 1 执行 2 6 ┌───────┐ ┌────────────┐ │含有病毒的程式├───┤ 原程式+病毒 进入记忆体├───等时机发病 └───┬───┘ └─────┬──┬───┘ 退回後程式│ 程式退出时,病毒赖在│ │ 大小膨涨 │ 记忆体中不出来,叫作│ ┌┴───────┐ 4 │ 常驻(TSR) │ │其他无毒程式进入│ └─────────────┘ │记忆体,将 被传染│ 3 └────────┘ 5 『档案性病毒』似乎比系统性病毒传染机会来得多,而且种类不只一种,传染的方式也不 同,在系统性病毒中我们谈过系统性病毒是感染在BOOT SECTOR 中,而档案性病毒则是附 着在档案之中,随着档案的执行而常驻在MEMORY中,而直接感染其馀的档案, 我们就先来讨论一下[一般档案性病毒] 一般档案性病毒 例如黑色星期五、HAPPY SUNDAY、两只老虎、其实这些都是黑色星期五的变种 病毒,若您执行了这种病毒的档案後,病毒会藉着执行动作修改DOS 的中断向量 并常驻在MEMORY之中,并再藉着TIMER 使系统产生病发,在未病发这段时间称 为电脑病毒的潜伏期.在潜伏期间内,只要执行任一可执行档,这些执行档 就成为被传染的对象,直到病发为止。 爆炸性病毒 爆炸性病毒是当执行一个已经感染了的爆炸性病毒时,在未执行真正的程式前, 病毒就在这个时後先去感染别的程式,当然在未执行之前会先 有条件性的判断是否该病发了,若"时机未到"就执行传染的命令,之後再执 行真正的程式,因此爆炸性病毒不需要常驻也不需要修改任一中断向量,所以 预防程式要在事前拦截到。因此各位最好留意自己档案的长度。 特洛伊式病毒 这一类型的病毒与上一种的爆炸性病毒是最难防止的,因为特洛伊式病 毒有可能是一个从BBS(电子公告栏)中DOWNLOAD下传来的一个PD(公用软体), 在当时,病毒就可能正在干一些见不得人的事,可是您却万万想不到居 然是您天天用的程式(这不是不可能,虽然台湾尚未有此案例),而此一类型 的病毒通常并不带有传染性,只是含在程式之中,而这一种病毒的由来原是惩 治一些非法使用的盗版软体。 混合型病毒 混合型病毒是结合系统性及档案性两种病毒,而互为感染的病毒,是目前病毒之 王,极为利害,不容易消除.其原理如下: 1 执行 2 7 ┌───────┐ ┌────────────┐ │含有病毒的程式├───┤ 原程式+病毒 进入记忆体├───等时机发病 └───┬───┘ └─────┬──┬───┘ 退回後程式│程式退出时,病毒赖在 │ │ 4 大小膨涨 │记忆体中不出来,叫作 │ ┌┴────────┐ 可能仅一次│常驻(TSR)并感染其他档案│ │传染记忆体,并感染 │ 5 └─────────────┘ │自己的BOOT区 │ 3 └┬────────┘ │ 6 再传染其他BOOT及档案 此类病毒有HAMMER 3-6代(大榔头) ┌─ MUSIC BUG ├─ (c) Brain ├─ AIR COP ┌────┼─ DISK KILLER 《系统性病毒》 │ ├─ COPYLOCK │ ├─ STONE 1-3 │ └─ OHIO,AZUSA │ │ 《一般档案性病毒》 │ ┌─ FRIDAY Th13 ─┬─ HAPPY SUNDAY 『电脑病毒』 ───────┤ ├─ 1701-4 │ │ ┌──┼─ WOLF MAN └─ 2 TRIGERS │ │ ├─ 1181/1184 《档案性病毒》 │ │ ├─ RED-9 VIRUS │ │ └─ LOCK UP ├─┤ 《爆炸性病毒》 │ │ ┌─ VIENNA ┌── SUNNY 1 │ │ ├─ 13224 ├── SUNNY 2 │ │ ├─ BOM SUNDAY ──┼── SUNNY 3 │ ├──┼─ 13224 ├── SUNNY 4 │ │ ├─ VIRUS 102 └── SUNNY 5 │ │ └─ HAMMER 1-2 │ │ 《特洛伊式病毒》 │ └──── JONEKEY │ 《混合性病毒》 └──────HAMMER 3-6, FLY WOLF,CANCER, FLIP,NOCOPY ******************************************************************************