[交流] 電腦病毒小常識

電腦病毒
　　電腦病毒在技術上來說,是一種會自我複製的可執行程式。大部份的電腦病毒都有一個共通的特性 - 它們通常都會發病。
自從Internet盛行以來, Java和ActiveX的網頁技術逐漸被廣泛使用,一些有心人士利用Java和ActiveX的特性來撰寫病毒。以Java病毒為例它並不能破壞您硬碟上的資料, 有一種Java病毒, 若您使用瀏覽器來瀏覽含有Java 病毒的網頁, 病毒可以強迫您的Windows不斷的開啟新視窗, 直到系統資源被吃光為止。
所以在Internet革命以後, 電腦病毒的定義就更改為只要是對使用者會造成不便的這些不懷好意的程式碼,就可以被歸類為病毒。

電腦病毒何處來 如果我們要電腦幫我們做事，我們就得將命令用電腦程式語言寫成程式，等到電腦執行這個程式，它就幫我們完成我們的命令了。電腦病毒就是因為有人把破壞電腦的命令寫成一支程式，於是一隻病毒就形成了。
是誰寫病毒呢? 　通常寫病毒的人對電腦都有超乎常人的狂熱，有人寫病毒是因為好奇，有人是因為証明自己的電腦功力，有人是為了表達自己的想法給別人知道，有人是懷著報復的可怕心理… 各種原因都有，但能寫出電腦病毒的人都對電腦的內部結構有一定程度的了解，所以也不是任何人都有能力寫病毒的。

一、巨集病毒 (Macro Virus):
巨集病毒是目前最熱門的話題, 它主要是利用軟體本身所提供的巨集能力來設計病毒,所以凡是具有寫巨集能力的軟體都有巨集病毒存在的可能, 如Word, Excel, AmiPro都相繼傳出巨集病毒危害的事件, 在台灣最著名的例子正是Taiwan NO.1 Word巨集病毒。
二、開機型病毒 (Boot Strap Sector Virus):
開機型病毒是藏匿在磁碟片或硬碟的第一個磁區。病毒於每次開機時, 被載入到記憶體中, 使得病毒擁有更大的能力去進行傳染與破壞。
三、檔案型病毒 (File Infector Virus):
檔案型病毒通常寄生在可執行檔(如 *.COM,*.EXE等)中。當這些檔案被執行時, 病毒的程式就跟著被執行。檔案型的病毒依傳染方式的不同, 又分成非常駐型以及常駐型兩種:
(1) 非常駐型病毒(Non-memory Resident Virus) :
非常駐型病毒將自己寄生在 *.COM, *.EXE或是*.SYS的檔案中。當這些中毒的程式被執行時，就會嘗試地去傳染給另一個或多個檔案。
(2) 常駐型病毒(Memory Resident Virus) :
常駐型病毒躲在記憶體中，往往對磁碟造成更大的傷害。一旦常駐型病毒進入了記憶體中,只要執行檔被執行, 它就對其進行感染的動作,其效果非常顯著。將它趕出記憶體的唯 一方式就是冷開機(完全關掉電源之後再開機)。
四、複合型病毒 (Multi-Partite Virus):
複合型病毒兼具開機型病毒以及檔案型病毒的特性。它們可以傳染 *.COM, *.EXE 檔，也可以傳染磁碟的開機系統區(Boot Sector)。由於這個特性, 使得這種病毒具有相當程度的傳染力。一旦發病，其破壞的程度將會非常可觀！例如:台灣曾經流行的大榔頭(Hammer),歐洲流行的Flip翻轉病毒皆是。
五、隱型飛機式病毒 (Stealth Virus):
隱型飛機式病毒又稱作中斷截取者(Interrupt Interceptors)。顧名思義,它藉
由控制DOS的中斷向量來讓DOS以及防毒軟體認為所有的檔案都是乾淨的。
六、千面人病毒 (Polymorphic/Mutation Virus):
千面人病毒可怕的地方, 在於每當它們繁殖一次,就會以不同的病毒碼傳染到別的地方去。每一個中毒的檔案中, 所含的病毒碼都不一樣,對於掃描固定病毒碼的防毒軟體來說，無疑是一個嚴重的考驗！如Whale病毒依附於.COM檔時，幾乎無法找到相同的病毒碼, 而Flip病毒則只有2 byte的共同病毒碼(好像戴面具只剩兩個眼睛露出來)。

電腦病毒的破壞方式
1. 開機型：破壞侵入開機磁區
2. 檔案型：感染硬碟的資料，並進行破壞
3. 格式化型：直接將硬碟進行格式化，破壞資料
4. 巨集病毒：感染 Office 文件
5. 特洛依木馬：別人可藉由網路操控被感染的電腦，常見的特洛依木馬工具有 Back Orifice ( bo )，Netbus，SubSeven。 size=3>

病毒發病時可能會格式化(FORMAT)你的電腦，讓你所有的資料都不見，也可能將部分檔案破壞，使其內容不完整，也有可能會刪除一些檔案，惡作劇型病毒會一直開視窗妨礙工作，甚至讓電腦當機；所造成的破壞是不一定的。
特洛伊木馬程式是一種遠端控制程式 , 通常這種程式有一個特性 , 控制者必須將一個程式值入我們的電腦裡面 , 然後來控制我們的電腦 , 到這兒 , 我們至少已經知道特洛伊木馬是一種透過網路的 遠端遙控程式。特洛伊木馬可能引起的危害要看控制您電腦的人他的心地如何囉! 如果是好奇的人只會看看您電腦的東東 , 那如果是比較壞的人可能會毀了您電腦中全部的資料 , 竊取電腦的重要資料 , 或利用控制的電腦做非法的事 , 一般掃毒程式都會將已知 ( 註一 ) 的特洛伊木馬程式列為病毒

註一: 所謂已知是指掃毒程式公司已經發現的特洛伊木馬程式 , 表示若是未發現的特洛伊不會被掃毒程式發現 , 常見的特洛伊木馬都己被列為病毒，不過私人自己寫的特洛伊木馬則不易被發現，至此 , 我們應該知道掃毒程式不是萬能的。



電腦病毒的感染途徑 磁片、光碟、網路、任何能夠傳輸資料或儲存檔案的任何裝置都有可能會傳播病毒。

1.無緣無故經常會當機
2.電腦突然開不了機
3.系統執行速度突然變慢
4.出現莫名其妙的訊息、對話方框或聲音
5.可執行檔的檔案大小或日期改變了
6.ZIP檔無法解壓縮
(a)如果病毒已經發病：
電腦可能顯示出怪異的訊息，或是正在清除您的硬碟，可以嘗試的動作是：馬上關機，改用一片乾淨的磁片開機，dir看看C: \>(或其他硬碟機)是否還存在。如果C:硬碟機還在，可以儘快地執行備份的動作，然後用防毒軟體解毒。如果C:已經不存在或者解毒不成功，您可以嘗試著將硬碟送至電腦商店，由具有維修經驗的工程師來試試看是否能夠救回一些資料。
(b)如果病毒尚未發作：
這種狀況就安全多了。病毒大多仍在繁殖當中，但是尚未發病。下面有幾個方式可以辨認病毒是否正在感染您的檔案：
1. 檔案的大小無緣無故地增加或減少！
2. 儘管您沒有做任何存檔的動作，硬碟的空間卻越來越小。
3. 在一個目錄中的檔案數目變得越來越多。
若病毒尚未發作您可以採取的行動：首先，不要執行任何的程式，並且關閉 所有正在執行中的程式。下一步，如果您還沒擁有一套防毒軟體，趕緊去準備 一套，利用防毒軟去除電腦病毒。(一個例外是－－在開始解毒之前，您可以先 嘗試去備份您的硬碟。但是您必須了解，這份備份仍含有病毒。在還沒弄清楚狀 況之前，不要隨便將這份備份還原回來。)

中毒了怎麼辦 如果自己的電腦可能中毒了，你可以先用掃毒程式掃毒，如果電腦病毒正在破壞你的電腦，而你不知該如何處理時請馬上關機以減少損失，不管病毒在怎麼強，畢竟也只是一個程式，如果電腦關了，病毒也就無法發揮破壞力。此時，您可以請教別人如何處理。



電腦病毒的傳染途徑，主要是經由磁片(開機型病毒) 與檔案(檔案型病毒)兩種 媒介傳播，因此，要防止電腦中毒，除非是該台電腦完全不和其它電腦有磁片或檔案的交換，否則就無法保證不中毒了，但事實上，誰都無法作如此的保證。
1.不要用盜版軟體
2.儘量用硬碟開機，如無硬碟，則開機磁片要記得貼上防寫貼紙
3.要裝置真正有效的防毒軟體, 以達到預防重於治療的目的。
4.開啟 Email 附件或至 Internet 下載檔案時，要先用防毒軟體所附之掃毒程式檢查過，才可放入硬碟內。
5.至 Internet下載檔案時得先存至硬碟，再用防毒軟體掃瞄。
6.養成每日備份資料
7.訂閱各家防毒公司的電子周刊(如:趨勢科技發行的"毒賣新聞" 或賽門鐵客毒漏新聞網發行的防毒月刊)，可定期接收最新的防毒資訊，預防勝於治療。
8.隨時上各家防毒公司的網站，可隨時知道病毒最新狀況、現在正囂張的病毒現行犯。

電腦病毒的防治方法 消極的作法就是不執行上述不明內容的磁片、光碟、E-mail 的附加檔。可是對很多人而言，就是很好奇這些檔案是什麼東東，會想去用用看。可是，這麼做就得負擔可能被病毒感染的後果)。另外就是安裝防毒程式，雖然不是百分之百有效，不過卻可以防止大多數的已知病毒。掃毒程式對電腦而言，就像我們接種疫苗一樣，對已知的病毒具有免疫能力。不過，新的電腦病毒不斷產生，我們必須常更新「病毒碼」才能對新發現的電腦病毒產生抗體。但是掃毒程式並不是無敵的。我們自己要對不明的程式心懷警戒，現在網路已經是病毒主要的感染途徑，如果是不熟的人寄給我們的 E-Mail 附加檔案千萬不要輕易執行。