:::主要內容區

柒、淺析病毒入侵方式及防制技術

一、病毒基本特性分析
二、病毒防制技術

一、病毒基本特性分析

  雖然電腦病毒的種類繁多,但針對其基本特性而言,電腦病毒具有啟動、複製、傳染與寄居等特性。

(一)啟動性

  通常病毒的啟動可透過時間上的設定來決定其何時開始進行感染與破壞,例如每年的特定月份、某月特定的日期或某星期的某一天。此外,也有一些病毒可藉由執行的次數來決定開始發作時間,此類病毒通常以感染可執行檔及命令檔為主,當這些宿主程式被執行達一定次數時則病毒隨即發作。一旦病毒啟動後,資料可能被竄改、竊取與毀損,而系統則產生異常現象或無法正常運作。

(二)複製性

  當病毒進入系統後,所做的第一件事情就是複製自己,迅速將自己擴散出去,並不斷成長或變種。通常大部分病毒不會立即去破壞電腦系統,而是先去尋找一個尚未被感染程式。透過此一被感染的程式不斷的複製自己再去尋找下一個尚未被感染程式,如此周而復始的行動,直到整個系統資源被耗盡為止。

(三)傳染性

  電腦病毒可藉由磁片的攜帶、檔案的複製或經由網際網路資料傳輸時感染。尤其,近年來因為網路環境的便利、廉價與不受時空因素限制等特性,使得運用資訊網路的人口大幅度增加。例如電子郵件的使用比例即逐年攀升,它使得人與人之間的訊息傳遞變得容易、迅速且收費低廉。因此,電腦病毒的設計者自然會善加利用此一管道,將病毒於最短的時間內傳染給網路使用者。更甚者某些編寫巧妙的病毒程式,可以在幾週或者幾個月內進行傳播及再生卻不被發現,如特洛伊木馬程式,此類病毒所造成的破壞與影響範圍較傳統病毒更為嚴重與可怕。

(四)寄居性

  病毒通常會隱藏在程式或資料檔中,藉由系統啟動來執行未經授權的攻擊作為。有的電腦病毒為了逃過掃毒程式的掃瞄或使用者的稽核,會採用隱藏的方式來保護自己,其主要的作法為將程式碼加以重新編碼,讓掃毒程式掃不到病毒,並伺機發作。透過這些寄主程式,讓病毒得以隱藏在我們的系統內而不被發覺,一旦時機成熟即開始展開攻擊。此點對於病毒防制工作的執行,造成莫大的困擾。

二、病毒防制技術

  現行病毒的主要防制技術為病毒碼過濾法(Virus Code Filter)及加值總和法(Check Sum),但隨著資訊技術不斷精進,未來病毒防制的方法亦將更為有效與簡便。茲列舉種病毒防制技術以為本軍各級未來在病毒防制工作上之參考。

(一)病毒碼過濾法

  病毒碼過濾法係根據病毒的唯一識別碼,如感染CIH車諾比病毒之可執行程式的啟始進入點為“55 8D 44 24 F8 33 DB 64”,去比對每一個可執行之程式,有該特徵者則判定為該病毒,但因病毒數量過多而經常造成誤判,面對新病毒時,亦往往因特徵不易選取或不知其特徵,使得電腦檔案早已中毒而不自知。

(二)加值總和法

  而另一種技術,加值總和法則是將原始程式碼做運算(須確定原程式無毒),且儲存每一個可執行程式的運算結果,只要程式有異樣便會被發現。因其非根據病毒碼,而是以程式本身所記錄的資料,故不易誤判且不需時常更新防毒軟體版本,對新病毒依然有效。

(三)Station Lock技術

  通常,防毒概念是建立在「病毒必需執行有限數量的程序之後,才會開始感染」的基礎上。而Station Lock技術就是根據此一理論與病毒活動的特點,辨別病毒可能的攻擊意圖,並在病毒尚未造成任何破壞之前予以攔截。換言之,Station Lock技術是在系統啟動之前就控制了終端用戶的軟硬體,使得病毒無法藉由網路傳播與感染。

(四)NLM(Netware Load Module)技術

  網路核心是各類重要的伺服器,一旦被病毒感染便無法啟動,使得整個網路陷於癱瘓狀態,造成無可彌補的嚴重後果。因此,透過NLM技術以模組方式進行系統程序設計。以伺服器為主要對象,強化其即時掃描病毒的能力,截斷病毒傳播路徑,以確保伺服器不被病毒感染。

  • 回上一頁
  • 94-03-01:10,903