電腦病毒概念

第二章文獻探討

第二節電腦病毒概念

電腦病毒最早且明確的定義為「一個能夠修改對方程式，使該程式包含一份病毒本身的複製，來感染對方的程式」(Cohen,1984)。同時也作了另一則說明：「有了這樣的感染機制，病毒可以透過電腦或透過網路取得使用者的權限，進而感染程式」，在此定義發表 20 多年後，就如 Cohen 的說法，電腦病毒已成為全球電腦最大的威脅。

本節將分別以電腦病毒基本定義、電腦病毒行為特性、電腦病毒種類、

電腦病毒的防治方法四項進行電腦病毒概念探究。

一、

電腦病毒基本原則

人們習慣把各種類型的惡意程式，如蠕蟲 (Worm)、特洛依木馬 (Trojan Horse)都歸類為電腦病毒， Symantec(2004)、 Sophos(2001)以及 Trend(2003) 三家防毒軟體廠商指出，電腦病毒(Computer Virus)是一種電腦程式，在未取得電腦使用者的同意下將自己複製至電腦中，並將病毒程式附著到電腦檔案裡，每當執行檔案時就會執行到病毒程式，進行一些使用者不願意做的事，

如刪除檔案、修改資料等破壞正常檔案的行為，除了這些，電腦病毒並可以透過網路或磁片進行散佈，輕者僅讓個人電腦無預警的當機，或佔據些許記憶體資源；嚴重者，會格式化硬碟、刪除檔案或造成電腦無法運作。Ludwig (1996)認為並非所有具破壞性的程式都是電腦病毒，僅當該程式具有自我複製能力時才可認定為病毒。對於電腦病毒的定義也有研究者提出不同的看法，其認為判定是否為電腦病毒應確認是否該程式會自我複製到其他目標中為準則，對於那些會詢問使用者意願”你是否想要感染其他檔案”的電腦病毒，若也具有自我自製功能者，也應判定為電腦病毒(Peter, 2005)。這樣的說法與”未經使用者同意而自我複製”的定義有出入，在本研究中，我們則採用較嚴謹的定義，即具有自我複製能力的惡意程式才稱為電腦病毒。

而所謂的惡意程式是指一切不懷好意的程式，病毒、蠕蟲、間諜程式等都包含於其中，但因多數人對於各種惡意程式間的差別無法釐清，因此媒體報章雜誌常以「病毒」概稱，負責對抗惡意程式的專業人員則必須要清楚了解期概念間的差異(賴榮樞，2005b)；但也有文獻持相反態度，認為未經同意

即進入他人電腦中，從事干擾電腦正常運作、損壞檔案或軟硬體的有害程式如蠕蟲、木馬、變形引擎、遠端遙控程式等，這些惡意程式都應納入的電腦病毒的範疇中(林修遠，2002；程秉輝，2004)。

Symantec(2006b)表示電腦病毒、蠕蟲以及特洛依的最大不同點在電腦病毒是將惡意的病毒碼附加在電腦中乾淨的檔案上，蠕蟲以及特洛依木馬則不依附在其他檔案上，而是整個檔案都是惡意程式，如圖 2-2-1；但有些病毒會把病毒碼會完全覆蓋掉乾淨的檔案，造成乾淨的檔案會完全被破壞而無法挽救(黃文杰，2000)，如圖 2-2-2。

圖 2-2-1 電腦病毒、蠕蟲、木馬感染示意圖資料來源：Symantec(2004)

圖 2-2-2 遭病毒完全覆蓋的檔案資料來源：黃文杰(2000)

正因感染的方式不同，解毒過程也會採不同的對待方式，當偵測到電腦蠕蟲與特洛伊木馬時，防毒軟體採取的方式為直接刪除該惡意程式；若檔案感染病毒，則需將病毒程式從該檔案中清除，還原成乾淨的檔案。

惡意程式間有相當明確的差異，因此研究者認為在探討電腦病毒迷思概念的同時應該將惡意程式區分清楚，不該混為一談，歸納電腦病毒、木馬以及蠕蟲的定義分述如表 2-2-1、表 2-2-2 及表 2-2-3：

乾淨的檔案被病毒感染的檔案

蠕蟲/特洛依木馬

乾淨的檔案惡意程式

表 2-2-1 電腦病毒定義

表 2-2-2 電腦蠕蟲定義

表 2-2-3 特洛依木馬定義

編號項目說明

未經授權在使用者不知情或未經使用者同意的狀態下，進入電腦。

自行複製將病毒程式碼植入其他執行程式的檔案中，也可能將其執行檔完全取代受感染的檔案。

電腦病

毒自行執行進行自行複製的原因，是病毒可藉由受感染的檔案執行時也隨之被啟發。

編號項目說明

未經授權電腦病毒在使用者不知情或未經使用者同意的狀態下，進入電腦。

蠕

蟲主動繁殖

不會將病毒程式碼植入其他執行程式的檔案中，只會透過網路不斷的，主動的將病毒本身複製到其他電腦中。

編號項目說明

未經授權在使用者不知情或未經使用者同意的狀態下進入。

特洛依木馬

被動繁殖

假藉為正常、有趣或有用的程式吸引使用者下載執行才得以入侵電腦，偷切電腦用的檔案或機密資料，Hawke (2004)指出若木馬像蠕蟲會主動繁殖到網路上的其他電腦中，則木馬作者每天會收到過多的回傳資料，使的檔案過於龐大而無法處理，這是蠕蟲與木馬間差異的主要原因。

由上述定義可以清楚看見，電腦病毒、蠕蟲、木馬程式都具有未經授權的相同定義，但在其傳播的方式上三者都不相同。近年來電腦病毒的發展衍生為與惡意程式如蠕蟲或木馬程式結合，以達到廣泛傳播的目的，如 2001 年「Nimda 病毒」，除感染 HTML、HTM、ASP 檔外，並利用 IE Unicode 漏洞攻擊 IIS Server；2002 年的「熊蟲蟲(Bugbear)」則結合蠕蟲與木馬程式特性，一方面大量發送信件，並利用 IE 的 IFrame 漏洞進行感染，使用者不需開啟附加檔案僅是瀏覽到此信件即會受到侵入，並植入後門程式，進行遠端遙控並聯合鍵盤側錄來竊取 ID 與密碼等資訊。病毒手法在近幾年呈現多元複雜的狀況，在本研究要探討的是電腦病毒的概念性問題，因此更應將病毒、

蠕蟲、木馬等惡意程式的差異給予清楚的定義與界線，此將有助於規範電腦病毒的防治與解毒流程。

二、電腦病毒行為特性

除了解電腦病毒的基本原則外，也需知悉電腦病毒的行為特性，才能提早發現中毒徵兆，有效防範電腦病毒。

黃大任、黃賢麟 (2005)指出，電腦病毒藉由修改對方程式，將自己隱藏在受感染的檔案中，在該程式被執行時電腦病毒也隨之被執行，並將病毒製成的結構分成三機制，如表 2-2-4 所示。

表 2-2-4 電腦病毒製成結構三機制

編號項目說明

感染機制

此為病毒最重要的行為之一，即是病毒的自我複製，也就是將病毒程式碼附加於乾淨的檔案中，此行為也影響了我們對病毒的分類準則，例如開機型病毒即是感染磁碟的開機磁區；檔案型病毒即是感染電腦中的自動執行檔，如

*.exe、*.com 等等，又如有些許病毒採多形技術，改變病毒的程式碼，來逃避防毒軟體偵測；或在檔案感染後，使檔案大小與檔案日期維持不變來躲避使用者直觀的檢查。

表 2-2-4 電腦病毒製成結構三機制(續)

編號項目說明

行為機制

電腦受到感染後，因惡意程式的感擾與破壞會造成電腦呈現一些問題，如電腦螢幕顯示訊息或圖示、檔案變大或檔案被刪除、系統操作緩慢、或網路連線速度變慢、大量發送病毒信件等，下手較重的病毒則會將病毒程式覆蓋掉整個乾淨的檔案，使原本的檔案完全被破壞掉或是格式化硬碟；電腦病毒的破壞行為端看病毒作者的動機與心態，但有時錯誤的程式撰寫或系統的差異都可能產生一些非病毒作者預期會出現的行為。

基本上，行為機制愈顯著愈容易被發現，如 Hybris 病毒感染後，會在螢幕上顯示黑白漩渦狀的圖示，使用者無法操作系統畫面；又如 Navidad 與 Emmanuel 感染後會在工具列上產生小圖示；近幾年來最令人束手無策的即是疾風病毒(Blaster)，感染會造成不斷重開機，使用者無法操作電腦而恐慌。

觸發機制

病毒侵入電腦後，會設定啟動病毒的時間，使病毒可自動執行繼續進行破壞與傳遞，通常病毒會依據時間日期、或根據計數器來觸發行為機制，如有名的十三號星期五病毒就會在十三號星期五當天刪除電腦中的執行檔；而台灣 NO.1 巨集病毒，若感染者在在每月十三號時開啟文件，

就會在螢幕上出現心算遊戲的方塊視窗來跟你挑戰，若答錯會開啟 20 個文件檔；在病毒觸發前稱為潛伏期，此時期病毒會盡其所能的感染最多的檔案，但有些病毒會以慢速進行檔案感染，為避免被偵測到，多數病毒會檢查檔案是否已被感染，避免重複感染。

Cohen 對於電腦病毒特徵描繪，整理如表 2-2-5 所示(引自黃賢麟，2002)： Microsoft Office 可適用於兩種作業系統中，因此巨集病毒可跨平台感染

表 2-2-6 電腦病毒 12 項特性(續)

表 2-2-7 電腦病毒 8 特性(續)

編號項目說明

5 感染性

病毒初進入電腦時，採緩慢的形式進行檔案的感染，會主動的尋找可感染的檔案，可能將程式碼編碼、改變特徵字串，採隱藏方式降低被發現機率；或將程式碼切割成小塊，置於不同檔案磁區，必要時在相互呼叫為了逃避追蹤，並不立即破壞系統，竭盡所能的讓病毒程式成長與備份。

6 傳染性可透過磁片、檔案交換、網路傳輸來傳染。

7 觸發性靠時間日期或特定數字與文字或計數器來啟發病毒破壞行為，一但符合條件就行破壞動作，

8 難以滅絕性

沒有人敢宣稱一隻病毒完全絕跡，因病毒碼的公開加深根除病毒的困難性。

依據上述所整理之資料發現，電腦病毒行為特性的命名，因每位作者不同定義而有差異，研究者依循各個特性之定義，將具有相同概念的行為特性進行整合，未來將融入於研究者自編之電腦病毒概念測驗試卷與電腦病毒概念課程中。針對 Fred Cohen 提出的「範圍大」的特性，因涉及病毒的破壞力，

因此將此特性歸納為「破壞性」，而「普及性」因與寄主電腦相關，因此納入

在文檔中電腦病毒迷思概念與概念改變教學成效之研究 (頁 28-51)

第二章 文獻探討

第二節 電腦病毒概念

電腦病毒基本原則

二、 電腦病毒行為特性

第二章文獻探討

第二節電腦病毒概念

二、電腦病毒行為特性