電腦病毒迷思概念與概念改變 教學成效之研究

國立台東大學教育學系(所) 教學科技碩士班

碩士論文

指導教授：鄭承昌 先生

電腦病毒迷思概念與概念改變 教學成效之研究

研究生：梁雅琇 撰

中華民國九十六年七月

國立台東大學教育學系(所) 教學科技碩士班

碩士論文

電腦病毒迷思概念與概念改變 教學成效之研究

研 究 生：梁雅琇 撰 指導教授：鄭承昌 先生

中華民國九十六年七月

謝 辭

沒有想過會來到台東這塊土地上唸書，印象中的台東是放鬆心情的淨 地，而我在台東的日子卻是與論文和報告打拼，從研究室看出去的風景是一 片藍色的大洋，卻無法盡情享受美麗的景緻；終於，在論文完成後，我可以 坐在海邊開懷的吹著海風！

在這段日子以來，感謝指導教授鄭承昌老師，給我們不斷的鼓勵為我們 量身訂定階段目標，因為老師的鞭策讓我們能如期完成論文，感謝師母的關 懷與照顧，協助我們舒緩緊張的情緒；感謝王明習老師、蔡東鐘老師與連廷 嘉老師對我的啟發與建議，讓我對自己的研究有更多的省思；謝謝新生國小 的老師提供給我教學的機會，並如此全力支持我。在兩年的學習過程中要感 謝的人太多，不只是做研究方法而已，而是學習到更多做事的態度，勇敢的 去面對過程中的問題，不要後悔，生活裡就會充滿溫暖。

在求學的過程中，最感謝我的阿爸阿母，給我精神上永遠的支持以及做 我的經濟後盾，讓我專心的完成這件事；同時也感謝阿姐們和姊夫時時捎來 關心的電話，家庭的支持是繼續前進的動力。

最後，感謝我的男朋友張義斌，陪我走過寫論文的苦與樂；感謝研究室 裡的同伴小兔、小貞貞、智元等人的陪伴，在此將論文完成後的歡喜與大家 分享，最後要說的話仍是：謝謝大家！

雅琇 謹誌

^2007.07

電腦病毒迷思概念與概念改變 教學成效之研究

作者：梁雅琇

國立台東大學教育學系(所)教學科技碩士班

摘要

本研究以自編之電腦病毒概念圖作為發展紙筆測驗及課程內容的架構，

並以系統化教學設計中的 ADDIE 模式做為發展電腦病毒概念改變課程的流 程依據，採準實驗研究法，研究對象以方便取樣方式擇取台東市某國小六年 級共三個班的學童，設定為實驗組 1、實驗組 2 以及控制組，人數分別為 31 人、27 人與 30 人；實驗組 1 的學童施以研究者自編之電腦病毒概念改變課 程，實驗組 2 的學童施以電腦病毒推廣教材，而控制組則不施以任何教學。

經實驗教學後，以量化統計分析探討三組學生在電腦病毒概念的學習成效，

研究結果為：(一)男學童以及有電腦病毒經驗的學童在電腦病毒概念的前測 成就表現較佳；(二)學童每天平均上網時數與學校教師是否曾教授電腦病毒 課程此二個背景變項，在電腦病毒概念的前測成就上沒有差異；(三)學童在 電腦病毒概念的「基本原則」、「行為特性」、「廣義病毒」以及「防毒策略」

皆存有迷思概念；(四)在教學實驗後，實驗組 1 的電腦病毒概念學習成效測 驗顯著優於其他兩組；(五)教學實驗後，仍有些迷思概念無法獲得澄清，分 別為學童認為電腦病毒是寄生在網路線上進行傳播的、防治電腦病毒觸發最 好的方法是調整系統時間、電子郵件病毒可於系統背景下自動發信、立即造 成無法正常開機的電腦病毒傳播範圍廣、重要資料備份只要在每年年底執行 即可、以及認為防毒軟體的隔離區即為系統的資源回收筒上。最後，依據研 究結果對於本研究的課程設計與教學提出建議，提供給未來研究者作為參考。

關鍵字：電腦病毒、迷思概念、實驗研究、系統化教學設計

Computer Virus Misconception and Teaching Effect of Conceptual Change

Ya-Hsiou Liang

ABSTRACT

The purpose of this study is to find misconceptions of computer virus and access the effectiveness of conceptual change after teaching. At first, a conceptual graph was illustrated to present necessary constructs to understand characteristics of computer virus. In order to access the misconceptions of computer virus, a paper-and-pencil test based on the conceptual map then was designed to test the constructs. To reconcile the teaching with strategy and materials and control the other variables that could affect learning, an instructional design based on ADDIE model was performed to develop program for conceptual change of computer virus. A quasi-experimental design was conducted with 3 classes of 6th graders in Taitung City: One class was assigned as an experimental group (E1) with 31 students participated in conceptual change program of computer virus; the second class was assigned as anther experimental group (E2) with 27 students received a program suggested by the Ministry of Education; then the last one was assigned as a controlled group received no treatment. With the test developed in this study, data collections and comparisons were made before and after the programs and among the three classes. The major findings of this study are as follows: 1) Male students and students who have experiences of computer virus infection perform better than the others in pretest;

2) There are no significant differences on pretest in terms of the average of everyday online hours and whether students have been taught computer virus concepts by school teachers; 3) Students have misconceptions on 4 constructs including the fundamental principles of computer virus, characteristics of virus behaviors, general definition of computer virus, and anti-virus strategy; 4) After the treatments, the overall program learning effects of E1 are better than the other groups. However, not all misconceptions are clarified after the designed program.

Keywords：Computer virus, misconception, quasi-experiment, systematic

instructional design, ADDIE

目錄

第一章 緒論 ... 1

第一節 研究動機 ... 1

第二節 研究目的 ... 4

第三節 研究問題與研究假設 ... 5

第四節 名詞解釋 ... 6

第二章 文獻探討 ... 9

第一節 電腦病毒的歷史 ... 9

第二節 電腦病毒概念 ... 15

第三節 迷思概念的定義與研究 ... 38

第四節 電腦病毒迷思概念 ... 46

第五節 資訊教育中與電腦病毒相關之研究 ... 50

第六節 電腦病毒概念圖 ... 57

第七節 系統化教學設計 ... 59

第三章 研究方法 ... 69

第一節 研究架構 ... 69

第二節 研究對象 ... 75

第三節 研究工具 ... 76

第四節 研究流程 ... 80

第五節 資料處理 ... 82

第四章 電腦病毒概念課程系統化教學設計 ... 83

第一節 分析階段 ... 83

第二節 設計階段 ... 87

第三節 發展階段 ... 90

第四節 實施階段 ... 90

第五節 評鑑階段 ... 91

第五章 結果與討論 ... 93

第一節 背景變項與電腦病毒概念測驗的分析 ... 93

第二節 電腦病毒迷思概念分析 ... 97

第三節 電腦病毒概念教學成效分析 ...117

第六章 結論與建議 ...137

第一節 研究結論 ...137

第二節 研究建議 ...141

第三節 研究限制 ...144

參考文獻 ...147

一、中文部份 ...147

二、西文部份 ...151

附錄一 電腦病毒概念測驗試卷(正式) ...155

附錄二 電腦病毒概念測驗試卷(預試 1)...163

附錄三 電腦病毒概念測驗試卷(預試 2)...169

附錄四 電腦病毒概念改變課程(實驗組 1) ...179

附錄五 學習單(實驗組 1) ...201

附錄六 電腦病毒推廣教材(實驗組 2) ...207

附錄七 學習單(實驗組 2) ...221

附錄八 預試試卷項目分析表...227

表次

表 2-1-1 病毒傳佈全球所需時間 ... 13

表 2-1-2 全球財務受病毒影響數據表... 14

表 2-2-1 電腦病毒定義 ... 17

表 2-2-2 電腦蠕蟲定義 ... 17

表 2-2-3 特洛依木馬定義... 17

表 2-2-4 電腦病毒製成結構三機制 ... 18

表 2-2-5 Fred Cohen 電腦病毒三特徵 ... 20

表 2-2-6 電腦病毒 12 項特性 ... 20

表 2-2-7 電腦病毒 8 特性... 22

表 2-2-8 電腦病毒發展趨勢(一) ... 24

表 2-2-9 電腦病毒發展趨勢(二) ... 24

表 2-2-10 電腦病毒發展趨勢(三) ... 25

表 2-2-11 電腦病毒發展趨勢(四)... 25

表 2-2-12 電子郵件附加檔案的副檔名比例 ... 30

表 2-2-13 防治個人電腦中毒方法 ... 34

表 2-2-14 電腦中毒處理方法 ... 36

表 2-3-1 迷思概念形成原因 ... 40

表 2-3-2 迷思概念補救教育成效研究... 45

表 2-4-1 電腦病毒迷思概念文獻 ... 48

表 2-5-1 九年一貫資訊教育與資訊倫理相關之指標內容 ... 52

表 2-5-2 參考書之電腦病毒單元 ... 53

表 2-5-3 九年一貫資訊教育能力指標... 54

表 2-5-4 參考書內容分析... 56

表 2-7-1 國內採系統化教學設計模式設計課程研究表 ... 63

表 3-1-1 實驗研究法不相等控制組設計表 ... 70

表 3-1-2 實驗組 1 與實驗組 2 教學設計比較表 ... 71

表 3-1-3 實驗組 1 與實驗組 2 教材內容比較表 ... 71

表 3-2-1 兩次預試的人數表 ... 75

表 3-2-2 正式樣本與前後測資料說明表 ... 76

表 3-3-1 電腦病毒概念試卷雙向細目表 ... 78

表 4-1-1 學習目標分析表... 84

表 4-2-1 教學媒體項目表... 89

表 5-1-1 性別變項獨立樣本 t 檢定 ... 93

表 5-1-2 是否有電腦病毒經驗變項獨立樣本 t 檢定... 94

表 5-1-3 每天平均上網時數變項單因子變異數分析 ... 95

表 5-1-4 老師曾教授過電腦病毒知識變項獨立樣本 t 檢定 ... 96

表 5-2-1 自我複製題目表... 97

表 5-2-2 自我複製答題狀況 ... 98

表 5-2-3 自我執行題目表... 98

表 5-2-4 自行執行答題狀況 ... 99

表 5-2-5 行為特性答題狀況 ... 99

表 5-2-6 未授權性題目表...100

表 5-2-7 未授權性答題狀況 ...100

表 5-2-8 傳染性題目表 ...101

表 5-2-9 傳染性答題狀況...101

表 5-2-10 觸發性題目表 ...103

表 5-2-11 觸發性答題狀況 ...103

表 5-2-12 持久性題目表 ...104

表 5-2-13 持久性答題狀況...104

表 5-2-14 主動攻擊性題目表 ...105

表 5-2-15 主動攻擊性答題狀況 ...105

表 5-2-16 不可預知性題目表 ...106

表 5-2-17 不可預知性答題狀況 ...107

表 5-2-18 潛伏性題目表 ...108

表 5-2-19 潛伏性答題狀況...108

表 5-2-20 破壞性題目表 ...109

表 5-2-21 破壞性答題狀況...109

表 5-2-22 類比為生物性病毒題目表 ...110

表 5-2-23 類比為生物性病毒答題狀況... 111

表 5-2-24 廣義病毒題目表...112

表 5-2-25 廣義病毒答題狀況 ...113

表 5-2-26 防毒策略題目表...114

表 5-2-27 個人防治答題狀況 ...115

表 5-2-28 防毒軟體答題狀況 ...116

表 5-3-1 三組測驗總分的成對樣本 t 檢定 ...117

表 5-3-2 三組學生在「電腦病毒概念」後測成績迴歸同質性考驗摘要表 118 表 5-3-3 三組學生在「電腦病毒概念後測」成績共變數分析摘要表 ...118

表 5-3-4 三組學生在「電腦病毒概念後測」成績事後比較表 ...118

表 5-3-5 三組後測的原始平均數與調整後平均數...119

表 5-3-6 基本原則成對樣本 t 檢定 ...120

表 5-3-7 三組學生在「基本原則」後測成績迴歸同質性考驗摘要表 ...121

表 5-3-8 三組學生在「基本原則」成績共變數分析摘要表 ...121

表 5-3-9 三組學生在「基本原則」成績事後比較表 ...121

表 5-3-10 三組「基本原則」後測的原始平均數與調整後平均數 ...121

表 5-3-11 三組學童在「基本原則」概念改變情形 ...122

表 5-3-12 行為特性成對樣本 t 檢定 ...123

表 5-3-13 三組學生在「行為特性」後測成績迴歸同質性考驗摘要表 ...124

表 5-3-14 三組學生在「行為特性」後測成績共變數考驗摘要表 ...124

表 5-3-15 三組學生在「行為特性」後測成績事後比較 ...125

表 5-3-16 三組「行為特性」後測的原始平均數與調整後平均數 ...125

表 5-3-17 三組學童在「行為特性」概念改變情形...125

表 5-3-18 廣義病毒成對樣本 t 檢定 ...130

表 5-3-19 三組學生在「廣義病毒」後測成績迴歸同質性考驗摘要表 ...130

表 5-3-20 三組學生在「廣義病毒」後測成績共變數考驗摘要表 ...131

表 5-3-21 三組學生在「廣義病毒」後測成績事後比較表 ...131

表 5-3-22 三組「廣義病毒」後測的原始平均數與調整後平均數 ...131

表 5-3-23 實驗組與控制組「廣義病毒」概念改變情形 ...132

表 5-3-24 防毒策略成對樣本 t 檢定 ...133

表 5-3-25 三組學生在「防毒策略」後測成績迴歸同質性考驗摘要表 ...134

表 5-3-26 三組學生在「防毒策略」後測成績共變數考驗摘要表 ...134

表 5-3-27 防毒策略概念改變情形 ...135

圖次

圖 2-2-1 電腦病毒、蠕蟲、木馬感染示意圖 ... 16

圖 2-2-2 遭病毒完全覆蓋的檔案 ... 16

圖 2-2-4 CIH 病毒感染流程圖 ... 27

圖 2-2-5 台灣 NO.1 病毒發作圖 ... 28

圖 2-2-6 e-mail 夾帶病毒類型比例圖 ... 29

圖 2-2-7 VBS 病毒產生器介面 ... 30

圖 2-2-8 Winl0g0n 蠕蟲信件 ... 31

圖 2-2-9 BubbleBoy 病毒信件 ... 31

圖 2-2-10 電腦病毒所造成影響報告 ... 33

圖 2-3-1 潘恩斯圓錐結構... 38

圖 2-3-2 認知改變模式圖... 43

圖 2-3-3 概念改變的流程圖 ... 44

圖 2-6-1 電腦病毒概念文獻參考圖 ... 57

圖 2-6-2 電腦病毒概念圖... 58

圖 2-7-1 ASSURE 教學設計模式 ... 60

圖 2-7-2 KEMP 教學設計模式 ... 61

圖 2-7-3 Dick & Carey 教學設計模式 ... 62

圖 2-7-4 ADDIE 教學設計模式 ... 63

圖 2-7-5 本研究之 ADDIE 教學設計流程圖 ... 65

圖 3-1-1 實驗架構圖 ... 70

圖 3-1-2 研究架構圖 ... 75

圖 3-3-1 電腦病毒試卷編製流程圖 ... 77

圖 3-4-1 研究流程圖 ... 81

圖 4-1-1 電腦病毒概念改變課程工作時程圖 ... 87

第一章 緒論

從個人電腦發展史來看，在 1976 年 Apple 首度推出個人電腦前，「電腦 病毒」就已略有雛形，但並未定義；Fred Cohen 在 1984 年發表的論文中始對 電腦病毒做了明確的定義；1986 年首隻於 MS-DOS 個人電腦運作的病毒

「Brain」出現，宣示了電腦安全攻防戰的到來(黃賢麟，2002)。

如今，電腦與生活緊密結合，因此認識電腦病毒與防治應成為全民須具 備的電腦能力之一，若從教育著手，期望可使宣導普及，來提高成效；但研 究者發現目前九年一貫資訊教育中雖明訂有關資訊安全相關的能力指標，但 因資訊教育僅列於重大議題中，並沒有標準的資訊參考用書，多由資訊教師 自行規劃課程，課程中則以訓練學童電腦技能為主，屬於資訊道德中的電腦 病毒議題因此容易受到忽視。

本研究欲探究目前國小學童的電腦病毒概念能力，並以系統化教學設計 模式發展一套電腦病毒概念課程，對台東市國小六年級學童進行實驗教學，

審視該課程對於學童的電腦病毒概念改變是否具有顯著成效。

本章共分五節，分別為研究動機、研究目的、研究問題與研究假設、研 究範圍以及名詞解釋，分述如後。

第一節 研究動機

Intel 總裁 Craig Barrett 提出 1999 年進入「後個人電腦時代」(Post-Pc Era)(鄭嫄嫄，2003)，資訊產業的整合、個體間的連結以及獲取資訊都透過網 際網路來運作與傳輸；而電腦病毒的發展趨勢與電腦發展史有極高的相關性，

1996、1997、1998 年間，每千台電腦中分別有 10、21、31 台電腦感染電腦 病毒；但自 1999 年起，首隻藉由電子郵件散佈的病毒 Melissa 現身後，感染 率比前年躍升兩倍之多，約為 80 台，直至 2004 年，每千台電腦仍有 116 台 受到感染，感染速率雖趨緩和，但數量卻是逐年增加，其中 92%的病毒以電 子郵件為其傳播途徑 (ICSA, 2004)。人民對於 Email 病毒仍無法確實防禦，

就如 1989 年已知的「buffer overflow」漏洞，仍於 2000 年再次受到病毒攻擊 (Spafford, 2000)，相同的錯誤仍持續發生。

綜合上述所見，資訊技術更發達，人民的資訊安全素養未見提高，方便 迅速的網路通路反而成為病毒傳播的重要途徑。

研究者認為，民眾對於電腦病毒的概念與戒心明顯不足，可能在過去學 習的經驗中，未被授與相關知識，或透過不同媒體如電視、同儕、父母獲得 錯誤的處理態度與概念，再者因為方便的網路通道與民眾對電腦的依賴，降 低了對電腦病毒的防禦心，而這些錯誤概念亦或稱迷思概念，在未獲得改變 前將持續伴隨個體成長。

在從電腦病毒犯罪的年齡層降低來探討，一名高中生入侵「資安人」網 站竊取資料，藉以炫耀，在更早之前更曾駭入八個網站，而學校則對他的行 為不甚清楚。最有名的電腦病毒事件為 1998 撰寫 CIH 病毒的作者，當時仍 就讀大同工學院，造成國內許多大企業及民眾個人電腦遭受病毒侵害。不只 國內的入侵罪犯年齡層降低，國外亦同，2000 年的「I Love You」情書病毒，

是菲律賓馬尼拉的 23 歲年輕人，透過 e-mail 的方法傳送到全球；而美國 18 歲青少年 Jeffrey Lee Parson，則是改寫原版的疾風病毒(Sophos, 2005)。

這 些 訊 息 告 訴 我 們 目 前 青 少 年 的 學 習 能力 強 ， 且 透 過 網 路 資 訊 取 得 容 易，促使犯罪年齡層降低，網路的私密性給予個人盡情發揮的場域，卻成為 資訊安全的死角，這些消息都顯露出資訊安全素養在道德面的淪喪。

要如何指正這些電腦病毒迷思概念，多數專家認為需透過教育來提升國 人對資訊安全的素養與認知，郭耀煌(2006)指出，各級人員對資訊安全議題 的不熟識與漠視是造成資安威脅的因素之一；不論個體處於家庭、學校或公 司時，都須具備能讓電腦安全作業的策略，因此學校必須訓練學生相關技能，

避 免 在 其 未 具 備 任 何 資 訊 安 全 訓 練 前 就 進 入 危 機 環 境 (Cathie & Evelyn, 2004)；另，Yang (2001)也提到除了技能的訓練，資訊安全的道德教化也是教 育課程中重要的課題。由此可知要促使個體概念改變的方法，首重由教育著 手，若從我國的教育體系來看，國中小學教育是全民性的，極適合用來宣導 與推廣概念性的基本認知能力與態度。

只要有電腦，電腦病毒就有存在的可能，從目前國中小的資訊建設來看，

自 1998 年起，行政院實施「擴大內需」方案，工作重點為使全省國中小都有 電腦教室，以上課時一人一機為目標，並推動台灣學術網路(TANet)至國中小 學，於 1999 年 6 月完成全國國小都有電腦教室及網路連線的政策，國中小的 電腦軟硬體設備在這段時期已俱全，為落實以資訊教育來提升資訊技能與素 養，教育部於 2001 年宣布「中小學資訊教育總藍圖」，此藍圖的策略著重在 透 過 網 際 網 路 使 學 習 無 時 間 與 地 理 的 障 礙 ， 藉 由 檔 案 共 享 使 教 材 資 源 更 豐 富，使校園行政運作有效率，「師師用電腦，班班上網路」網際網路從此深入 校園(教育部，2001)，自此，國小即為目前讓學生最早接觸電腦正規劃教育 的學校場域。

根據教育部九年一貫資訊課程綱要中載明，資訊教育的課程目標之一為 導引學生了解資訊倫理、電腦使用安全及資訊相關法律等相關議題(教育部，

2003)，但課程綱要中對於資訊倫理與電腦使用安全尚未有明確的範疇與定 義，根據 Hong Kong Productivity Council(2004)、ERNST(2004)和中華民國資 訊統計網(2005)資訊安全調查資料顯示，電腦病毒(Virus)、蠕蟲(Worm)以及 特洛伊木馬(Trojan)是多數公司企業與用戶面臨最大的資安事件，因此於資訊 教育課程中教授電腦病毒知識是迫切且必要的，即早接觸電腦病毒議題可提 升學童對資訊安全的關切與警覺心。

綜上所述，本研究欲調查國小高年級學童具有哪些電腦病毒迷思概念的 主要原因即為：(1)電腦病毒已成為全球在資訊發展上的共同威脅，需將此議 題加入課程中，藉由教育來喚起全民的注意；(2)電腦犯罪的年齡層降低，因 此資訊安全教育必須即早實行；(3)國小為學校教育中最早讓學生接觸電腦與 網際網路的場所，也就是在國小階段，學生就可能面臨電腦病毒的危害；(4) 在九年一貫資訊教育的課程能力指標中，高年級學童已有基礎的資訊安全概 念，也已習得作業系統的基本操作模式，對於檔案的管理、軟體使用與網際 網路的功能與操作都有概念。因此研究者認為高年級學生已具備了電腦病毒 的先備知識，有必要在此時進行電腦病毒迷思概念的檢測，並對學童進行電 腦病毒迷思概念改變教學，期望在進入國中後有正確的電腦安全概念，並能 遵守網路規範。

基於上述原因，研究者選擇以國小六年級學童進行電腦病毒迷思概念的 研究，調查國小階段的學童的電腦病毒迷思概念，並以系統化教學設計模式 發展一套電腦病毒概念課程並進行實驗教學，期望此課程能有效澄清學童的 電腦病毒迷思概念。

第二節 研究目的

本研究旨在探討國小高年級學童的電腦病毒迷思概念，經由研究者依據 相關理論與文獻歸納病毒的概念圖後，自編一份關於電腦病毒概念的紙筆測 驗，來分析學童的電腦病毒迷思概念與推論可能形成迷思概念的原因，並作 為發展電腦病毒概念課程時，在需求分析與學童起點行為階段的參考依據，

期望課程能有效提升學童正確的電腦病毒概念。

本研究的研究目的如下：

一、 利用研究者自編電腦病毒概念測驗試卷來分析國小高年級學童的 電腦病毒迷思概念。

二、 探討性別、是否有電腦病毒經驗、每天平均上網時數以及學校教 師是否曾教授電腦病毒知識，對於學童在電腦病毒概念上是否有 差異。

三、 採系統化教學設計模式，設計一套合適的電腦病毒迷思概念改變 課程。

四、 探究實驗處理後，評析電腦病毒概念改變課程是否能有效澄清學 童的電腦病毒迷思概念。

第三節 研究問題與研究假設

本節分別敘述本研究所欲探究之問題與研究假設：

一、 研究問題：

研究者依據研究目的設定並依循該次序，條列下列研究問題：

1. 探討國小六年級學童具有哪些電腦病毒迷思概念？

2. 探討國小六年級學童的性別、是否有電腦病毒經驗、每天平均上網 時數、學校教師是否曾教授電腦病毒知識等因素，在電腦病毒概念 前測中的「基本原則」、「行為特性」、「廣義病毒」、「防毒策略」四 個面向的概念上，是否存有顯著差異？

3. 探討國小六年級學童在接受以系統化教學設計發展的電腦病毒概念 改變課程後，其電腦病毒概念成就表現是否與接受其他電腦病毒課 程的學童有顯著差異？

4. 探討學童在接受教學後是否能有效澄清電腦病毒迷思概念？

二、 研究假設

1. 國小六年級學童在電腦病毒「基本原則」、「行為特性」、「廣義病毒」、

「防毒策略」的概念上具有迷思概念。

2. 性別、是否有電腦病毒經驗、每天平均上網時數、學校教師是否曾 教授電腦病毒知識等因素，在電腦病毒概念前測中的「基本原則」、

「行為特性」、「廣義病毒」、「防毒策略」四個面向的概念上有顯著 差異。

3. 國小六年級學童在接受以系統化教學設計發展的電腦病毒概念改變 課程後，其電腦病毒概念成就表現與接受其他電腦病毒課程的學童 有顯著差異。

4. 學童在接受教學後能有效澄清電腦病毒迷思概念。

第四節 名詞解釋

為提供本研究的閱讀者能快速了解本文中所闡述的觀念，茲將本研究的 重要名詞先行說明與定義，使讀者達到有意義的閱讀。

一、 電腦病毒：

電腦病毒是一種電腦程式，可以複製自己至電腦中，並將自己附著到電 腦檔案裡，當執行檔案時就會執行到病毒程式，進行一些使用者不願意做的 事，如刪除檔案、修改資料等破壞正常檔案的行為，除了這些，電腦病毒並 可透過網路或磁片進行散佈，輕者讓個人電腦無預警的當機或佔據部分記憶 體資源；嚴重者，會格式化硬碟、刪除檔案或造成電腦無法運作。(Sophos, 2001 ; Symantec, 2004)。

二、 迷思概念：

任何概念的形成，與該領域專家的定義不一致，則所形成的概念即被稱 為是迷思概念。

三、 電腦病毒概念：

本研究所指的電腦病毒概念，包括能理解構成電腦病毒的基本原則與行 為特性，並能正確區分各式廣義病毒間的差異，在防毒策略面向中則能了解 電腦病毒的處理流程與具備防治電腦病毒技巧的概念；綜合言之，本研究所 定 義 的 電 腦 病 毒 概 念 範 圍 限 於 研 究 者 所 發 展 的 電 腦 病 毒 概 念 圖 中 的 各 個 面 向，各面向之詳細定義請參考第三章研究工具中表 3-3-2 電腦病毒概念試卷 雙向細目表。

四、 電腦病毒迷思概念：

本研究所定義之電腦病毒迷思概念，是指國小六年級學童的電腦病毒概 念認知與本研究所定義正確的電腦病毒概念不一致，透過紙筆測驗來估量學 童電腦病毒的認知能力，若無法正確作答，即代表學童有迷思概念。

五、 系統化教學設計：

教師在發展課程前採階段性、有步驟、有系統的規畫與掌握教學過程中 每一個因素，如學習者特質、教學目標、教學方法與評鑑來協助學習者學習，

以 期 達 到 學 習 目 標 ， 此 程 序 即 稱 為 系 統 化 教 學 設 計 。 常 見 教 學 設 計 模 式 有 ASSURE、KEMP、Dick & Carey 以及 ADDIE 等，本研究採 ADDIE 教學設 計 模 式 規 劃 教 學 課 程 ， 該 模 式 以 分 析 (Analysis) 、 設 計 (Design) 、 發 展 (Development)、實施(Implement)、評鑑(Evaluation)五項階段目標來策畫教學 計畫(徐新逸，2003)。

第二章 文獻探討

電腦病毒起緣已久，自電腦創造以來，電腦病毒即隨之發展並階段性的 改變型態，經過數十年來的演變，病毒已成為電腦用戶在資料維護面最大的 威脅；其實，最早有形體的電腦病毒是由三位貝爾實驗室的工程師發展的電 腦遊戲，後因電腦病毒程式撰寫方法的公佈與正式的定義，並供給有志趣撰 寫者協助與開發；爾後，更因個人電腦使用的普及及網際網路的興起，造成 電腦病毒傳播無遠弗屆，防堵電腦病毒則因此成為全球性的重要工作。

本章將分成七節依序進行探討，從電腦病毒的歷史、電腦病毒概念、迷 思概念的定義與研究、電腦病毒迷思概念、資訊教育中與電腦病毒相關之研 究、電腦病毒概念圖以及系統化教學設計分述之。

第一節 電腦病毒的歷史

電腦病毒並非近期內的產物，早在 1949 年就由發明電腦的先驅者約翰‧

范曼紐(John Von Neumann)提出概念，在其所發表的論文「複雜自動裝置的 理論及組織的進行」(Theory and Organization of Complicated Automata)裡，即 說明了自我複製的程式的概念(李進寶，1990；高大宇、王旭正，2003)。

在十年後，也就是 1959 年，由美國電話電報公司(AT&T)貝爾實驗室的 三位工程師 H,Douglas McIlroy、Victor Vysottsky、Robert T.Morris 開發出電 腦遊戲「核心大戰(Core War)」亦稱「磁蕊大戰」，由雙方各寫一程式，採 Redstone Code 或為 Redcode 電腦指令集建立模擬對戰的程式，於記憶體中相 互追殺，可覆寫或破壞對方程式留在記憶體中的資料，在受困時會採複製自 己一次的方法避免被消滅，遊戲直至將對方趕出記憶體而結束，此電腦遊戲 證實了范紐曼所提出的自我複製程式的概念，但該遊戲僅存在於研究室中，

並未公開(高大宇、王旭正，2003；黃大任、黃賢麟，2002)。

當時科幻小說也都嘗試以電腦程式作為正邪二方攻擊道具，1975 年 John Brunner 在其撰寫之科幻小說《The Shockwave Rider》中首度提出「Worm」

一詞，故事中描述集權政府利用電腦網路控制人民，後由自由戰士利用「錄

音蟲」(Tapeworm)電腦程式癱瘓集權政府的網路，最終瓦解集權政府

(Sophos,2006；黃大任、黃賢麟，2002)；這裡所提出的 Tapeworm 攻擊模式 似乎與之後的蠕蟲「Worm」有雷同之處。1977 年另一科幻小說《The Adolescence of P-l》由 Thomas J. Ryan 所著，也假想了可相互感染電腦的病 毒，最終感染七千台電腦，引起一場浩劫(徐廣寅，2004)。

傑出電腦獎得獎人也是 Unix 系統的創作者柯恩‧湯普遜(Ken Thompson) 於 1983 年的頒獎典禮上公開發表電腦病毒正式存在，並告知如何撰寫電腦病 毒程式；同樣是公開病毒撰寫的事例為 1984 年 A.K.Dewdney 於《Scientific American》月刊的「Computer Recreation」專欄中發表一系列「核心大戰」

的文章並協助讀者開發遊戲(李進寶，1990；高大宇、王旭正，2003)。

電腦病毒一詞正式公開定義是在 1984 年，由 Fred Cohen 於美國國防部 電腦安全會議中提出，該定義為「一個能夠修改對方程式，使該程式包含一 份病毒本身的複製，來感染對方的程式。」(黃賢麟，2002)。

上述的資料顯示電腦病毒的前身與雛型，第一隻真正被認定為電腦病毒 且具傳播力的程式 Brain(大腦病毒)，為巴基斯坦的拉荷爾兄弟發展，後於 1986 年由 19 歲青年巴歇特‧亞爾維(Brsit Alvi)撰寫程式，目的是為了處罰購 買盜版軟體的使用者，是一隻具有隱形特性的病毒，可感染啟動磁區，同時 也是第一隻可影響 MS-DOS 的病毒(黃賢麟，2002；劉景熙、劉建虹，1994)。

研究者參考多份有關電腦病毒歷史資料，整理如上，接下來將依照電腦 發展的歷程來看電腦病毒的發展史。

一、

電腦病毒與電腦發展的相關性

本節將把電腦的發展史與病毒的發展史連結，來對應兩者間的關係，病 毒隨著電腦的發展不斷的修正與改變型態，將可透過這樣的比對清楚的看出。

第一代電腦的發展時間為 1945~1953，又稱真空管時期，在 1946 年發展 出第一部自動化數位計算機 ENIAC(杜德煒、杜經文，1985)；在 1949 年時，

約翰‧范曼紐(John Von Neumann)提出內儲程式(Stored Program)的觀念，同 年就由約翰‧范曼紐提出程式自動複製的概念，由此可知電腦發展前期，電 腦病毒就已經具有雛形了。

1970 年代初為個人電腦時代，在這段時期病毒的消息很少，這是因為研 究室的人員有不成文的規定不公佈這些程式的撰寫法(李進寶，1990)，但從 這裡對應到第一節中所提到的作家也都開始撰寫以電腦攻擊為主軸的科幻小 說，可見電腦已是多數民眾認同的產物；在此時除了科幻小說的預測外，確 實也有病毒流落在外，1974 年比爾‧甘迺迪報導了一隻 Rabbit 病毒，會影響 大型電腦，此病毒可能是已知的最早病毒之一(劉景熙、劉建虹，1994)。

1976 年 Steven Job 及 Steve Wozniak 製成了蘋果電腦公司的第一部個人 電腦「蘋果一號」，可定位為第一部真正的個人電腦；在 1977 年推出蘋果二 號為十分成功的個人電腦，個人電腦進入風起雲湧階段(杜德煒、杜經文，

1985)。此時期的電腦病毒多以 Apple 為目標，在 1981 年已有專門攻擊蘋果 二號的病毒出現，而於 1983 年初現身的 ELK CLONER VIRUS，感染後會在 螢幕上顯示一首詩，並會造成螢幕顯示顛倒或喇叭嗶嗶叫，不過此些病毒在 當時並未傳出損害報告(黃賢麟，2002；劉景熙、劉建虹，1994)。

第四代個人電腦於 1981 年由 IBM 所製造，為 16 位元個人電腦並搭配微 軟的 MS DOS 作業系統，稱 IBM PC，在短短三年內佔據了 33%的市場。促 使個人電腦更為茁壯的另一原因，是 1980 年代的教育改革，在 1982 年美國 史帝文森理工學院規定大一新生必須備有一部個人電腦，引領電腦進入教育 場域，如今電腦已成為人人必備的工具(杜德煒、杜經文，1985)。

在個人電腦風行的同時，電腦病毒撰寫法於 1983 年被公開，以致於病毒 也開始流傳，1986 年首隻可感染 MS DOS 的「Brain」大腦病毒產生，開始了 一系列 MS DOS 病毒，此時期的病毒多為檔案型病毒(感染*.com、*.exe、*.sys) 以及開機型病毒(感染開機磁區)，透過磁片進行單機的感染。

1990 年微軟推出 Windows 3.0 版進入 16 位元的作業系統，病毒演變為可 感染 16 位元的 NE 可執行檔案，1992 第一隻 NE 病毒 WINVIR 產生(McAfee, 2006)；微軟於 1995 再推出 32 位元的作業系統 Windows 95，該作業系統的可 執行檔案格式為 PE，1996 年第一隻感染 PE 型病毒 BOZA 現身(Symantec, 2006a；金帥，2006)，原本被設計為可自動檢查病毒與修復軟碟的 Windows 95 神話就此被打破(微軟，2006；林順喜，1993)。

搭 配 Windows 95 所 出 產 的 Microsoft Office 95 含 Word 、 Excel 、 PowerPoint ，這些應用軟體也躲不過病毒的侵襲，1995 年 8 月出現世界第一 隻 Word 巨集病毒「WM/Concept」，此病毒更因某些公司出版的光碟片中含有 被此病毒感染的檔案，因而擴散開來；而 1996 中旬出現的 XM/Larxou 則為 Excel 病毒(金帥，2006)。

二、 電腦病毒與網路發展的相關性

1959 年在「磁蕊大戰」病毒被撰寫時，適逢網路發展前期，研究室的研 究者們為避免病毒在個人電腦與網路蓬勃發展的時期造成流行，因此抱持著 不公開病毒程式撰寫方法的信念；真正的網路始於 1969 年的 ARPANET 在加 州洛杉磯大學、史丹福研究院、加州聖塔芭芭拉大學、猶他大學部署四個節 點，同年，密西根大學及 Wayne 州立大學建置了第一個校園網路(陳豐偉，

2001)，1970 年在網路初期的年代即有「啄木鳥(Creeper)病毒」(劉景熙、劉 建虹，1994)，可在 ARPANET 網路中通行，電腦病毒不單只與電腦發展同步 被創造，也與網路共生。網路技術不斷精進，1982 年時 TCP/IP 成為 ARPANET 的標準通訊協定，Internet 自此始有確切的定義，而 ARPANET 在 1990 年即 不復存在(陳豐偉，2001；黃正傑，2000)，一系列的網際網路應用活絡不已，

電子郵件、全球資訊網(WWW)、與區域網路、FTP、Telnet 都在此階段醞育 而生；正猶如當時研究者的擔憂，1988 年首隻 Internet 病毒誕生，為康乃爾 大學的研究生所做，利用電子郵件的漏洞進行攻擊，透過網路流傳造成六千 台主機無法作業，許多郵件就此破壞(李進寶，1990；黃賢麟，2002；劉景熙、

劉建虹，1994)。

談到網路的應用，不得不提及帶給我們便利服務的電子郵件 email，但越 方便越被人倚賴的工具，越是無法避免被病毒利用，1999 年在中國農曆年過 後，首隻利用 email 傳播的病毒「Happy 99」將自己附帶於信件中傳送出去；

同年，一隻會感染 Word 檔，並且在感染後會自動發送 50 封附夾病毒檔 LIST.dot 的郵件給信箱連絡簿中的名單，「Melissa」在當時被譽為是散播能力 最強的病毒(金帥，2006)。

網路日益發達，病毒散布的手法也日新月異，WWW 發展成可整合圖形 影像、聲音、文字的平台，滿足了大家的需求，專屬網站不單成為企業組織

的必需品，近年來的部落格則可為個人打造專屬風格的網頁，瀏覽器已是作 業系統必備的要件，但相同的瀏覽器與網頁也被不法人士鎖定目標，2001 年 起開始有病毒會感染網頁檔案，如「HappyTime」，同時也有針對瀏覽器漏洞 進行攻擊的病毒，如「CodeRed」；網路上的傳播能力遠比早期單機傳染大的 多，2003 年的「疾風病毒(Blast)」 透過網路直搗 Windows 作業系統的漏洞，

則更讓全球電腦陷入一片淒迷，這些新型態的攻擊手法再加上網路的無遠弗 屆，都在在的顯示病毒將依附著電腦持續生存(金帥，2006)。

三、 全球電腦病毒事件概況

根據中華民國資訊統計網(2005)、全球資訊安全報告以及 Hong Kong Productivity Council(2004)調查資料都顯示，電腦病毒(Virus)、蠕蟲(Worm)以 及特洛伊木馬(Trojan)是多數公司企業與用戶面臨最大的資安事件。依據陳清 芳(2002)的數據顯示，從 Internet 尚未熱絡前，病毒可能要花 3 年才能擴散至 全球，而今就算是無心的開啟病毒檔，因傳播的速率變快以及無時空限制的 狀況下，約在 4 小時內病毒即可能危害全球的電腦運作(陳清芳、趨勢科技紅 色警戒小組，2002)，如表 2-1-1。

表 2-1-1 病毒傳佈全球所需時間

資料來源：引自陳清芳(2002：180)

ICSA(2004)「病毒來源」調查報告中顯示，目前病毒傳染的最大途徑由 早期的磁片演變成網路平台，根據資料可見病毒傳染途徑的前二名分別為 Email 郵件共佔了 92%、網路瀏覽則佔了 8%。病毒傳播的方式已從傳統的磁 片感染轉為 Email 電子郵件的傳播方式，可知網路為目前電腦病毒擴散的主 要媒介。

除了病毒的傳播速度加快外，病毒所造成的經濟損失更是呈現直線成長

狀態，ICSA(2004)提出 2004 年修復被病毒破壞的機器上所花的時間比 2003 年代 病毒名稱 病毒傳佈全球所需時間

1990 年 Form 3 年 1995 年 WM/Concept 4 個月 1999 年 Mellisa 4 天 2000 年 LoveLetter 4 小時

年多了 7 個工作天，花費的資金也多了 30100 美元，Computer Economics 整 理了 1995~2005 年全球財務受病毒影響的數據，如表 2-1-2：

表 2-1-2 全球財務受病毒影響數據表 年 病毒影響全球財務的金額 (US $)

2005 14.2 Billion 2004 17.5 Billion 2003 13.0 Billion 2002 11.1 Billion 2001 13.2 Billion 2000 17.1 Billion 1999 13.0 Billion

1998 6.1 Billion

1997 3.3 Billion

1996 1.8 Billion

1995 500 Million

資料來源：ICSA(2004)

由表中可看出，自 1999 年開始電子郵件病毒出現起，損失的金額即成倍 數翻漲，並且沒有消退的跡象，網路平台帶給病毒最好的流通管道，而人們 對於電腦的依賴，則是病毒攻擊的最大依據。另，TredLabs 在 2001 年的報 告指出，2001 年單由 CodeRed 以及 Sircam 病毒所造成的損失就達 36.7 億，

這是因為 CodeRed 以不同於電子郵件病毒的攻擊手法出現，由此可知每當新 型態的病毒出現時總會造成全球大量的損失。

四、 小結

由以上歷史的探究推論，電腦病毒隨著電腦發展的變革不斷衍生新型態 的病毒，其對資訊社會的威脅性更因網路的普及而呈現驚人的成長，病毒攻 擊事件已是企業組織資訊安全領域中影響最大，並蟬聯多年資訊安全調查報 告中最多回報數目的項目；研究者認為，從電腦病毒的發展歷程中了解病毒 的成因與特性，訂定確切的防禦規則，並對資訊教育發展給予關切，提早預 測病毒變革走向，以期能有效防範病毒侵略。

第二節 電腦病毒概念

電腦病毒最早且明確的定義為「一個能夠修改對方程式，使該程式包含 一份病毒本身的複製，來感染對方的程式」(Cohen,1984)。同時也作了另一 則說明：「有了這樣的感染機制，病毒可以透過電腦或透過網路取得使用者的 權限，進而感染程式」，在此定義發表 20 多年後，就如 Cohen 的說法，電腦 病毒已成為全球電腦最大的威脅。

本節將分別以電腦病毒基本定義、電腦病毒行為特性、電腦病毒種類、

電腦病毒的防治方法四項進行電腦病毒概念探究。

一、

電腦病毒基本原則

人 們 習 慣 把 各 種 類 型 的 惡 意 程 式 ， 如 蠕 蟲 (Worm)、 特 洛 依 木 馬 (Trojan Horse)都歸類為電腦病毒， Symantec(2004)、 Sophos(2001)以及 Trend(2003) 三家防毒軟體廠商指出，電腦病毒(Computer Virus)是一種電腦程式，在未取 得電腦使用者的同意下將自己複製至電腦中，並將病毒程式附著到電腦檔案 裡，每當執行檔案時就會執行到病毒程式，進行一些使用者不願意做的事，

如刪除檔案、修改資料等破壞正常檔案的行為，除了這些，電腦病毒並可以 透過網路或磁片進行散佈，輕者僅讓個人電腦無預警的當機，或佔據些許記 憶體資源；嚴重者，會格式化硬碟、刪除檔案或造成電腦無法運作。Ludwig (1996)認為並非所有具破壞性的程式都是電腦病毒，僅當該程式具有自我複 製 能 力 時 才 可 認 定 為 病 毒 。 對 於 電 腦 病 毒 的 定 義 也 有 研 究 者 提 出 不 同 的 看 法，其認為判定是否為電腦病毒應確認是否該程式會自我複製到其他目標中 為 準 則 ， 對 於 那 些 會 詢 問 使 用 者 意 願”你 是 否 想 要 感 染 其 他 檔 案”的 電 腦 病 毒，若也具有自我自製功能者，也應判定為電腦病毒(Peter, 2005)。這樣的說 法與”未經使用者同意而自我複製”的定義有出入，在本研究中，我們則採用 較嚴謹的定義，即具有自我複製能力的惡意程式才稱為電腦病毒。

而所謂的惡意程式是指一切不懷好意的程式，病毒、蠕蟲、間諜程式等 都包含於其中，但因多數人對於各種惡意程式間的差別無法釐清，因此媒體 報章雜誌常以「病毒」概稱，負責對抗惡意程式的專業人員則必須要清楚了 解期概念間的差異(賴榮樞，2005b)；但也有文獻持相反態度，認為未經同意

即進入他人電腦中，從事干擾電腦正常運作、損壞檔案或軟硬體的有害程式 如蠕蟲、木馬、變形引擎、遠端遙控程式等，這些惡意程式都應納入的電腦 病毒的範疇中(林修遠，2002；程秉輝，2004)。

Symantec(2006b)表示電腦病毒、蠕蟲以及特洛依的最大不同點在電腦病 毒是將惡意的病毒碼附加在電腦中乾淨的檔案上，蠕蟲以及特洛依木馬則不 依附在其他檔案上，而是整個檔案都是惡意程式，如圖 2-2-1；但有些病毒會 把病毒碼會完全覆蓋掉乾淨的檔案，造成乾淨的檔案會完全被破壞而無法挽 救(黃文杰，2000)，如圖 2-2-2。

圖 2-2-1 電腦病毒、蠕蟲、木馬感染示意圖 資料來源：Symantec(2004)

圖 2-2-2 遭病毒完全覆蓋的檔案 資料來源：黃文杰(2000)

正因感染的方式不同，解毒過程也會採不同的對待方式，當偵測到電腦 蠕蟲與特洛伊木馬時，防毒軟體採取的方式為直接刪除該惡意程式；若檔案 感染病毒，則需將病毒程式從該檔案中清除，還原成乾淨的檔案。

惡意程式間有相當明確的差異，因此研究者認為在探討電腦病毒迷思概 念的同時應該將惡意程式區分清楚，不該混為一談，歸納電腦病毒、木馬以 及蠕蟲的定義分述如表 2-2-1、表 2-2-2 及表 2-2-3：

乾淨的檔案 被病毒感 染的檔案

蠕蟲/特洛依木馬

乾淨的檔案 惡意程式

乾淨的檔案 惡意程式

表 2-2-1 電腦病毒定義

表 2-2-2 電腦蠕蟲定義

表 2-2-3 特洛依木馬定義

編號 項目 說明

未經授權 在使用者不知情或未經使用者同意的狀態下，進入 電腦。

自行複製 將病毒程式碼植入其他執行程式的檔案中，也可能 將其執行檔完全取代受感染的檔案。

電 腦 病

毒 自行執行 進行自行複製的原因，是病毒可藉由受感染的檔案 執行時也隨之被啟發。

編號 項目 說明

未經授權 電腦病毒在使用者不知情或未經使用者同意的狀態 下，進入電腦。

蠕

蟲 主動繁殖

不會將病毒程式碼植入其他執行程式的檔案中，只 會透過網路不斷的，主動的將病毒本身複製到其他 電腦中。

編號 項目 說明

未經授權 在使用者不知情或未經使用者同意的狀態下進入。

特 洛 依 木 馬

被動繁殖

假藉為正常、有趣或有用的程式吸引使用者下載執 行 才 得 以 入 侵 電 腦 ， 偷 切 電 腦 用 的 檔 案 或 機 密 資 料，Hawke (2004)指出若木馬像蠕蟲會主動繁殖到網 路上的其他電腦中，則木馬作者每天會收到過多的 回傳資料，使的檔案過於龐大而無法處理，這是蠕 蟲與木馬間差異的主要原因。

由上述定義可以清楚看見，電腦病毒、蠕蟲、木馬程式都具有未經授權 的相同定義，但在其傳播的方式上三者都不相同。近年來電腦病毒的發展衍 生為與惡意程式如蠕蟲或木馬程式結合，以達到廣泛傳播的目的，如 2001 年「Nimda 病毒」，除感染 HTML、HTM、ASP 檔外，並利用 IE Unicode 漏 洞攻擊 IIS Server；2002 年的「熊蟲蟲(Bugbear)」則結合蠕蟲與木馬程式特 性，一方面大量發送信件，並利用 IE 的 IFrame 漏洞進行感染，使用者不需 開啟附加檔案僅是瀏覽到此信件即會受到侵入，並植入後門程式，進行遠端 遙控並聯合鍵盤側錄來竊取 ID 與密碼等資訊。病毒手法在近幾年呈現多元 複雜的狀況，在本研究要探討的是電腦病毒的概念性問題，因此更應將病毒、

蠕蟲、木馬等惡意程式的差異給予清楚的定義與界線，此將有助於規範電腦 病毒的防治與解毒流程。

二、 電腦病毒行為特性

除了解電腦病毒的基本原則外，也需知悉電腦病毒的行為特性，才能提 早發現中毒徵兆，有效防範電腦病毒。

黃大任、黃賢麟 (2005)指出，電腦病毒藉由修改對方程式，將自己隱藏 在受感染的檔案中，在該程式被執行時電腦病毒也隨之被執行，並將病毒製 成的結構分成三機制，如表 2-2-4 所示。

表 2-2-4 電腦病毒製成結構三機制

編號 項目 說明

1

感染機制

此為病毒最重要的行為之一，即是病毒的自我複製，也就 是將病毒程式碼附加於乾淨的檔案中，此行為也影響了我 們對病毒的分類準則，例如開機型病毒即是感染磁碟的開 機磁區；檔案型病毒即是感染電腦中的自動執行檔，如

*.exe、*.com 等等，又如有些許病毒採多形技術，改變病 毒的程式碼，來逃避防毒軟體偵測；或在檔案感染後，使 檔案大小與檔案日期維持不變來躲避使用者直觀的檢查。

表 2-2-4 電腦病毒製成結構三機制(續)

編號 項目 說明

2

行為機制

電腦受到感染後，因惡意程式的感擾與破壞會造成電腦呈 現一些問題，如電腦螢幕顯示訊息或圖示、檔案變大或檔 案被刪除、系統操作緩慢、或網路連線速度變慢、大量發 送病毒信件等，下手較重的病毒則會將病毒程式覆蓋掉整 個乾淨的檔案，使原本的檔案完全被破壞掉或是格式化硬 碟；電腦病毒的破壞行為端看病毒作者的動機與心態，但 有時錯誤的程式撰寫或系統的差異都可能產生一些非病 毒作者預期會出現的行為。

基本上，行為機制愈顯著愈容易被發現，如 Hybris 病毒 感染後，會在螢幕上顯示黑白漩渦狀的圖示，使用者無法 操作系統畫面；又如 Navidad 與 Emmanuel 感染後會在工 具列上產生小圖示；近幾年來最令人束手無策的即是疾風 病毒(Blaster)，感染會造成不斷重開機，使用者無法操作 電腦而恐慌。

3

觸發機制

病毒侵入電腦後，會設定啟動病毒的時間，使病毒可自動 執行繼續進行破壞與傳遞，通常病毒會依據時間日期、或 根據計數器來觸發行為機制，如有名的十三號星期五病毒 就會在十三號星期五當天刪除電腦中的執行檔；而台灣 NO.1 巨集病毒，若感染者在在每月十三號時開啟文件，

就會在螢幕上出現心算遊戲的方塊視窗來跟你挑戰，若答 錯會開啟 20 個文件檔；在病毒觸發前稱為潛伏期，此時 期病毒會盡其所能的感染最多的檔案，但有些病毒會以慢 速進行檔案感染，為避免被偵測到，多數病毒會檢查檔案 是否已被感染，避免重複感染。

Cohen 對於電腦病毒特徵描繪，整理如表 2-2-5 所示(引自黃賢麟，2002)：

表 2-2-5 Fred Cohen 電腦病毒三特徵

編號 項目 說明

1 普遍性

病毒作者會以多數人使用的作業系統為攻擊目標的首要 考量，因此目前 Windows 病毒數量多於 Mac 病毒。但 Microsoft Office 可適用於兩種作業系統中，因此巨集病毒 可跨平台感染

2 範圍大

多數的病毒一旦開始進行自我複製，就希望能散播的更 遠，而讓系統崩潰的病毒，是無法散佈太遠的，因此多數 病毒會讓寄主電腦能正常運作，才不至於被滅絕。

3 持久性 病毒能捲土重來。

林修遠(2003)整理出電腦病毒應具有 12 種特性，分述如表 2-2-6：

表 2-2-6 電腦病毒 12 項特性

編號 項目 說明

1

程式性

（可執 行性）

為一段可執行的程式，電腦病毒感染可執行檔後，會在 該檔案執行時也隨之被執行，病毒程式被執行後若符合 觸發機制的設定則開始進行破壞，但只要病毒程式被執 行到就會佔去記憶體，可能造成系統功能的喪失。

2 傳染性

電 腦 病 毒 感 染 的 途 徑 最 早 透 過 磁 碟 散 佈 ， 僅 能 感 染 單 機，發展至今能透過多元方法如電子郵件、共享目錄，

下載檔案、甚至僅僅瀏覽網頁也會中毒，到近期病毒多 利用微軟的系統漏洞進行大規模的攻擊與破壞。

3 潛伏性

電腦病毒具兩種潛伏性，一是傳染的潛伏性，當病毒在 進行感染(自我複製到正常的檔案中)時，他的速度是快 速的，不會產生外部行為，因此使用者難以發現。二是 病 毒 程 式 存 在 的 潛 伏 性 ， 依 附 在 正 常 檔 案 中 不 易 被 發 現，ㄧ但觸發了病毒，就會使對電腦系統產生破壞行為。

表 2-2-6 電腦病毒 12 項特性(續)

編號 項目 說明

4

可觸 發性

促使病毒發作始進行破壞感染或攻擊的技術即為病毒的 觸發性。這些觸發機制是用來控制感染和破壞行為頻率 的程式，當符合觸發條件時(觸發條件有可能是時間、文 件型態或某些特定資料)，即會啟動病毒行為。

5 破壞性

電腦病毒是一段可執行的程式，所以一但電腦病毒執行 了，都會佔據系統資源，降低系統的工作效率。病毒的 破壞行為取決電腦病毒設計者的目的，能徹底毀壞電腦 系統，使之無法正常作業；或是破壞刪除系統檔案或文 件，使資料無法回復，若是幾隻沒有危險性的病毒交叉 感染，也有可能造成系統崩潰。

6

攻擊的 主動性

病 毒 是 主 動 攻 擊 的 ， 因 具 有 不 可 預 測 性 及 衍 生 性 的 特 性，以至於無法有效遏止與立即偵測。

7

非授 權性

非授權性指的是未經過使用者同意即自行載入或執行，

侵入後藏匿在正常程式中，隨著該檔案被執行而伴隨著 啟動，開始進行病毒行為，使用者多在不知不覺中受到 感染。

8 衍生性

新一款電腦病毒產生後，其病毒結構受有心人複製修改 並流通，則會衍生出新的病毒，即稱作「變種」，而這 種變種病毒經過翻修可能使其破壞力增強，後果可能更 嚴重。如目前變種數最多的為 NetSky。

9

寄生性

（依附 性）

一但電腦病毒本身執行了，進入到電腦中，即尋可感染 的宿主程式(如執行檔規格的檔案)進行嵌入動作，並可 能覆蓋該寄主程式，ㄧ旦寄主程式被執行了，病毒也會 隨之啟動。

10

不可預 見性

從電腦病毒的類型中我們可以發現，病毒設計程式與感 染方法會隨著電腦的演進不斷進行更新，雖保有基本特 徵，如常駐記憶體、更改中斷向量，但病毒不斷的演化 為躲藏偵測，這些特徵都可以被隱藏，而無法發現。

表 2-2-6 電腦病毒 12 項特性(續)

編號 項目 說明

11

謠言 現象

病毒謠言是利用電腦用戶對病毒的防衛心理，敘述有一 隻破壞力強大或是目前尚無解毒碼的病毒產生，但這些 謠言多數不具有破壞性，只是透過民眾相互告知的心態 而大量將訊息傳遞出去，造成網路壅塞。

12 持久性

電 腦 感 染 病 毒 後 ， 即 要 進 行 系 統 及 檔 案 解 毒 的 還 原 動 作，此動作除了感染寄主系統外，還可能會透過網路進 行交叉反覆的傳染，要到達完全解毒的過程變的十分複 雜與困難，處理的工時因而會增加。

高大宇(2003)指出電腦病毒具下列 8 特性，如表 2-2-7：

表 2-2-7 電腦病毒 8 特性

編號 項目 說明

1 未知性

當 防 毒 軟 體 顯 示 無 病 毒 存 在 ， 是 否 真 的 就 代 表 沒 有 病 毒，防毒軟體依據其所有的病毒碼去偵測病毒，當未有 新病毒的檢查碼時，使用者則無法確保電腦是乾淨的。

2

傳播速 度快

病毒碼的開放與網路的普及，且病毒多半沒有特定的攻 擊目標，因此會造成大量的流傳。

3 多樣性

電腦病毒不單單只影響電腦主機，透過網路也影響了個 人電腦用戶，並結合病毒、蠕蟲、木馬等惡意程式進行 攻擊。

4 破壞性

病毒發作可以產生訊息、動畫或毀損系統，有些病毒並 無顯著破壞行為，但仍會佔取一些系統資源，破壞行為 越明顯，則更容易被發現，這裡指出最可怕的病毒是靜 靜的潛伏在電腦中進行感染，在一次觸發後大舉毀壞資 料，因此電腦病毒的破壞程度去取決於病毒作者的動機 與心態。

表 2-2-7 電腦病毒 8 特性(續)

編號 項目 說明

5 感染性

病毒初進入電腦時，採緩慢的形式進行檔案的感染，會 主動的尋找可感染的檔案，可能將程式碼編碼、改變特 徵字串，採隱藏方式降低被發現機率；或將程式碼切割 成小塊，置於不同檔案磁區，必要時在相互呼叫為了逃 避追蹤，並不立即破壞系統，竭盡所能的讓病毒程式成 長與備份。

6 傳染性 可透過磁片、檔案交換、網路傳輸來傳染。

7 觸發性 靠時間日期或特定數字與文字或計數器來啟發病毒破壞 行為，一但符合條件就行破壞動作，

8 難以滅 絕性

沒有人敢宣稱一隻病毒完全絕跡，因病毒碼的公開加深 根除病毒的困難性。

依據上述所整理之資料發現，電腦病毒行為特性的命名，因每位作者不 同定義而有差異，研究者依循各個特性之定義，將具有相同概念的行為特性 進行整合，未來將融入於研究者自編之電腦病毒概念測驗試卷與電腦病毒概 念課程中。針對 Fred Cohen 提出的「範圍大」的特性，因涉及病毒的破壞力，

因此將此特性歸納為「破壞性」，而「普及性」因與寄主電腦相關，因此納入

「自我複製」的基本定義中。在林修遠所提出的 12 項特性中，其中「程式性」、 以及「寄生性」都屬於電腦病毒的基本原則，而「謠言現象」此特性研究者 則認為屬於惡意程式中的「謠言信」。最後，高大宇提出「傳播速度快」此性 質則與林修遠所提的「攻擊主動性」相關，「難以滅絕性」即是多數研究者認 為的「持久性」，再者「多樣性」、「未知性」與「衍生性」的定義則與林修遠 所提的「不可預測性」相仿。

研究者在進行病毒特色整理時也發現到，自電子郵件病毒流傳後，會利 用信件主旨、內文或附加檔案的偽裝計巧，來引誘使用者開啟含帶電腦病毒 的附加檔案，增加病毒傳播機會，且在節慶前期更是病毒郵件散佈的好時機，

如情人節、新年假借賀卡方式、假裝為微軟的更新程式或冒用防毒軟體的名 聲，如在信件中有 Happy Valentines day 的字眼，或說明某防毒軟體廠商證實 該附件無毒等訊息，來提高用戶對信件的信任度，因此研究者將病毒的「偽 裝技巧」附屬於「不可預見性」中。

綜合上述所言，研究者將電腦病毒的行為特性分為八項，分別為「非授 權性」、「傳染性」、「主動攻擊性」、「持久性」、「不可預見性」、「破壞性」、「觸 發性」、「潛伏性」。

三、 電腦病毒種類

研究者發現，過去對電腦病毒種類做分類的依據多以年代區隔，陳清芳、

趨勢科技紅色警戒小組(2002)將電腦病毒類別分為四個發展階段，如表 2-2-8：

表 2-2-8 電腦病毒發展趨勢(一) 電腦病毒發展趨勢

年

代 1987-1993 1993-1995 1995-1998 1998-目前

病 毒 種 類

*DOS 檔案型

*DOS 常駐型

*開機型

*毀滅型木馬

*Win16 檔案 型

*MSOffice 系 列巨集病毒

*後門程式

*Win32 檔案型

*Win32 常駐型

*跨應用程式感染型

*DDOS 阻斷型木馬

*遠端遙控型 木馬

*e-mail 蠕蟲

*區網型蠕蟲

*系統漏洞型 蠕蟲

另外，高大宇、王旭正(2003)則將病毒區分為二大期，如表 2-2-9：

表 2-2-9 電腦病毒發展趨勢(二) 電腦病毒時代典型

傳統型電腦病毒 早期 綜合型病毒 1990~目前

*檔案型病毒

*開機型病毒

*巨集型病毒

內建電腦病毒、蠕蟲、木馬以及攻 擊工具，稱綜合型病毒

林修遠(2003)將電腦病毒分為三波，如表 2-2-10：

表 2-2-10 電腦病毒發展趨勢(三) 波期 第一波：早期的病毒 第二波：網路時代

90 年代中期

第三波：蟲的回合 90 年代末期

病毒種類

*開機型病毒

*檔案型病毒

*第一代的蟲

*謠言信

*連鎖信

*特洛伊木馬

*巨集病毒

*第二代的蟲

*描述語言病毒

*駭客型病毒

為統合這些不一致的時期階段，研究者依照第一節電腦病毒的發展史，

重新歸納病毒種類的發展趨勢，並對病毒種類進行說明，如表 2-2-11：

表 2-2-11 電腦病毒發展趨勢(四) 年代 1986-1992

MS DOS 病毒

1992-1999 Windows 病毒

1999-至今 綜合型態的網路時代 病毒種類 *開機型病毒

*檔案型病毒

*混合型病毒

*第一代蠕蟲

*NE、PE 格式檔案 型病毒

*巨集病毒

*e-mail 病毒

*描述語言病毒

*駭客型病毒

(一) 1986-1992 MS DOS 病毒

1、 開機型病毒：

以 1986 被認定為第一隻病毒的程式「Brain」為開機型病毒的先例。

開 機 型 病 毒 藏 在 磁 碟 片 啟 動 磁 區 和 硬 碟 的 啟 動 磁 區 或 系 統 分 割 表 ， 因 為 DOS 的設計，病毒會在開機後與作業系統啟動前被載入記憶體中，因此可 對 DOS 系統做完全的控制並能繼續感染其他插入的磁片或硬碟，又稱為系 統型病毒。感染的過程為在乾淨的磁片中，先複製啟動磁區 0，並將病毒

碼覆寫到啟動磁區 0，因此如利用受感染的磁片開機，就因此會先執行到 病毒，然後病毒再重新指向到原始的開機磁區 0，使系統仍能正常的運作(高 大宇、王旭正，2003；陳清芳、趨勢科技紅色警戒小組，2002；黃明仁，

1993；劉景熙、劉建虹，1994)。

而有名的開機型病毒如「米開朗基羅」，每年 3 月 6 日發作，行 Format 硬碟之破壞行為。

2、 檔案型病毒

1987 年所發現的「Lehigh 病毒」為首隻檔案型病毒，感染 MS DOS 下 的 command.com 檔案(劉景熙、劉建虹，1994)。檔案型病毒是將病毒程式 碼附著在可執行檔案中，在 MS DOS 時期的執行檔為*.COM、*.EXE、

*.SYS、*.BAT、*.OVL，藉由受感染的執行檔被開啟，病毒程式也因此被 執行，繼續感染其他檔案，又可分為常駐型與非常駐型：

(1) 常駐型：感染的執行檔開啟後，病毒即常駐於記憶體，可持續感染 其他檔案。

(2) 非常駐型：執行受感染的檔案後，會開始搜尋可感染的對象並加以 感染。

有 名 的 檔 案 型 病 毒 如 「 十 三 號 星 期 五 」， 為 非 常 駐 型 病 毒 ， 感 染 command.com 以外的*.com 檔，遇到 13 號星期五時，會刪除使用者執行的 中毒程式(陳清芳、趨勢科技紅色警戒小組，2002；黃明仁，1993)。

3、 混合型病毒

兼具有開機型及檔案型病毒特性的病毒，可以感染執行檔以及開機磁 區，因此傳染力比上述兩者更厲害。

4、 第一代蠕蟲

蠕蟲與病毒的最大差異在病毒需依附在其他程式上執行，而蠕蟲不需 有寄主程式，由本身的自我複製以及透過網路連結來造成電腦間的感染，

早期的蠕蟲如 1987 年「Chrismas Tree 蟲」在 IBM 公司的內部網路中流竄，

利用連鎖信型態引誘收件者去執行該程式，執行後會在螢幕上呈現一棵聖 誕樹，同時也將蠕蟲自己再寄給通訊錄中的電子郵件帳號。

1988 年的「Inernet Worm」則是利用郵件軟體的漏洞進行傳播，於當 時造成大量郵件主機運作停擺及郵件的遺失。

(二) 1992-1999 Windows 病毒

1、 NE、PE 格式視窗型病毒

NE 與 PE 分別為 Win3.x 以及 Win9.x 的執行檔規格，這裡所指的 NE、

PE 格式視窗型病毒其感染程序與 DOS 檔案型病毒雷同，透過用戶執行被 感染的程式，來感染電腦檔案。在此時期，最著名的 PE 格式視窗型病毒 為 1998 年的「CIH 病毒」，電腦中毒後，使用檔案總管瀏覽到副檔名為 EXE 者均會被此病毒感染；發作時，會將記憶體的內容貼到硬碟的 Partition、

Boot、FAT、ROOT 以及資料區，BIOS 也會被填入垃圾碼，導致硬碟無法 開機，必須更換 BIOS 晶片或直接更換主機板(金帥，2006)，圖 2-2-4 為 CIH 感染檔案的方式。

圖 2-2-4 CIH 病毒感染流程圖

資料來源：引自金帥(2006)

因 CIH 病毒出現後，對於電腦病毒無法破壞硬體的說法已受到考驗，

且 CIH 並非第一隻讓使用者丟棄硬體的電腦病毒，但目前仍沒有確實的數 字統計有多少因電腦病毒而被丟棄的硬體(黃賢麟，2002)。

目前常被電腦病毒利用的執行檔規格為*.exe、*.com*、*.scr 、*.pif 、

*.ocx、*.lnk、*.bat。

2、 巨集病毒

巨集是使用者將一連串重複動作重新定義成一個自動化程序指令的工 具，可省去許多繁雜的例行性工作。一但巨集指令被電腦病毒利用後，可 以做到執行、建立病毒碼、或將病毒碼複製到其文件等動作，凡軟體具有 巨集功能者，都可能受到感染。目前則以廣為使用也可跨 Windows 及 Mac 平台運作的 MS Office 最常成為巨集病毒下手的目標，以感染 Word 為例，

病毒將惡意的巨集程式寫入 Word 的共用範本檔 NORMAL.DOT 中，利用 各 種 常 見 的 巨 集 語 法 如 AutoExec 、 AutoNew 、 AutiOpen 、 AutoClose 、 AutoExit、FileSave 等巨集指令(黃文杰，2000；黃大任、黃賢麟，2002)，

使用者在開啟 Word 程式、開啟新舊檔、關閉文件程式或儲存檔案等相關 動作時，都會觸發病毒來感染其他文件檔，目前已經有發現感染 Word、

Excel 以及 PowerPoint 文件的病毒，有名病毒如「台灣 No 1」，病毒發作時 會與用戶玩猜數字遊戲，如圖 2-2-5，若猜錯則會開啟 20 份 Word 視窗，

一直循環下去，直到答對。

圖 2-2-5 台灣 NO.1 病毒發作圖

資料來源：金帥(2006)

巨集病毒的程式語言與 script 語言類似，因此若巨集惡意程式附著在 Word、Excel 等文件中時就是巨集病毒，若是附著網頁格式的 Script 程式 中，就是描述語言病毒，如副檔名為*.vbs、*.vba、*.vbe 等的檔案，只是 兩者寄主程式不同的差異而已。

(三) 1999-至今 綜合型態的網路時代

1、 E-Mail 病毒

自 1999 年來，病毒開始以 e-mail 的傳播方式大規模掃蕩電腦用戶，

將各式型態的病毒如巨集病毒、檔案型病毒、VBS 病毒、蠕蟲、木馬等皆 可以郵件附加檔案傳送( Shin, 2004；劉順德，2000)。此類病毒具自動發信 機制可自行將病毒檔案傳遞給感染電腦 Outlook 聯絡簿中的所有帳號，除 造成大規模感染外，也造成網路擁塞，使組織運作停擺。

這時期的郵件病毒，為了讓使用者開啟附加檔案多採取誘騙手法，採 取的方法為利用吸引人的主旨與內文、假借為好友的寄件者姓名等方式，

如 1999 年的「Happy99」主旨是假借新年賀卡的標題”Happy New Year 1999 !!”，而「Mellisa」信件主旨為”Important Message”，採用社會工程的 心 理 操 控 手 法 來 哄 騙 電 腦 用 戶 中 毒 ， 來 達 到 病 毒 作 者 的 目 的 (黃 賢 麟 ， 2002)。

根據 Dong & Hsiu(2004)統計的資料中顯示各種類型的病毒利用 e-mail 做為傳播工具的比例中可知最常使用 e-mail 為傳播媒介的是蠕蟲，也可看 出大多數的病毒都會採此方法來散播，如圖 2-2-6：

圖 2-2-6 e-mail 夾帶病毒類型比例圖

資料來源：Dong & Hsiu, 2004

在該文獻中也統計出最常被用來當作附加檔案的副檔名格式比例，這 些資料值得提出來讓用戶在收電子郵件時多加注意，資料如表 2-2-12：

表 2-2-12 電子郵件附加檔案的副檔名比例

附件

格式 EXE VBS SCR PIF BAT CHM COM DOC Others 比例 50% 18.6% 11.4% 11.4% 11.4% 5.7% 4.3% 4.3% 14.3%

資料來源：Dong & Hsiu, 2004

2、 描述語言病毒

1998 年推出 Windows98 始預設有 WSH(Windows Script Host)，這是 Windows 系統的 Script 執行環境，用來簡化一些系統中重複性或例行性高 的流程，可直譯 VBScript 以及 JavaScript，日後的 ASP 則以此為基本架構 再行擴展；若將 WSH 架構嵌入軟體中就成為應用軟體的巨集語言(賴榮 樞，2005a)，由此推知也可產生巨集病毒了。

多數的描述語言病毒以 VBScript、JavaScript、ActiveX 程式撰寫為主，

原本是是為了擴充 Html 的網頁功能，卻成為電腦病毒毒害他人的手法，

VBS 病毒剛開始不久，世界第一個 VBS 病毒產生器「Senna Spy Internet Worm Generator 2000」現身，只要輸入病毒名字、信件主題、信件內容，

就可以製造出一堆 VBS 病毒。

圖 2-2-7 VBS 病毒產生器介面

資料來源：金帥(2006)

常 用 的 傳 播 方 法 如 將 含 有 惡 意 程 式 的 *.vbs 當 信 件 附 加 檔 案 傳 送 出 去，這時期的描述語言除了在主旨或內文上採社會工程的誘騙手法外，也 利用雙副檔名的格式誘騙使用者上當，如 2000 年的「LoveLetter 情書病毒」