[知識]認識電腦病毒的由來、種類、症狀、預防及解毒方法

認識電腦病毒的由來、種類、症狀、預防及解毒方法等方面做相關的介紹。

資料：維基、資料1 2 3 4


一、電腦病毒

電腦病毒，或稱計算機病毒。是一種在人為或非人為的情況下產生的、在用戶不知情或未批准下，能自我複製或運行的電腦程式；電腦病毒往往會影響受感染電腦的正常運作。

二、電腦病毒的由來

電腦病毒，由來已久，大致上可從1983年說起，當時有一位美國南加大的學生Cohen曾在UNIX系統下寫了一支會引起系統當機的應用程式,但卻未得到當時一些教授的認同，於是Cohen為了證明其理論，將其以論文方式發表，在當時造成不小的震撼。

到了1987年，終於第一隻電腦病毒C-BRAIN誕生了，它可謂是電腦病毒的始祖，這隻病毒程式是由一對巴基斯坦兄弟所寫的，他們的寫作目地僅是為了要防止他們所寫的軟體被任意盜拷，只要有人盜拷他們的軟體，C-BRAIN就會發作，將盜拷者的硬碟剩餘空間給吃掉。後來就有其它人以C-BRAIN為藍圖，製作出一些變形的病毒，其它新的病毒創作，也紛紛出籠，不僅有個人創作，甚至出現不少創作集團（如NuKE,Phalcon/Skism,VDV）。

一九八六年，可令個人電腦的操作受到影響的電腦病毒首次被人發現。此後，病毒的數目不斷上升。一般來說，病毒泛指一些能夠影響電腦正常運作的有害程式。

為何我們稱這些有害程式為電腦病毒？電腦科研人員發現，電腦病毒與生物病毒(例如：H5N1)有很多相似之處。第一，兩者均需要貯存在一個主體內。就電腦病毒而言，主體通常指受感染的檔案∕磁碟。第二，兩者均可自行衍生，由一個主體感染另一個主體。最後，兩類病毒均會對主體造成損害。但兩者之間最少有一點是不同的：電腦病毒是由人類編寫而產生的，而生物病毒則是自然而生。

病毒發作所造成的破壞程度參差不同，其影響可小至僅僅對屏幕的顯示造成滋擾，以至電腦儲存的珍貴資料受到破壞。隨著微型電腦的使用日益普及，病毒的威脅實在不容忽視。

三、電腦病毒的種類

(一)開機型病毒(Boot-typevirus)
開機型病毒，顧名思義就是透過開機而傳染的病毒，它會感染磁碟的啟動磁區(BootSector)或是硬碟分割表(PartitionTable)。當使用者用有毒的磁片或是硬碟開機，那麼整個作業系統將會處於病毒控制之下，一般來說，開機型病毒的種類不及檔案型病毒來得多，如果不幸中開機型病毒的話，也較容易殺掉，不過它所造成的災害卻比檔案型來得嚴重，一次很可能就毀掉整個硬碟。

而一般的開機型病毒應可以分為兩種：

(01)傳統開機型病毒：
　　　純粹的開機型病毒多利用軟碟開機時侵入電腦系統，然後再伺機感染其他的軟碟或硬碟，例如：STONED3(米開朗基羅)、DISKKILLER、HEADELEVEN。目前市面上大多數的防毒、掃毒程式均可預防此類病毒，一般電腦用戶對於此類病毒最好的預防方式，即是避免使用外來軟碟開機。
　　以1990年以後出品的AMIBIOS而言，就已經提供了設定由硬碟開機的功能，足可令電腦用戶避開此類病毒的侵擾。使用者於電腦開機時，壓或鍵即進入BIOS的設定，其中選擇將游標移至選項，設定，即完成了由硬碟開機的設定。

(02)隱形開機型病毒：
　　　此類病毒的開山始祖，首推(C)BRAIN，凡是為此病毒感染之系統，再行檢查開機區(PARTITIONTABLE&BOOTSECTOR)，得到的將是正常的磁區資料，就好像沒有中毒一般，此型病毒較不易為一般掃毒軟體所查覺，而防毒軟體對於未知的此型病毒，必須具有辨認磁區資料真偽的能力。　

(二)檔案型病毒(File-typevirus)
從字義上來看，就是純粹感染檔案的病毒，所感染的檔案類型大部份是可執行檔，如.COM、.EXE、SYS、BAT、OVL等。當使用者中毒之後，只要再執行其他的程式，病毒就會把自己複製到程式之中，如此不斷的複製與感染，病毒便可以永久生存下去。別以為一個檔案只會中一種病毒，其實一個檔案有可能會中很多個病毒。檔案型的病毒較難加以清除，因為檔案型病毒的感染方式有千百種，而且很可能一次就有好幾百個檔案中毒。

而檔案型病毒也可以分為兩種

(01)傳統檔案型病毒:
　　檔案感染型病毒最大的特徵，便是將病毒本身植入檔案，使檔案膨脹，以達到散播
傳染的目的。此型病毒的代表有13FRIDAY、SUNDAY。除掃瞄式防毒軟體不具偵測未來
毒之能力外，其它如加值總和式、移植檢查式、人工智慧式皆能順利欄截。

(02)隱形檔案型病毒:
　　　有越來越多的跡象顯示，隱形感染可避開許多防毒軟體的偵測，因為隱形病毒能直
接植入DOS的作業環境中，當外部程式呼叫DOS中斷服務時，便同時執行到病毒本身，
使得病毒能從容地將受其感染的檔案，粉飾成正常無毒的樣子。
開機與檔案複合型病毒(multip-partitevirus)
就是綜合開機型以及檔案型特性的病毒，此種病毒透過這兩種方式來感染，更加速了病毒的傳染性以及存活率。不管是被那一種方式傳染到，只要中毒就會經由開機或是執行程式而感染其他的磁片或檔案，此種病毒也是最難殺掉的。

(三)複合型病毒(multip-partitevirus)
就是綜合開機型以及檔案型特性的病毒，此種病毒透過這兩種方式來感染，更加速了病毒的傳染性以及存活率。不管是被那一種方式傳染到，只要中毒就會經由開機或是執行程式而感染其他的磁片或檔案，此種病毒也是最難殺掉的。

而隨著感染方式的不同又可細分為下列數種類型：
傳統開機型病毒：
傳統的開機型病毒多利用軟碟開機時侵入電腦系統，然後再伺機感染其他的軟碟或硬碟，例如：DISKKILLER、STONED3（米開朗基羅）。

CIH病毒：
八十七年四、五月底，電腦網路上出現了一破壞力強大的綜合型電腦病毒ＣＩＨ，造成各行業不小的損失。目前該病毒延伸出的版本中，其發作日期分別為每年的四月二十六日、六月二十六日及每個月的二十六日；由於四月二十六日為前蘇聯「車諾比爾」核電廠輻射外洩意外的同一天，該病毒又有「車諾比爾」病毒之稱。該病毒的傳染途徑，是病毒之作者先將病毒碼植入熱門的應用程式內，上傳至資訊網站之軟體下載區供人免費下載，不知情的使用者將其下載至個人電腦後，再將被感染的軟體經由轉載至其它網站或是透過電子郵件、電子佈告欄、通訊軟體等方式而傳染給他人；鑑於網際網路無遠弗屆的傳播能力與威力，該病毒透過傳輸通路漸次散佈至全世界。

隱形開機型病毒：
所謂隱形開機型病毒即是當病毒感染的系統，當您檢查PartitionTable及BOOTSector時，病毒會將正常的磁區資料還原，就好像沒有中毒一般，此型病毒較不易為一般掃毒軟體所查覺，較有名的有MONKEY、FISH等等。

檔案感染型兼開機型病毒：
檔案感染型兼開機型病毒顧名思意是利用檔案感染時伺機感染開機區，因而具有雙重的行動能力。較有名的病毒有NATAS、MACGYVER2.0、CANCER等，DIR2即為其代表。

修改目錄型病毒：
本型病毒之感染方式非常獨特，此類病毒僅修改目錄區(ROOT)，藉以干擾DOS的檔案作業，並不會真正的感染檔案，卻能造成檔案系統大亂!!

傳統檔案型病毒檔案：
感染型病毒最大的特徵，便是將病毒程式本身植入檔案，使檔案膨脹，以達到散播傳染的目的。較為熟知的有十三號星期五(13FRIDAY)、SUNDAY。

千面人病毒：
千面人病毒乃指具有"自我編碼"能力的病毒，其目的，在使其感染的每一個檔案，看起來皆不一樣，干擾掃毒軟體的偵測。1701下雨病毒、FLIP、4096為代表。

變體引擎：
有鑑於千面人病毒無法解決的程式開頭相同的問題，便又出現了一種變體引擎，克服了千面人病毒的問題，並寫成.OBJ副程式，供人製造此型病毒，此即McTationEngine、PolymorphicEngine，此類引擎代表的有PME、TPE與FORWindows的PME/W。

隱形檔案型病毒：
隱形病毒能直接植入DOS的作業環境中，取得DOS的原始中斷，當外部程式呼叫DOS的中斷服務時，便同時執行到病毒本身，使得病毒能從容地將被感染的檔案，粉飾成正常無毒的樣子。此型病毒有4096、512及最近流行的DREAMINGKING、NATAS，

特洛伊木馬型病毒：
這個病毒是仿效木馬屠城記的故事所研製的，並不以感染檔案為傳播途徑，而改以比較吸引人的程式功能來引人拷貝使用（願者上鉤？），平常在使用上均很正常，也沒有破壞行為，但一到此病毒發作日（符合發作條件如：日期等．．．）便原形畢露，破壞硬碟資料。

終結型病毒：
病毒不論感染、常駐、延遲、佔滿磁碟空間，都不若破壞磁碟資料來的可怕，此種毒能追蹤DISKI/O磁碟中斷之原始進入點，而不依正常管道呼叫BIOS的磁碟中斷服務。當病毒取得磁碟原始中斷時，病毒便可任意在磁碟上修改資料或破壞資料，而不會「驚動」防毒程式，換句話說；有裝防毒程式和沒裝防毒程式，一樣危險。這類病毒有的採用INT1單步執行的方式，逐步追蹤磁碟中斷的過程，找出BIOS之磁碟中斷的位址，供病毒內部使用；有的採用死記的方式，記錄幾個BIOS版本之磁碟中斷原始進入點，當病毒遇到熟悉的BIOS版本，便可直接驅動磁碟中斷，而不必向BIOS打招呼，就可以對磁碟予取予求；有的則是透過分析磁碟中斷的程式片段，找出BIOS中的相似部份，便可直接呼叫磁碟中斷，終結型病毒的代表作有Hammer6、NATAS、MACGYVER(馬蓋先)、等。

多形病毒：
所謂「多形病毒」就是病毒在感染檔案時，會自我編碼，而且有很多不同的編碼方式，很難找到連續二個bytes是一樣的，令一般的解毒軟體無從偵測。此類型病毒的代表有CONNIE系列、NATAS、CVEX6.X～7.X。

更名感染型病毒：
此類型病毒之感染方式頗為特殊，它會將欲感染之執行檔（如.EXE）先RENAME成資料檔或另開一資料檔，然後再去感染此資料檔，感染完後再RENAME回來或刪除原執行檔，再將資料檔RENAME成原來的執行檔名，此法造成偵測病毒上的盲點。因為對任何一個資料檔而言，要分辨是遭受到病毒感染抑或是正常修改，是一個不易界定的行為；但若要對「修改檔名的動作」攔截，以達到防止該類型病毒的目的，卻又有因噎廢食的困擾，因為不少軟體於安裝時，多少都會將原檔案做更名儲存的動作。此型病毒目前以最近流行的CVEX、BADHEAD系列為代表。

磁區填碼型病毒：
一般病毒都是透過DOS進行感染，但此型病毒「感染」方式大不相同，它不透過DOS而直接呼叫INT13藉以監視磁區間的讀寫動作，並在某一磁區內的檔案符合其感染的要求時，便直接把病毒填入該磁區內（如SKID-ROW若發現磁區內\fs24的前兩碼為EXE檔頭的標記"5A4D"或"4D5A"，且磁區內之第61H至1FFHByte皆為零時，便進行感染，直接將病毒填入該空白區段），由於病毒利用此法將病毒直接寫入受感染之檔案內的空白區段，故被感染之檔案長度不會增加。此型病毒最近才出現，以SKID-ROW（貧民街）系列為其代表。

檔案壓縮型病毒：
通常執行檔受病毒感染時，檔案長度都會變大，但受此病毒感染之檔案長度不增加反而變小，所以對一些偵測檔案長度變大即警告之防毒軟體，就無法攔截到此類型病毒了。檔案壓縮型病毒以外國傳進來的CRUNCHER和國內的SATAN4.03為代表。

 Windows&Windows98下的電腦視窗病毒：
DOS下的病毒與Windows下的病毒感染的檔案類型並不相同，DOS病毒會感染DOS規格的檔案(*.COM，*.EXE...)，而Windows病毒就會感染Windows的NE(註)規格檔案(*.EXE，*.DLL，*.VXD...)，截至目前還沒發現有DOS與Windows共通的病毒，視窗病毒的代表有Wintiny、Winlamer、Winvir、Winsurfer等複合型病毒。世界第一隻32位元的Windows95病毒為Bizatch(BOZA)病毒。

巨集病毒：
此型病毒是最新型的病毒種類，而且是文件檔病毒，可以跨平台感染，與一般的執行檔病毒不同。利用Word所提供的巨集功能來感染文件，在INTERNET與BBS網路上已發現不少的文件巨集病毒，流傳速度很快，而且是用類似Basic程式所寫出來，很容易學習，因此以後的發展量將會持續增加。文件巨集病毒的代表有DMVMACRO、AAAZAOMACRO、台灣NO.1巨集病毒目前又已陸續發現有Excel巨集病毒，代表有LAROUX巨集病毒。Ami-Pro巨集病毒，代表有GreenStripe巨集病毒。





四、電腦病毒的症狀及預防

(一)發作症狀

1. 電腦動作比平常遲鈍

2. 程式載入時間比平常久有些病毒能控制程式或系統的啟動程序,當系統剛開始啟動或是一個應用程式被載入時,這些病毒將執行他們的動作,因此會花更多時間來載入程式。

3. 對一個簡單的工作,磁碟機似乎花了比預期長的時間.例如:儲存一頁的文字若需一秒,但病毒可能會花更多時間來尋找未感染檔案

4. 不尋常的錯誤訊息出現例如你可能得到以下的訊息:write protect error on driver A表示病毒已經試圖去存取磁碟並感染之.特別是當這種訊息出現繁複時,表示你的系統已經中毒了!

5. 硬碟的指示燈無緣無故的亮了.當你沒有存取磁碟,但磁碟機指示燈卻亮了,電腦這時已經受到病毒感染了!

6. 系統記憶體容量忽然大量減少有些病毒會消耗可觀的記憶體容量,曾經執行過的程式,再次執行時,突然告訴你沒有足夠的空間可以利用,表示病毒已經存在你的電腦中了!

7. 磁碟可利用的空間突然減少這個訊息警告你病毒已經開始複製了!

8. 可執行檔的大小改變了!正常情況下,這些程式應該維持固定的大小,但有些較不聰明的病毒,會增加程式的大小

9. 壞軌增加：有些病毒會將某些磁區標註為壞軌,而將自己隱藏其中,於是往往掃毒軟體也無法檢查病毒的存在,例如 Disk Killer 會尋找3 或5 個連續未用的磁區,並將其標示為壞軌

10. 程式同時存取多部磁碟機

11. 記憶體內增加來路不明的常駐程式

12. 檔案奇怪的消失

13. 檔案的內容被加一些奇怪的資料

14. 檔案名稱,副檔名,日期,屬性被更改過

(二)預防：

1.重要資料，必須備份：在很難預料，有時候不一定是病毒破壞，其他硬體機械故障亦有可能造成資料損失，所以必須備份重要資料，以防突發狀況。

2.記住COMMAND.COM 檔之長度，若有異常，即有中毒的可能：中毒的程式，絕大部份會改變長度，所以記住一個常見程式的長度，有助於判定是否有中病毒，尤其是COMMAND.COM 檔，這部份如果被病毒感染，則執行各種內建命令或外在指令都會被感染。

3.儘量避免在無防毒軟體的機器上，使用電腦磁片：一般人都以為不要使用別人的磁片，即可防毒，但是不要隨便用別人的電腦也是非常重要的，否則有可能帶一大堆毒回家。

4.安裝或下載軟體時，先用掃毒程式檢查，可減少中毒機會：主動檢查，可以過濾大部份已知的病毒。

5.準備一份具有偵毒、防毒、解毒及重建功能之軟體，將有助於杜絕病毒。

6.遇到電腦有不明音樂傳出或當機時，而硬碟的燈持續亮著，應即刻關機。發現電腦硬碟的燈持續閃爍，可能是病毒正在FORMAT硬碟。

7.若硬碟資料已遭到破壞，不必急著FORMAT，因病毒不可能在短時間內，將全部硬碟資料破壞，故可利用災後重建的解毒程式，加以分析，重建受損狀態。

8.請尊重原產品之智慧財產權，不要隨意安裝來路不明的軟體（如大補帖）並支持國人自製的優良軟體。

9.瀏覽網頁時湖任意下載Java Applet或Active X Control

10.使用他人剛用過的電腦之前，先關掉電源重新開機或用防毒程式偵測

11.隨時注意病毒新資訊及更新病毒碼

五、電腦病毒的解毒方法

一、開機型病毒的解毒方法

（一）硬碟： 

 有些軟體可將備份過的啟動區及硬碟分割表寫回硬碟上的功能，用此種方法就可還原舊的系統區。不過不要隨便拷貝別人的解毒軟體，尤其是別人所備份的啟動區及硬碟分割表，不然寫回磁碟機的時候整個硬碟就毀了。

萬一沒有備份的話也不要緊，只要依照以下步驟做的話應該就可以殺掉了：

 1 用乾淨的磁碟片開機，DOS版本最好和硬碟中的一樣，磁碟機中要有SYS.COM及FDISK.EXE等檔案。

 2 在A：\>中輸入FDISK/MBR，更新你的硬碟分割表。(MBR： Master Boot Record)

 3 在A：\>中輸入SYS C：，做一個新的啟動磁區。

 4 重新用硬碟開機就可以了。最笨的方法就是用解毒軟體來解了，要是解不成功的話，硬碟就 不能開機了。 

 （二）軟碟：磁片中了開機型病毒可別先緊張，別急著Format，一般人以為這 張磁片就不能用了，其實只要不用這張磁片開機，裡面的資料還是可以安全地使用的。要殺掉病毒有很多種方法，有些掃毒軟體會備份軟碟的啟動磁區，只要將已備份的啟動磁區寫回去即可；要不就 是用解毒軟體來解，不過不保證殺完之後這張磁片可以正常開機； 還有就是用SYS.COM 的功能，重新製作啟動磁區即可。要是以上幾 招都沒用的話，先把磁片的資料先拷貝至硬碟，Format碟片後將把 資料拷回至碟片就可以了。

 二、檔案型病毒的解毒方法

如果已中毒的檔案有備份的話，當然是把備份的檔案拷貝回去就 可以了，如果沒有的話就比較麻煩了。如果檔案沒有做備份的話， 就只能夠靠解毒軟體來解，不過用解毒軟體來解不保證能夠完全復 原，有可能會越解越糟，殺完毒之後檔案反而不能執行。到目前為 止還沒有一個解毒軟體能夠殺掉病毒又能保證檔案一定能安然無恙 的，只有靠自己平日經常備份自己的資料了。

中毒時的處理

一、自動清除
透過防毒軟體來刪除病毒。不論是在例行性掃毒的過程中，或是在上網途中欄截到的病毒，只要防毒軟體有掃到的病毒，第一步都先透過防毒軟體來刪除病毒。

二、手動清除
若防毒軟體無法刪除，接下來一般就會問你是否要隔離或是排除、略過中毒檔案...等。

一般做法可以先將防毒軟體顯示的病毒資訊先記下來，例如：被感染的檔案位置、檔名，以及病毒名稱...等，再以病毒名稱先到以下幾個防毒軟體網站，搜尋一下看有沒有相對應的解決方式；或可以利用Google、Yahoo等搜尋引擎，用病毒名稱做為關鍵字搜尋，看是否有人曾經中過相同的病毒，以及是否有何解決的方法，再按照所提供的解毒方式來做處理。

通常到這個步驟，都可以順利的將病毒刪除，如果真的都找不到病毒的相關資訊，那麼很可能您中的是最新型的病毒，若這些中毒的檔案都很重要，而暫時找不到可以解毒的方法，那就只好選擇先將他們隔離起來，等到有解藥之後再來救救看吧！

或有時候也有可能是防毒軟體誤判正常檔案為病毒，隔一段時間再掃毒一次，若沒有再掃到的話，應該就是誤判了。

前往『文章列表』可查詢本站更多的文章喔！