发信人: fatfrog (神勇大青蛙), 信区: Virus
标 题: 病 毒 防 治 的 原 理 比 较
发信站: 紫 丁 香 (Sun Apr 23 15:08:10 2000), 转信
┌─────────────┐
│病 毒 防 治 的 原 理 比 较│
└─────────────┘
■病毒码过滤法
原理:
根据某一部份的特徵,去比对每一个可执行之程式,有该特徵者即判定为
该病毒,往往因特徵的选取不当而造成误判,面对新病毒、千面人病毒及
变体病毒,因不知其特徵或特徵不易选取,使其早已中毒而不自知。
优点:
操作简单,比对迅速可隔离大部份已知病毒。
缺点:
病毒码选取不当,易造成误判,病毒只数过多,比对费时,且遇到新病毒
时,常中毒而不自知。
例如:
八十年叁月六日所爆发的一只STONED 3(即米开朗基罗),当天有很多人的
硬碟被破坏了,其原因是很多程式无该病毒之病毒码,因此在不知其特徵
的情况下,就无法防止。但使用ZLOCK Cases 之用户,则安然无恙,直至
八十一年米毒方为大家所熟悉。
采用者:
GSCAN(金帅)、BVK(金帅)、VIRUS HUNTER(倚天)、TRACER(GOD WARE)、
ANTI-VIRUS(CENTRAL POINT/NORTON)、SCAN(McAFEE)。
■加值总和法
原理:
将原始程式码做特殊计算,记录下来,由於每一个可执行程式都被做上记
录,所以程式只要一有异样,就会马上被发现,因其不根据病毒码,系根
据程式本身所记录的资料,故不会误判。但其在做特殊运算记录前,须确
定程式无毒,因其判定根据为当时之记录,如已遭感染,则其记录为一已
中毒之程式,所以执行前须利用其他程式确定。
优点:
因其不认病毒码,故不会误判,亦不须时常更新版本,对新病毒依然有效
。
缺点:
作记录前需确定无毒,而程式本身无法做这项工作,需仰赖其它程式完成
,使用者若自行修改程式或组译执行档,亦会被提出警告。
须对程式做备份,以便中毒後用备份去覆盖中毒程式,故使用前须有万全
的准备。
采用者:
MSCAN(神通)、ANTI-VIRUS。
■移植检查法
原理:
事前对每一个档案移植一段自我检查程式,只要程式受感染就会自我发现
、自我治疗,这一自我还原之预备动作,为移植一段自我检查码到可执行
程式後,如同加值总和法,需事前确定程式无毒,且须对每一程式做同一
动作。
优点:
因对原程式做好还原预备动作,只要程式受到感染,就会自行还原,无须
靠备份程式加以覆盖。
因其对原程式做检查码,故不认病毒码、不需时常更新版本,对於新的病
毒依然有效。
缺点:
做还原预备动作前,需确定无毒,而程式本身无法做这一项工作,须仰赖
其它程式,对每一程式都需作一自我检查程式,十分麻烦,且每一个程式
的档案长度都会增加,占用许多记忆空间。
采用者:
病毒克星(VIRUS BUSTER)、病毒免疫大师(第叁波)、ANTI-VIRUS、
V-SHIELD(McAFEE)。
以上叁种方式若遇到隐形式病毒,则根本无法发觉。
例如:
82年4月才发现的新型隐形病毒 ─DREAMING KING ( 瞑国王),因为它为新
发现的病毒,故病毒过滤法定无法於中毒时拦截,而且其每次感染均会自行
编码,病毒码的采码工作十分不易;如欲检查被该毒感染的档案,则由於
DREAMING KING 会植入DOS 系统内,监控DOS 的行为,并且将程式的正确资
料还原,故加值总和法与移植检查法也无法查出档案已中毒。
■防写卡:
原理:
利用硬体控制硬碟的防写动作,使病毒不易侵入。但当用户真正要写资料
时,却可能使病毒有机可乘。
优点:
由硬体直接控制写入的动作,病毒在该卡关闭状态无法对硬碟进行感染或
破坏。
缺点:
当使用者需做写入动作时,即失去侦测病毒之能力。
例如:
NOCOPY是档案感染型的病毒,该毒仅在作COPY的动作时才进行感染,若在
COPY的状态下中此毒,该卡丝毫无防御能力。
采用者:
C:CURE(Leprechaun)。
■EEPROM:
原理:
利用记忆体的技术,备份 PARTITION TABLE、BOOT SECTOR,每次开机作
比对,一旦发现异状即表示中毒,可马上进行备份覆盖的解毒动作。
优点:
发现中毒时,可用备份覆盖解毒。
缺点:
对於合法的修改也会当成病毒,对於档案感染型兼开机型、爆炸型病毒则
无用。
使用者亦可自行以硬碟或软碟备份开机区资料,取代所提供的功能。
例如:
CANCER是开机型兼档案感染型的病毒,每当执行中毒档案时,便感染硬碟
的开机区,亦可对档案进行感染,EEPROM此时并无法对病毒的感染进行拦
截。
采用者:
PC-Cillin(趋势)。
■防止软碟启动卡:
原理:
由於开机型病毒常由软碟开机时进入,故此卡或防毒晶片在即时预防病毒
由软碟进入。
优点:
可避免因软碟开机所引起的部份开机型病毒。
缺点:
除了因软碟开机所引起的开机型病毒之外,对於所有档案感染型病毒、特
洛伊型病毒以及开机型兼档案感染型病毒,即无法防治。
例如:
大榔头第六代(HAMMER VI) 即为开机型兼档案感染型病毒,此毒即使不
透过软碟开机,亦可能由档案的感染,达到FORMAT硬碟的破坏力,使用防
止软碟启动卡此时就无法尽到保护的责任。
采用者:
PC-cillin、V-card(DIGITAL)、VirusStop(Multix)。
■智慧侦防解毒法
原理:
根据病毒的行为,事先预知病毒的动作,进而拦截开机型、档案感染型、
特洛伊型病毒,不必对程式作特殊处理,不需检查病毒码,无需事先处理
,任何中毒程式皆可侦测出来及防止其破坏爆炸。
其解毒方式为对旧有病毒提供现成之解毒配方,对新病毒进行采样、分析
程式,根据分析配出新配方,解掉新病毒。
优点:
无须任何事前预备,可安心使用每个程式,无需花时间比对病毒码,不浪
费时间、也不因此而误判,对事前毫无症状之炸弹型病毒亦可防止其破坏
;对已中毒,而无乾净之备份程式亦可救回。
缺点:
观念独特、操作方式不如其它程式为人所熟悉;功能甚多,每一功能都有
其步骤,不如其它单一功能、单一操作简单。
改进:
尽量简化其步骤及其讯息使得使用更方便。
采用者:
ZLOCK(金帅)、ZCOP(金帅)、ZCA(金帅)。
■总结:
目前的防毒产品,可概分为由硬体辅助或纯软体来执行,以硬体为辅的解
毒产品,其功能几乎均以硬碟开机或备份开机区资料为主。然而,以1990
年以後出品的AMI BIOS而言,就已经提供了设定由硬碟开机的功能,足可
取代由硬碟辅助的解毒软体。使用者於电脑开机时,可压<DEL> 或<ESC>
键即进入BIOS的设定,其中选择 ADVANCED BIOS SETUP,将游标移至
<SYSTEM BOOT UP SEQUENCE> 选项,设定<C:A:>,即完成了由硬碟开机
的设定。
至於,开机区资料的备份,当然可用软碟或硬碟来存放。
为了防止开机型病毒及蔓延更广的档案感染型、爆坏力更强的特洛伊型病
毒的为害,慎选功能齐全的防毒软体,方能一劳永逸。
以下为各种防毒原理的比较:
┌────┬───────────┬───────────┬─────┐
│ 防 所 │ 已 知 病 毒 │ 未 知 病 毒 │DREAM KING│
│ 毒 用 ├─────┬─────┼─────┬─────┼──┬──┤
│ 或 的 │ 防 制 │ 解 毒 │ 防 制 │ 解 毒 │ 防 │ 解 │
│ 解 方 ├──┬──┼──┬──┼──┬──┼──┬──┤ │ │
│ 毒 式 │BOOT│FILE│BOOT│FILE│BOOT│FILE│BOOT│FILE│ 制 │ 毒 │
├────┼──┼──┼──┼──┼──┼──┼──┼──┼──┼──┤
│ SCAN 式│ ● │ ● │ ● │ ● │ X │ X │ X │ X │ X │ X │
├────┼──┼──┼──┼──┼──┼──┼──┼──┼──┼──┤
│ 加值法 │ ⊙ │ ⊙ │ ⊙ │ X │ ⊙ │ ⊙ │ ⊙ │ X │ X │ X │
├────┼──┼──┼──┼──┼──┼──┼──┼──┼──┼──┤
│ 移植法 │ / │ ⊙ │ / │ ⊙ │ / │ ⊙ │ / │ ⊙ │ X │ X │
├────┼──┼──┼──┼──┼──┼──┼──┼──┼──┼──┤
│ 防写卡 │ ● │ ● │ / │ / │ ⊙ │ ⊙ │ / │ / │ X │ X │
├────┼──┼──┼──┼──┼──┼──┼──┼──┼──┼──┤
│ EEPROM │ ● │ / │ ● │ / │ ⊙ │ / │ ⊙ │ / │ / │ / │
├────┼──┼──┼──┼──┼──┼──┼──┼──┼──┼──┤
│ROM BOOT│ ● │ ● │ ● │ / │ ⊙ │ / │ ⊙ │ / │ / │ / │
├────┼──┼──┼──┼──┼──┼──┼──┼──┼──┼──┤
│ 智慧法 │ ● │ ● │ ● │ ● │ ● │ ● │ ● │ ● │ ● │ ● │
└────┴──┴──┴──┴──┴──┴──┴──┴──┴──┴──┘
●:中毒前或中毒後安装,均可正常工作。
⊙:必须中毒前安装才可正常工作。
/:无提供此功能。
X:无法做到。
注:DREAMING KING 为82年4月发现之新病毒,关於该项之测试结果,以82年4月
之版本为主。
P.1
**************************************************************************
┌──────┐
│防毒十大守则│
└──────┘
1.平常准备可正常开机之软式磁片,并贴上防写贴纸。
※检查电脑的任何问题,或者是解毒,最好在没有病毒干扰的环
境下进行,才能完整测出真正的原因,或是彻底解决病毒的侵
入。
2.重要资料,必须备份。
※资料是最重要的,程式损坏了可重新COPY,甚至再买一份,但
是自己键入的资料,可能是叁年的会计资料,可能是画了叁个
月的图形,结果某一天,硬碟坏了或者病毒的因素,会让人欲
哭无泪,所以一般性的备份是绝对必要的。
3.记住COMMAND.COM 之长度,若有异常,即有中毒的可能。
※中毒的程式,绝大部份会改变长度,所以记住一个常见程式的
长度,有助於判定是否有中病毒,尤其是COMMAND.COM 档,这
部份如果被病毒感染,则你的电脑将体无完肤。
4.经常利用DOS指令MEM或CHKDSK,检验记忆体之使用情形,若BASE
RAM异常,少於640KB,则有中毒的可能。
※利用CHKDSK检查MEMORY之大小,一般为 655360 total bytes
memory,若中病毒,此数字将减少。
5.尽量避免在无防毒软体的机器上,使用电脑磁片。
※一般人都以为不要使用别人的磁片,即可防毒,但是不要随便
用别人的电脑也是非常重要的,否则有可能带一大堆毒回家。
6.使用新进软体时,先用扫毒程式检查,可减少中毒机会。
※主动检查,可以过滤大部份的病毒。
7.准备一份具有侦毒、防毒、解毒及重建功能之软体,将有助於杜
绝病毒。
8.遇到电脑有不明音乐传出或当机时,而硬碟的灯持续亮着,应即
刻关机。
※发现电脑HDISK 的灯持续闪烁,可能是病毒正在FORMAT硬碟。
9.若硬碟资料已遭到破坏,不必急着FORMAT,因病毒不可能在短时
间内,将全部硬碟资料破坏,故可利用灾後重建的解毒程式,加
以分析,重建受损状态。
※重建硬碟是有可能的,救回的机率相当高。
10.请尊重原产品之智慧财产权,并支持国人自制的优良软体。
P.2
**************************************************************************
由病毒发展看防毒软体
当电脑成为不可或缺的设备时,电脑病毒也成了不得不面对的大问题,於是各式各
样的防毒工具也就应运而生。
那些放在陈列架上的防毒商品与令人眼花撩乱的功能简介,是否让您无所是从呢?
基本上,市面上的病毒防治原理可概分为:
1.病毒码扫瞄法:根据某一部份的特徵,去比对每一个可执行之程式,有该特徵者即判
定为该病毒。
2.加值总和法:将原始程式码做特殊计算,记录下来。
3.移植检查法:事前对每一个档案移植一段自我检查程式。
4.智慧侦防解毒法:根据病毒的行为,事先预知病毒的动作,进而拦截开机型、档案感
染型、特洛伊型。
不同的方法各有其防治之道,但是笔者认为,使用者应先了解时下病毒的特性,及
其感染的方式,方能对症下药。
以下即整理出各型病毒的性质,以供大家参考。
一. 传统开机型病毒:
纯粹的开机型病毒多利用软碟开机时侵入电脑系统,然後再伺机感染其他的软碟
或硬碟,例如:STONED 3 ( 米开朗基罗)、DISK KILLER、HEAD ELEVEN。目前市面上
大多数的防毒、扫毒程式均可预防此类病毒,一般电脑用户对於此类病毒最好的预防
方式,即是避免使用外来软碟开机。
以1990年以後出品的AMI BIOS而言,就已经提供了设定由硬碟开机的功能,足可
令电脑用户避开此类病毒的侵扰。使用者於电脑开机时,压<DEL>或<ESC> 键即进入
BIOS的设定,其中选择 <ADVANCED BIOS SETUP> 将游标移至<SYSTEM BOOT UP
SEQUENCE>选项,设定<C:A:>,即完成了由硬碟开机的设定。
二. 隐形开机型病毒:
此类病毒的开山始祖,首推(C)BRAIN,凡是为此病毒感染之系统,再行检查开机
区(PARTITION TABLE & BOOT SECTOR), 得到的将是正常的磁区资料,就好像没有中
毒一般,此型病毒较不易为一般扫毒软体所查觉,而防毒软体对於未知的此型病毒,
必须具有辨认磁区资料真伪的能力。
此类病毒已出现的尚有FISH、NOVEMBER 4。
叁. 档案感染型兼开机型病毒:
尽管防毒观念中强调,避免使用外来的软碟开机,但是仍仅能预防上述两种开机
型病毒,档案感染型兼开机型病毒则是利用档案感染时伺机感染开机区,因而具有双
重的行动能力,此型较着名的病毒有 CANCER、HAMMER V ,目前市面上的防毒扫毒软
体多能侦测出此类病毒。
四. 目录型病毒:
本型病毒之感染方式非常独特,DIR2即其代表,此类病毒仅修改目录区( ROOT ),
便可达到感染的目的。由於其修改目录区混淆DOS 的档案作业,并不须去感染真正的档
案,可想而知病毒作者的功力相当高。而市面上之防毒软体皆能防止此病毒,但面对此
型之新病毒,则仍有待考验。
五. 传统档案型病毒:
档案感染型病毒最大的特徵,便是将病毒本身植入档案,使档案膨胀,以达到散播
传染的目的。此型病毒的代表有 13 FRIDAY、SUNDAY。除扫瞄式防毒软体不具侦测未来
毒之能力外,其它如加值总和式、移植检查式、人工智慧式皆能顺利栏截。
六. 千面人病毒:
千面人病毒乃指具有自我编码能力的病毒,1701下雨病毒、FLIP、4096为主要的代
表,此种病毒编码的目的,在使其感染的每一个档案,看起来皆不一样,干扰扫毒软体
的侦测,不过千面人病毒再怎麽会编码,仍会留下一段完全相同的程式开头,所以各类
侦防病毒之软体,均能利用其留下的这个小辫子,将其绳之以法。
七. 突变引擎:
有 於千面人病毒一个接一个被逮着,便有人写出一种突变式病毒,使原本千面人
病毒无法解决的程式开头相同的问题,加以克服,并写成 OBJ副程式,供人制造此型病
毒,此即 McTation Engine、Polymorphic Engine,但是尽管如此,这型病毒仅干扰了
扫毒式软体,对其它方式之防毒软体并没有太大的影响。
八. 隐形档案型病毒:
有越来越多的迹象显示,隐形感染可避开许多防毒软体的侦测,因为隐形病毒能直
接植入DOS 的作业环境中,当外部程式呼叫DOS 中断服务时,便同时执行到病毒本身,
使得病毒能从容地将受其感染的档案,粉饰成正常无毒的样子。
此型病毒有4096、512 及最近流行的DREAMING KING ( 即第叁波129期介绍的 T4
virion病毒 ),其成功的取得DOS 的原始中断,令各种加值总和式、移植检查式之防毒
软硬体毫无感觉,而扫瞄式防毒软体更是无从侦测,是一种难缠的新型病毒,看来侦测
此种病毒,唯有依赖智慧型的方式了!
九. 终结型病毒:
虽然隐形式病毒是一种难缠的病毒,但是与终结型病毒相比,却又厚道许多,因为
病毒不论感染、常驻、延迟、占满磁碟空间,都不若破坏磁碟资料来的可怕,而此型病
毒也让许多防毒软体束手无策,甚至避而不谈。究竟此毒有何可怕之处呢?原因就是此
毒能追踪磁碟操作中断之原始进入点,当病毒取得磁碟原始中断时,病毒便可任意在磁
碟上修改资料或破坏资料,而不会「惊动」防毒程式,这也就是说,有装防毒程式和没
装防毒程式,一样危险。
这类病毒有的采用INT 1单步执行的方式,逐步追踪磁碟中断的过程,找出BIOS之
磁碟中断的部份,供病毒内部使用;有的采用死记的方式,记录几个BIOS版本之磁碟中
断原始进入点,当病毒遇到熟悉的BIOS版本,便可直接呼叫磁碟中断,对磁碟予取予求
;有的则分析磁碟中断的程式片段,找出BIOS中的相似部份便可直接呼叫磁碟中断,显
然侦防此型病毒是防毒程式的必备条件,目前市面上有此侦测能力的仅有一家。
终结型病毒的代表作有Hammer 6、NCU_LI、MACGYVER( 马盖先 )等。其中值得一提
的是马盖先病毒,此毒因害怕为某些防毒软体侦测出来,特别记录如果遇到 SCAN、
CLEAN、ZLOCK,等防毒软体时,便乖乖的不动作,但是其直接驱动磁碟中断的部份,仍
然为ZLOCK 所侦测出来。
硬体防毒之探讨:
时下流行的硬体防毒方式可概分为叁类
(一)防止从A 碟开机:此方式主要在预防由软碟开机而侵入的开机型病毒,此法由前述之
CMOS修改方式,可获得相同功能,使用者可自行修改完成。
(二)硬体备份资料:其资料备份可用同样方式备份在软碟或硬碟,其相异之处,大概就是
成本的不同吧!
(叁)硬体防写功能:其目地在避免病毒於未经允许的情况下,在硬碟做写入的动作,但是
使用者本身在做写入的情形下(例:COPY、WRITE、REN、INSTALL等)
,此法即失去防写的功能。
总之,正确认清防毒的原理及其功能,再选择防毒产品,此为最适防毒之道。
*******************************************************************************
--
_ ___ /^^\ /^\ /^^\_
_ _@)@) \ ,,/ '` ~ `'~~ ', `\.
_/o\_ _ _ _/~`.`...'~\ ./~~..,'`','',.,' ' ~:
/ `,'.~,~.~ . , . , ~|, ,/ .,' , ,. .. ,,. `, ~\_
( ' _' _ '_` _ ' . , `\_/ .' ..' ' ` ` `.. `, \_
~V~ V~ V~ V~ ~\ ` ' . ' , ' .,.,''`.,.''`.,.``. ', \_
※ 来源:.紫 丁 香 bbs.hit.edu.cn.[FROM: 202.118.247.252]