防範 PC 電腦病毒(一)

版權宣告：歡迎保留全文的完整性自由轉載，不必來信告知

發佈日期：2000 / 05

目的：這篇文章的目的是在告訴電腦初學者一些基本的防毒常識，認識電腦病毒。

電腦病毒何處來：

在電腦的世界而言，電腦病毒是一個電腦程式，只不過，電腦病毒是一種具有破壞力的程式，破壞我們電腦中的資科與軟體，甚至破壞電腦硬體。電腦病毒是用電腦程式語言寫的。程式語言是我們用來跟電腦溝通的語言，就像我們要跟外國人溝通就要使用外國人能夠了解的語言來跟他們溝用的道理是一樣的。電腦是一部被動的機器，如果我們要電腦幫我們做事，我們就得跟電腦溝通來命令電腦。 我們將命令用電腦程式語言寫成程式，等到電腦執行這個程式，它就幫我們完成我們的命令了。我們一般使用的程式就是這麼告訴電腦的。然而，電腦病毒就是因為有人把破壞電腦的命令寫成一支電腦病毒破壞程式，於是一隻病毒就形成了。是誰無事寫病毒呢? 通常寫病毒的人對電腦都有超乎常人的狂熱，有人寫病毒是因為好奇，有人是因為証明自己的電腦功力，有人是為了表達自己的想法給別人知道，有人是懷著報復的可怕心理… 各種原因都有，但能寫出電腦病毒的人都對電腦的內部結構有一定程度的了解，所以也不是任何人都有能力寫病毒的。不過，就算我們寫出了病毒，也不該拿出來散佈害人，希望這些高手多多高抬貴手。

電腦病毒的種類：

1. 開機型：破壞開機磁區

2. 檔案型：感染硬碟的資料，並進行破壞

3. 格式化型：直接將硬碟進行格式化，破壞資料

4. 巨集病毒：感染 Office 文件

5. 特洛依木馬：別人可藉由綱路操控被感染的電腦，常見的特洛依木馬工具有 Back Orifice ( bo )，Netbus，SubSeven。

特洛伊木馬程式是一種遠端控制程式 , 通常這種程式有一個特性 , 控制者必須將一個程式值入我們的電腦裡面 , 然後來控制我們的電腦 , 到這兒 , 我們至少已經知道特洛伊木馬是一種透過網路的 遠端遙控程式。特洛伊木馬可能引起的危害要看控制您電腦的人他的心地如何囉! 如果是好奇的人只會看看您電腦的東東 , 那如果是比較壞的人可能會毀了您電腦中全部的資料 , 竊取電腦的重要資料 , 或利用控制的電腦做非法的事 , 一般掃毒程式都會將已知 ( 註一 ) 的特洛伊木馬程式列為病毒

註一: 所謂已知是指掃毒程式公司已經發現的特洛伊木馬程式 , 表示若是未發現的特洛伊不會被掃毒程式發現 , 常見的特洛伊木馬 EX. BO，Netbus 都己被列為病毒，不過私人自己寫的特洛伊木馬則不易被發現，至此 , 我們應該知道掃毒程式不是萬能的。

　

電腦病毒的感染途徑： 磁片、光碟、網路、任何能夠傳輸資料或儲存檔案的地方。

防治方法：

消極的作法就是不執行上述不明內容的磁片、光碟、E-mail 的附加檔。可是對很多人而言，就是很好奇這些檔案是什麼東東，會想去用用看。( 我就是其中一個，可是，這麼做就得負擔可能被病毒感染的後果 )。另外就是安裝防毒程式，雖然不是百分之百有效，不過卻可以防止大多數的已知病毒。掃毒程式對電腦而言，就像我們接種疫苗一樣，對已知的病毒具有免疫能力。不過，新的電腦病毒不斷產生，我們必須常更新「病毒碼」才能對新發現的電腦病毒產生抗體。但是掃毒程式並不是無敵的，這是我一直強調的。我們自己要對不明的程式心懷警戒，現在綱路已經是病毒主要的感染途徑，如果是不熟的人寄給我們的 E-Mail 附加檔案千萬不要輕易執行。

中毒了怎麼辦：

如果自己的電腦可能中毒了，你可以先用掃毒程式掃毒，如果電腦病毒正在破壞你的電腦，而你不知該如何處理時請馬上關機以減少損失，不管病毒在怎麼強，畢竟也只是一個程式，如果電腦關了，病毒也就無法發揮破壞力。此時，您可以請教別人如何處理。

以上資料僅供參考

 


防範 PC 電腦病毒(二) 木馬篇 


--------------------------------------------------------------------------------

版權宣告：以下文中所提到的商標 , 均屬於各合法註冊公司所有

轉載須知：若您同意保留這篇文章的完整性則歡迎您自由轉載，且不必來信告知

更新日期：公元 2001 年 01 月 - 新增移除 Birdspy

目的：告訴電腦初學者 What and About 特洛伊木馬程式 < 初級篇 >


--------------------------------------------------------------------------------

一、什麼是特洛伊木馬程式 ?

請參考於 史萊姆的第一個家 之教學文件區


--------------------------------------------------------------------------------

二、意圖不軌的入侵者 => Hacker or Cracker ?

駭客，是不是一些喜歡攻擊並破壞別人電腦的人。( 至少很多人是這樣認為 )，如果我們只是會玩一些入侵程式的話，並不能算駭客 [Hacker]，而只是 Cracker 。( 有的人是這麼說的 ) 。 Hacker 跟 Cracker 都是會入侵系統的人，若要說他們的差別 .... 我只能說 Hacker 是比較好的人而 Cracker 是壞人。Why ?? 因為真正的 Hacker 雖會入侵系統，但他們只是為了証明自己有能力入侵 or 實驗自己的理論、想法是否正確。而 Cracker 是為了入侵主機偷資料 or 進行破壞 ( 我說的不一定完全正確 , 不過大概是這樣，而且大多數的 Cracker 的技術通常比 Hacker 差，比如用特洛伊木馬程式或是轟炸程式之類的工具攻擊別人 PC 的人應該只算 Cracker ) 。那為什麼我們都叫意圖不軌的入侵者為Hacker ?? ( 這就是我們對 Hacker 的誤解吧~ 我們都把 Hacker 跟 Cracker 混為一談了) 要當一個 Hacker 對電腦系統、程式、許多原理都要有一定的程度，所以要讀很多書，懂很多的知識，那是要學很久的喔!! 不是兩、三天就會的。當然，我也學不會。不過關於如何成為駭客，這兒有一篇文章可以給您作為參考，這並不是一篇沒用的東西，至少你得先了解這些觀念，至少我是認為這些想法的重要性遠大於那些專業技術技術。

參考文件：How To Become A Hacker


--------------------------------------------------------------------------------

三、Windows 並不是唯一的作業系統 ( OS- Operating System )。

在目前 ( 公元 2000 年 )，Microsoft 的作業系統 ( Windows ) 是台灣最多人使用的系統，對初學者而言，所接觸的系統多為 Windows，然而， Windows 並不是唯一的作業系統，還有其它可以在個人電腦 ( PC - Personal Computer ) 上使用的作業系統，例如：Linux，FreeBSD … ， MAC 也是很有名的。而伺服器主機除了有 Windows NT 之外，還有 UNIX 系統及其它的系統。

// Sorry , 以上 (二) ~ (三) 的名詞對初學者而言可能太難了，您看不懂也無所謂，不重要。 


--------------------------------------------------------------------------------

四、BO、NETBUS、SubSeven、NetSPY、BirdSPY 等特洛伊木馬程式。

(一) BO：我覺得 BO 是最常見的特洛伊木馬程式，它主要有兩個程式，一個是當作 Server，一個是當作 Client 。大多的特洛伊木馬程式都是這樣，我還沒見過例外 (目前 [ 公元 2000 年] 最新的 BO 版本是 BO2000 )。
[ 已被掃毒程式列為病毒 ]

(二) Netbus：之前版本的 Netbus 跟 BO 是差不多的，不過現在新版本的 Netbus 已經逐漸轉向遠端控制程式發展了，也就是不再暗地的控制別人的電腦，而是必須在其它電腦使用人的同意之下才有可能進行遠端控制，不過 ... 掃毒程式目前 [ 公元 2000 年] 依然將它列為病毒。 
[ 已被掃毒程式列為病毒 ] 

(三) SubSeven、NetSPY 也都是特洛伊木馬程式，而且特洛伊木馬程式不止這幾個而以，包括已知的，未知的 …，只有被發現的特洛伊木馬程式會被掃毒程式列為病毒，而不會受到感染。 
[ 已被掃毒程式列為病毒 ] 

(四) BirdSPY：這是一位由 Birdman 寫的國產特洛伊木馬程式，他的破壞力與 BO 是差不多的。在 BirdSPY 2.0 版本之前，它的性質與一般的特洛伊木馬大同小異，都是屬於利用網路暗地入侵他人的電腦的特洛伊木馬。不過在 BirdSPY 3.0 版本則比較驅向遠端控制程式發展 [ ex. PC_anywhere ]，跟 Netbus 一樣逐漸轉型，適合網路管理員作遠端的管理，依然有點特洛伊木馬程式的性質。

特別報導 : 「破獲國內首隻自製木馬程式 , 製造者是大學生 」這是 01 / 05 / 2001 各網路新聞報的標題 , Birdspy 3.0 原是作網路遠端管理的用途 , 然而被有心人士拿來作為入侵他人電腦的犯罪行為 , 經過受害人向刑事局偵九隊檢舉 , 以至於程式作者 鳥人 此時需面對法律的裁決 , 在此也呼籲各位千萬不要隨便使用程式亂攻擊別人的電腦 , 真正的駭客是不會做這種事的。另外您知道為什麼鳥人的這支程式為什麼造成警方這麼大的恐慌嗎 ? 這是因為掃毒程式根本掃不到 birdspy , 而且不是每個偵測駭客入侵程式 , 防木馬程式 都有辦法偵測到 Birdspy (我就知道有很多個防駭客入侵程式都偵測不到 birdspy3.0 ), 如果是有名單才掃的到 , 那樣的防護程式更是無法達到保護的目的 , 因為一旦在名單之外就掃不到了 , 這種防護又有何意義。以偵測木馬的能力而言 , 我推薦 BlackICE Defender , 因為 BlackICE Defender 已經可以偵測並防止 Birdspy 3.0 及其他的入侵工具 



「不過千萬要記得 , 一定有更高明的木馬可以躲過防護程式的偵測 , 這是一定有辦法辦到的 , 只不過在 birdspy 3.0 沒有作 , birdspy 3.0 之所以會造成如此大的恐慌就在於 , 大家太信任掃毒程式了 , 一但掃毒程式掃不到 , 就會感到恐慌 , 其實大家只要把掃毒程式當作是一面防護網 , 比較常見的病毒就容易被這面防護網給攔住 , 而新的或是不知名病毒就容易成為漏網之魚 , 也難怪掃毒程式會掃不到了」


如何取得 BlackICE Defender : 
您可以在 史萊姆的第一個家 / 軟體下載 / 網路其他 下載軟體與中文化
出版公司 : http://www.networkice.com/



--------------------------------------------------------------------------------

五、想破壞我的電腦的人是誰 ? ( netstant -n ) 

誰這樣可惡，想破壞我的電腦 ? 通常入侵 PC 的人很有可能是我們自己的朋友，或者是得罪的人，但如果可以讓我們把這個人給揪出來不知有多好，win98 好像就可以抓到這個人的資料喔~~ 
( 我實在不太想說這個，因為這樣以後我就不可以玩了，因為會被發現了 ~_~ .... 不過算了，知道的人也很多，倒不如就讓大家都知道，反正真正的高手也還是有他的方法，這只會對功力不好的 Cracker 造成困擾，也就是說，知道這些小東東對大部分安份守己的人還是有一點好處的 ^^ )

A、取得對方的 IP：

進入 MS-DOS 模式，打入 NETSTAT -N，然後會出現如下的結果： 

Active Connections

　  你電腦的IP:使用的 Port　
 跟你電腦有連線的電腦的IP:使用的 Port
 目前的狀態
 
Proto
 Local Address
 Foreign Address
 State
 
TCP
 xxx.xxx.xxx.xxx:1234
 xxx.xxx.xxx.xxx:1234
 ESTABLISHED
 
TCP
 xxx.xxx.xxx.xxx:1234
 xxx.xxx.xxx.xxx:1234
 ESTABLISHED
 

( 註： xxx.xxx.xxx.xxx 代表 IP 的格式 , ex：123.123.123.123，Port 也不一定是 1234，反正是數字 )

　

B、取得對方的電腦名稱：

進入 MS-DOS 模式，打入 NETSTAT ，然後會出現如下的結果： 

Active Connections 

　  你電腦的名稱:使用中的 Port　
 跟你電腦有連線的電腦名稱:使用的 Port
 目前的狀態
 
Proto
 Local Address
 Foreign Address
 State
 
TCP
 Computer_name:1234
 Computer_name:1234
 ESTABLISHED
 

( 註：Computer_name 是對方的電腦名稱，名稱不一定，Port 也不一定是 1234，反正是數字 )

　

上面的 Foreign Address 即是目前跟你有連線的電腦，如果那個人正在控制你的電腦，你不要連到任何的 Web、BBS、FTP，只要不要連到網路其它的機器，剩下的 IP 就是那個控制你電腦的那個人的電腦 IP [ 假使他已經連到你的電腦並進行控制 ]

其它的 NETSTAT 參數：
進入 MS-DOS 模式，打入 NETSTAT / ? 即可查詢。

其他有用的查詢指令：

=> 1. Tracert 2. ping 3. nslookup 4. nbtstat



--------------------------------------------------------------------------------

六、防治的工作 - 世界上並沒有破不了的鎖，但我們不因此而不用鎖。

有人說世界上沒有破不了的系統，但是如果因此而不做任何的保護，那豈不是敞開大門歡迎別人進來呢 ? 保讙我們個人電腦 PC 免於被入侵的方法無異是需要一套好的防火強與防毒程式 [ 並經常更新病毒碼 ]，最重要的是不要輕易執行不明的 E-mail 附件。下面我推薦一些不錯的防護程式供各位參考。

1. 偵測特洛伊木馬程式 [ Trojan ] BirdGuard：[ 作者 : Birdman / 來自 : 鳥人的家 ]
由此下載 BirdGuard-V0.4 [ 大小: 30 KB ]

2. BlackICE Defender :
如何取得 BlackICE Defender : 
您可以在 史萊姆的第一個家 / 軟體下載 / 網路其他 下載軟體與中文化
出版公司 : http://www.networkice.com/



3. 諾頓網路安全大師或諾頓防火牆
詳細資料請參考產品公司網頁 : http://www.symantec.com/region/tw/ 


--------------------------------------------------------------------------------

七、移除特洛伊木馬程式 ?
首先我想說的是，並不是所有的特洛伊木馬都能被掃毒軟體偵測到，即使是掃除特洛伊木馬的工具也只能掃除一些常見的木馬而已。最主要的防治方法就是，「不要執行電子郵件的附件」，這樣便能減少中毒或是中特洛伊木馬的機會，像我就常常收到匿名寄給我的信件，裡頭的附件就是特洛伊木馬，很容易就可以看出來的。這些木馬大部分掃毒軟體也都偵測的到，所以我就比較不容易受到特洛伊木馬的攻擊。下面我介紹一些移除工具 :

1. BoDetect : 偵測 BO 與移除的工具 , 您可以在出版公司網頁下載這個軟體 < 出版網頁 > 。

2. Adaly_11.zip : 這個程式可以移除 Birdspy，由此下載 [ 255 KB ]。


資訊小子專屬討論區 ：供大家在這兒討論與交換心得


以上資料僅供參考