如果我沒記錯,真正開始抓病毒,應該是 1996 年左右的事情了。當時的作業系統還是以 MS-DOS 6.22 為主,大多數的病毒都是以感染系統中的執行檔的方式來散播,通常只要有一個執行檔中毒,磁碟中的其他執行檔也會陸續中毒。有時候感染的速度非常快,只需要短短幾分鐘,一個資料夾數百個檔案就全部淪陷了。
以當時的病毒類型以及感染的方式來看,若沒有防毒軟體來將病毒程式碼與執行檔分離,可能最後只有重灌系統一途才有辦法解決。在我個人看來,早期的病毒比現在的病毒還要難纏,除了病毒小到你不容易發現外,還會常駐在記憶體中,甚至將病毒寫入磁碟的 MBR(Master Boot Record) 中,等於一開機就得中毒,也就是所謂的開機型病毒,若沒有及時處理,後果實在不堪設想。也因此,早期要找出電腦是否中毒,通常需要將整個記憶體的紀錄 Dump 下來,才有可能找到病毒的蹤跡。
隨著時代不斷的進步,網路及作業系統都有非常大的突破,早期的病毒漸漸無法在現在的環境中生存,取而代之的是利用網路的特性,對網路進行破壞的蠕蟲(Worm)。這些病毒感染的速度快,而且善用網路攻擊技巧,透過一些攻擊手法就能直接入侵並感染遠端的電腦,可以在很短的時間內讓大量網路上的電腦都受到感染。有的 Worm 還會將系統中的特定資料傳送給特定的人,使得電腦資訊受到極大的威脅,電腦中的密碼,個人資料等較機密的資料都有可能因此外洩,攻擊者也能透過這些 Worm 來控制受感染的電腦,進而攻擊更重要的目標。
從上述的演變看來,早期的病毒雖然難纏,但是至少影響的範圍小,要感染其他的系統除非透過磁碟片才有可能作得到。而現在的 Worm,直需要短短的幾個小時,可能就能讓整個網路全部癱瘓,影響範圍大,相對的這些病毒作者似乎就比較不在乎容不容易被發現了。
其實自從踏入資訊安全工作以來,至今處理過的病毒數百隻,而確定當時防毒軟體無法處理的未知病毒,也抓了近百隻。除了少數仍需要防毒廠商的協助,利用防毒軟體清除外,大多數的病毒都能夠直接手動移除。當然我的意思不是說防毒軟體可以不用裝了,我們仍然需要防毒軟體的協助,才能預防已知病毒的入侵,並且很快速的將這些病毒清除乾淨。更重要的是,了解這些病毒的特性,就能在面對這些病毒威脅時能夠輕鬆以對,而不用動不動就用重灌的手段來解決問題,甚至可以免於聽信網路上的謠傳,讓自己蒙受更大的威脅與傷害。
by Danny Lan
留言列表
