iT自救術─Windows 7防毒基本概念

來源：http://www.ithome.com.tw/itadm/article.php?c=58010


Windows環境並不安全，漏洞很多，而且容易中毒中木馬……這其實是某種程度的妥協。如果把整個電腦系統設計的十分安全穩固──Microsoft應該可以做到，但這樣你就不想用電腦了

我常聽到一些「比較專業」的IT人員說，「使用者裝了防毒軟體也就算了，但是一點防毒的概念都沒有，以為這樣就不會中毒嗎？」
但是，一般人聽到這種話，大概會有如下的想法：

「是啊？不然哩？」

在前兩期裡，本欄大致說明了「安裝防毒軟體」和「USB儲存裝置」的安全防護原則，但這期我想要更進一步說明病毒的運作原理，以及防毒軟體的保全之道，希 望對於一般企業的電腦使用者，能提供一些夠用的「防毒概念」。也許不能「保證」什麼，但至少你對於電腦發生的事情能夠有個梗概性的認識吧！

精巧脆弱的開機程序
用電腦都得先開機，從打開電源一直到作業系統載入完成，這就是俗稱的「開機程序」。由於病毒大多會設法讓自己成為「開機程序」的一部分（以便寄生並感染），所以你得先知道這整個程序有哪些步驟：

1. 電源開啟，如果硬體一切正常則進行下一個步驟

2. BIOS（基本輸入/輸出系統）執行例行開機檢查，然後以預設的儲存裝置接管開機程序

3. 依照業界公認的規格，預設的開機裝置（通常是硬碟機）開始進行軟體開機程序，依序載入作業系統的核心、驅動程式……

4. 作業系統核心載入後，還可以依據設定，載入使用者指定的各種常駐程式（防毒軟體、IM軟體……）

上述的每一個開機程序中，從這一個步驟轉到下一個步驟，都會留下一個「掛鉤點」。比方說，主機板上的BIOS系統要把執行儲存媒體的開機程序，它會從固定的位置去執行開機命令，這固定的位置是哪裡？我們一般人不用知道，但這位置鐵定是公開的規格。

所以，寫作業系統的人知道儲存媒體開機的位置，寫磁碟維護程式的人也知道，寫工具程式的人知道，而寫病毒的人……當然也知道，所以就有所謂的「開機型病毒」。

不過，現代這種「開機型病毒」很罕見了，主要是因為開機後，載入的作業系統都相當龐大且複雜，這類病毒難以在這麼複雜的開機狀況下還能正常運作。目前大部分的病毒，大多選擇在作業系統這一塊進行破壞。

不能開機的可能性有……
不管是Windows、Mac OS、Linux還是BSD，作業系統的起始載入都是由精巧的循序步驟所構成，一環接著一環。作業系統通常必須設定處理器的運作模式，載入系統核心、驅動 程式和繪圖介面，然後載入常駐程式，最後再把使用權交給使用者。如果這一連串「精巧」卻也「脆弱」的過程出了一點小差錯，系統載入不能，使用者就會說「啊 我這臺電腦掛了/當機了/葛屁了/不能開了/死掉了……種種說法，不一而足：

● 驅動程式出了問題

● 核心程序出了問題

● 儲存OS核心程序的磁碟出了問題

● 使用者的常駐程式出了問題

只要有一個小環節出錯，就可能讓作業系統無法正常載入──幸好這種狀況不會常常發生。

到此為止，上述的概念聽起來都似乎很簡單？

請引進「記憶體」的概念
無論是哪個作業系統，等開機程序完成後，使用者就可以執行各種應用軟體。比方說，你可以執行瀏覽器、文書處理程式、影片播放程式……，具體的行為就是用滑鼠在應用程式的圖示上，連續按兩下滑鼠左鍵，是的，就是這麼的「easy」。

只是一般人時常忘記的是：電腦裡有個很重要的「元件」，稱為「記憶體」。當使用者按下電源，執行開機程序時，這程序很重要的一個步驟就是：把作業系統的核心「從儲存媒體載入到記憶體裡面」。

作業系統的核心載入到記憶體裡面之後，依照開發廠商的設計，會不斷地維護著自身核心和使用者應用程式的正常運作，這個過程一樣是精巧而脆弱的。此外，由於 程式是「人」寫的，若是寫程式的人「亂寫」（無論是有意還是無意的），應用程式有可能會造成作業系統核心程序被破壞而導致當機。

至於病毒呢？

病毒會希望自己能夠有下列能力：

● 常駐在記憶體中，把自己偽裝成作業系統的一部分

● 偽裝的過程中，最好讓任何人、任何軟體都發現不到

● 盡可能不要干擾原先程式的運作，以免自己被察覺

● 盡可能用各種方法，把自己（病毒）附身到別人（別臺電腦）身上

● 如果有必要，可以作一些對作者有用（或是好玩）的事情，包括竊取個資、造成破壞……

可執行檔學問多
好，如果病毒要把自身藏到記憶體中，首先它得讓你去「執行」它。

問題是，哪個人會傻傻執行病毒──如果病毒的額頭上寫著「我是病毒，來喔來喔，來執行我」，那你會去碰它嗎？鐵定不會吧！（也許會有例外……但我不想討論這種例外。）

所以，病毒的寫作者會想方設法、處心積慮的讓使用者在不知不覺中執行之，以達成「感染」的目的。

所以，「可執行檔」，就成了大部分病毒「寄生」的主要目標了。

所謂的可執行檔，就是我們所說的「程式」、「軟體」，通常這類軟體也是一個（或數個）檔案所構成。前面已經說過，軟體要載入到記憶體中，才能被使用者所執行、運用之，因此軟體的作者會使用開發工具將「原始程式」編譯成「可執行檔」，然後運送給使用者，讓使用者可以執行之。

以前，可執行檔只有固定幾種格式：副檔名是.COM、.EXE、.BAT的，這些都是可執行檔。到了Windows 7時代，這還是沒變。不過，Windows後來引進了很多「比較罕見」的可執行檔案格式。比方說，.DLL是「動態連結程式庫」，它也是一種「必須依附在 主程式」底下的一種可執行檔案；.SCR是螢幕保護程式，它也是一種特殊功能的可執行檔；.MSI（Windows Installer Package）通常見於「安裝程式」，但是……它也是一種可執行檔；有些敘述檔，像是.VBS、.JS……，它們也是可執行檔案。


這裡有一個「可執行檔案」的副檔名列表，看到這類副檔名就要小心了，有害的東西就可能藏身於其中。