認識典型病毒結構：簡單病毒設計開發原理

認識典型病毒結構：簡單病毒設計開發原理

一直以來我們都分享了很多不同的病毒新知以及攻擊手法，想必大家都已對各種網絡威脅有一定的理解！那麼在今次的文章之中，我們將會再進一步，分享一下一隻最簡單的病毒是如何編寫以及其相關結構。不過在此之前，我們需要先了解一下一隻病毒是如何在系統之中發揮影響力，這對於日後在系統之中準確找尋出潛藏的病毒，會有一定的幫助。

首先病毒要 100% 完成其入侵任務，不論甚麼類型的病毒，其流程都是分為幾個步驟，包括是複製分發、潛伏以及執行，而傳統的防毒軟件一般都會針對這幾個流程進行阻截，因此理論上我們只需能讓病毒順利完成這三個步驟，便可對目標進行強大破壞；而作為管理員要做的，就是在這三個步驟的前期進行阻截。

步驟一：複製、分發

首先要擴大病毒的影響力，第一件事就是要通過一些手段，誘使公眾下載並執行附有病毒的程式，例如最簡單的就是通過討論區、社交網絡又或者是傳統的電郵作分發，務求令病毒能散落到全球每個角落。

步驟二：潛伏

下載到系統的病毒，透過駭客的一些手段誘使用户主動執行，這時候病毒已處於被啟動的狀態，此時便最考驗病毒的能力！事關病毒需要時間在系統之中自我複製，因此愈強的隱形潛伏能力，往往亦是病毒影響力大與少的一個指標。

步驟三：爆發、破壞

最後當潛伏了一段時期後，便會在系統之中爆發，這時用户便會有感，例如感受到系統明顯的緩慢；與稍後我們介紹用作測試的病毒，其不同之處在於正常用作真正攻擊的病毒，在這階段除了會影響系統的效能之外，更將會對系統造成破壞。

簡單的病毒結構

ECHO OFF
IF EXIST c:\hkitblog.bat GOTO xxxxx
GOTO yyyyy
:zzzzzz
c:
REN hkitblog.bat itblog.bat
COPY a:\hkitblog.bat c:\
ECHO Attack!
:yyyyy
a:
ECHO ON
/AUTO
PAUSE

上述編程刻意經過修改，因此不完全正確，而且本例子採用 Floppy 作媒介，因此基本上已不能應用到現代的 PC 之中！我們只希望展示出最簡單的病毒結構，從而讓大家看看病毒的攻擊原理。

根據上述的例子，其背後的運作是：當我們使用了磁碟（Floppy）啟動 PC 時，假如 c:\ 本身都有一個名為 hkitblog.bat 的文件，則將有關文件變更名稱為 itblog.bat，然後再自動將本身位於磁碟的 hkitblog.bat 複製到 c:\ 並執行 ECHO 顯示文字 Attack!。當然這部份如果改為非顯示文字，而是執行指令，例如執行 format c:，便會直接對系統做成破壞。

上述例子說明了一隻最傳統的病毒本身的基本結構，只要能了解病毒的結構，對於發現潛藏在系統之中的病毒都能夠較容易辨識並找出來；當然，今次介紹的方法只是作為學術研究，在現今每秒都有新病毒出現的情況之下，要有效揪出或防禦病毒入侵，最快且有效率的方法都是安裝防毒軟件，讓專業的軟件為你的系統安全把關。

鳴謝：Lapcom