這個很能殺 病毒及間諜程式(圖是我做的喔)
看我的圖反白的地方 原本是英文 點那個可以變中文
2. 小紅傘
按這裡
英文好才推薦 不然一直上網查意思很累
3.avast
是中文的 功能也不錯
有7種防護
軟體版本:4.8.1227
軟體語言:繁體中文(內建27國語言)
官方網站:
直接下載:按這裡
免費取得序號:按這裡(合法、免費,一年使用期限)
|
新竹市科學城社區大學 :電腦基礎輕鬆學 |
課程教師:劉春生
第十週 多媒體介紹:CD、VCD、DVD、藍光格式說明,Windows Media Player使用:播放CD音樂、音樂檔,播放影片 線上音樂KKBox、影片網站Youtube介紹 防毒軟體介紹與病毒面面觀:如何安全上網、防止木馬程式侵入、容易中毒的郵件及檔案類型、防毒軟體更新的重要性。
CD-R:可錄光碟(Compact Disc-Recordable;CD-R),意思就是「可錄寫」的CD。不過,CD-R只可以寫一次,可作多次錄寫的CD,叫作CD-RW。
早期的CD-R用銀作塗層,容量只有650MB。後來推出保存期更長、用金作塗層的CD-R。不過由於後來金的價格不斷上漲,使生產商想盡辦法製作塗層更薄的碟片。
後來有機化學技術的進展,使CD-R可以無需採用金或銀作塗層,CD-R的價格不斷下降,而且使較高容量的CD-R(700MB)生產更划算。現時(2009年)在香港,一般牌子的CD-R只需要大約1港元就可以買到,使CD-R變得極為普遍。
CD-RW(Compact Disc ReWritable;CD-RW),意思是「可重複錄寫」的CD。CD-RW可作多次錄寫,只可作單次錄寫的CD,叫作CD-R。CD-RW的記錄層是一種「相變合金」跟CD-R中的「染色聚合體」不同。在一片新的CD-RW中相變合金以一種高反光性晶體形式存在,當紅光高功率鐳射光束對相變合金加熱,被加熱的部分便會變得黯淡無光,這就相當於一般光碟上的微坑。如果再次用紅光高功率的鐳射加熱相變合金,它又會變回晶體,這樣就可以再次寫入資料,這無形中提升了存儲備份的使用價值,但由於材料的特性關係,所以其改變次數有所限制,大約在一千次左右,以後期對鐳射光的反射率只有15﹪遠低於CD-R的65﹪,在此情況下只有使用MultiRead功能的光碟機才能正常讀取。
DVD-R(DVD recordable)是可寫入光碟格式之一,其容量為4.67GB=4,489.25 MB(共計2,298,496區段,每區段含有2,048位元組)143,656個ECC Block(Error Correction Code Block,錯誤糾正碼區塊)。它的容量比CD-R更大,雖然最初的標準容量僅為3.95GB,但一般容量則為4.7GB;而Pioneer公司亦開發了8.54GB的雙層DVD版本,並於2005年推出市場。DVD-R能夠寫入一次,相反DVD-RW則能夠寫入多次。
DVD-RW格式是由Pioneer於1997年秋季開發,它被大部分DVD播放器支援,而且獲得DVD論壇承認。與它在市場上競爭的同級產品為DVD+R(另外還有多次寫入的DVD+RW)。現在,很多能夠同時支援這兩種格式的DVD光碟機,一般都會註明DVD±R標記;而一些註明為Super Multi的光碟機更支援DVD-RAM。
DVD-RW,是可重寫光碟的一種,其儲存容量達4.7GB,與DVD-R相同。該格式由先鋒公司於1999年11月開發,並通過DVD論壇認證。相對於DVD-RAM不同的是,DVD-RW可使用於所有的DVD播放機上,而DVD-RAM僅可以使用於少數的日系DVD播放機上。
藍光光碟(Blu-ray Disc,簡稱BD)是DVD之後的下一代光碟格式之一,用以儲存高品質的影音以及高容量的資料儲存。須注意的是「藍光光碟」此一稱謂並非本產品的官方正式中文名稱,而是容易記住的非官方名稱,其沒有正式中文名稱。
藍光光碟是由SONY及松下電器等企業組成的「藍光光碟聯盟」(Blu-ray Disc Association:BDA)策劃的次世代光碟規格,並以SONY為首於2006年開始全面推動相關產品。
藍光光碟的命名是由於其採用波長405奈米的藍色雷射光束來進行讀寫操作(DVD採用650奈米波長的紅光讀寫器,CD則是採用780奈米波長的紅外線)。藍光光碟的英文名稱不使用「Blue-ray」的原因,是「Blue-ray Disc」這個詞在歐美地區流於通俗、口語化,並具有說明性意義,於是不能構成註冊商標申請的許可,因此藍光光碟聯盟去掉英文字e來完成商標註冊。
2008年2月19日,隨著HD DVD領導者東芝宣佈在3月底結束所有HD DVD相關業務,持續多年的下一代光碟格式之爭正式劃上句號,最終由SONY主導的藍光光碟勝出。
媒體播放程式
可以播放影片檔、聲音檔、影像檔、CD光碟、DVD光碟
常用播放程式有
Windows Media Player
Media Player Classic - Home Cinema
GOM Player
電腦病毒
電腦病毒種類
檔案傳播程式(也稱為寄生型病毒)會在記憶體中運作,並且通常會感染具有下列副檔名的可執行檔:*.COM、*.EXE、*.DRV、*.DLL、*.BIN、*.OVL、*.SYS。 每當執行中毒的檔案時,它們就會自行複製到其他的可執行檔內,並且在病毒啟動後長期留在記憶體中。
電腦病毒種類有上千種,但是大部份的病毒與開機型病毒類似,都是在 DOS 的 16 位元環境中運作。 然而,有些病毒已成功感染 Microsoft Windows、IBM OS/2 及 Apple Computer Macintosh 環境。
何謂電腦病毒
電腦病毒就是會自我複製的程式。要達到這個目的,它必須將自己附著在其他程式檔案(例如:.exe、.com、.dll)身上,每當被寄生的程式執行時,它也能跟著執行。除了簡單的複製外,病毒幾乎都會設法遂行另一目的: 進行破壞。
所謂「發病條件」,是指病毒可造成的毀壞,其範圍可從覆寫您硬碟分割表中所保留的重要資訊,到損毀您試算表中的數字等,並以聲音、圖片或令人憎惡的效果來嘲弄您。
不過,值得注意的是,即使未達「發病條件」,這時所殘留且威力未損的病毒將繼續繁衍--消耗系統記憶體、磁碟空間、降低網路的通訊流量,並且通常會減低效能。此外,病毒程式碼通常錯誤百出,很可能是難以理解的系統問題的來源。 所以,不論病毒是否有害,只要有它存在,系統運作就可能變得不穩定,絕對不能掉以輕心。
某些病毒可能與「邏輯炸彈」結合,會讓您歷經數月都難以發現。 這些病毒不會立即造成傷害,而只是不斷進行複製 -- 直到預定的發作日期或事件時,它們才會傷害被寄生的電腦,或透過網路散播發病條件。
如果要瞭解任何特定的病毒,或病毒的一般事項,您可以查閱趨勢科技的線上網路安全百科,網址: www.trendmicro.com/vinfo/zh-tw/。
開機型病毒
直到 1990 年代中期,開機型病毒都是最普遍的病毒類型,主要是經由軟碟片散播於 16 位元的 DOS 世界。 開機型病毒會感染軟碟片的開機磁區,並散播到使用者的硬碟上,也會感染使用者硬碟中的主開機記錄(MBR)。 硬碟中的 MBR 或開機磁區一旦中毒,病毒便會嘗試感染插入電腦中並進行存取的所有軟碟片的開機磁區。
開機型病毒隱藏在磁片的第一磁區,並且在系統檔案未載入之前先一步載入記憶體中。 如此就能完全控制 DOS 中斷,讓它得以擴散並造成損壞。
這些病毒通常會用它自己的內容取代 MBR 或 DOS 開機磁區的原始內容,並將磁區移至磁碟上的另一個區域。 清除開機磁區病毒的方式為,使用未中毒的系統軟碟片啟動機器,或是找出原始開機磁區並將之放回到磁碟上正確的位置。
爆炸型病毒
爆炸型病毒會將自己載入記憶體,感染其他檔案,然後自記憶體卸載;而其伴隨的病毒則會引誘執行檔去執行某個 .com 檔案。 例如:伴隨的病毒可能會建立一個隱藏式的 pgm.com 檔,因此當執行 pgm 指令時,便會先執行假的 pgm.com。 在真的 pgm.exe 檔啟動之前,.com 檔便會載入病毒程式碼。
巨集病毒
據國際電腦安全協會(ICSA)表示,在所有病毒中,巨集病毒目前大約佔 80 %,並且是電腦歷史中成長最迅速的病毒。不同於其他的病毒類型,巨集病毒與作業系統無關,並且很容易經由電子郵件附件檔、磁片、網站下載、檔案傳輸及合作應用程式散播。
然而,巨集病毒只對相關的應用程式發作。巨集病毒會感染如 Microsoft Word 和 Excel 之類應用程式隨附的巨集公用程式,這表示 Word 巨集病毒不會感染 Excel 文件,反之亦然。 巨集病毒會在應用程式中的資料檔案之間散播,如果不加以遏阻,最後可能會感染數百個檔案。
巨集病毒是以最容易上手的程式語言– Visual Basic – 撰寫而成,所以相當容易製作。 於使用檔案期間,巨集病毒可在不同時間點 (例如,當開啟、儲存、關閉或刪除檔案時) 散播病毒。
複合型病毒
複合型病毒的某些特徵與開機型病毒或檔案型病毒相同: 都會感染 .com 檔、.exe 檔及電腦硬碟的開機磁區。
當電腦以中毒的磁片開機時,複合型病毒通常會先常駐在記憶體中,然後再感染硬碟的開機磁區。 接者病毒可能感染整個電腦環境。這種病毒類別並沒有太多的形式。 不過,在所有的中毒事件中,此類病毒所佔的比率非常高。
千面人或變體病毒
千面人(變體)病毒的設計特點,在於每次執行後即變換結構,藉以躲過偵測 -- 只要一些千面人病毒,便可能衍生出百萬種化身。當然,這使得一般的防毒程式較難以偵測或攔截它們。 嚴格說來,千面人病毒不能算是另一種病毒;它們通常可歸屬於上述病毒的其中一種。
隱形飛機式病毒
隱形飛機式病毒正如其名所指,會攔截位於記憶體起頭處的中斷表,藉以控制主要的 DOS 層級指令。一旦達到目的,它們便可執行兩項重要任務:1) 擾亂中斷呼叫,進而控制系統,以及 2) 將自己隱形以免洩露行蹤。
可能中毒的檔案
最危險的檔案類型是:
.EXE、.COM、.XLS、.DOC、.MDB
因為上述檔案不需要特別的轉換便可能使電腦中毒 ─ 只要執行或開啟檔案,病毒便開始散播。 趨勢科技技術支援部門估計,99% 的病毒是針對這些檔案類型而撰寫的。
可能的病毒帶原者包括:
EXE -(可執行檔)
SYS -(可執行檔)
COM -(可執行檔)
DOC -(Microsoft Word)
DOT -(Microsoft Word)
XLS -(Microsoft Excel)
XLA -(Microsoft Excel)
XLT -(Microsoft Excel)
MDB -(Microsoft Access)
ZIP -(壓縮檔,美國常見)
ARJ -(壓縮檔,美國常見)
DRV -(裝置驅動程式)
0VL -(Windows 覆蓋檔)
BIN -(共用開機磁區映像檔)
SCR -(Microsoft 螢幕保護程式)
以上檔案類型多半並不危險(例如,.drv、.ovl 及 .bin);它們必須經過轉換才可執行。特洛伊木馬程式
1. 特洛伊木馬程式原理
一、 引言
特洛伊木馬是 Trojan Horse 的中譯,是借自"木馬屠城記"中那只木馬的名稱。古希臘有大軍圍攻特洛伊城,逾年無法攻下。 有人獻計製造一隻高二丈的大木馬假裝作戰馬神,攻擊數天後仍然無功,遂留下木馬拔營而去。城中得到解圍的消息,及得到"木馬"這個奇異的戰利品,全城飲酒狂歡。 到午夜時份,全城軍民盡入夢鄉,匿於木馬中的將士開暗門垂繩而下,開啟城門及四處縱火,城外伏兵湧入,焚屠特洛伊城。後世稱這只木馬為"特洛伊木馬",現今電腦術語借用其名,意思是"一經進入,後患無窮"。 特洛伊木馬原則上它和Laplink 、 PCanywhere 等程式一樣,只是一種遠端管理工具。 而且本身不帶傷害性,也沒有感染力,所以不能稱之為病毒(也有人稱之為第二代病毒);但卻常常被視之為病毒。原因是如果有人不當的使用,破壞力可以比病毒更強。
二、木馬攻擊原理
特洛伊木馬是一個程式,它駐留在目標電腦裡,可以隨電腦自動啟動並在某一連接進行偵聽,在對接收的資料識別後,對目標電腦執行特定的****作。 木馬,其實只是一個使用連接進行通訊的網路客戶/伺服器程式。
基本概念:網路客戶/伺服器模式的原理是一台主機提供伺服器(伺服端),另一台主機接受伺服器(客戶端)。 作為伺服端的主機一般會開啟一個預設的連接埠並進行監聽(Listen),如果有客戶端向伺服端的這一連接埠提出連接請求(Connect Request),伺服端上的相對應程式就會自動執行,來回覆客戶端的請求。對於特洛伊木馬,被控制端就成為一台伺服器。
三、特洛伊木馬隱身方法
木馬程式會想盡一切辦法隱藏自己,主要途徑有:在工作程序中隱形:將程式設為「系統伺服器」可以偽裝自己。 當然它也會悄無聲息地啟動,木馬會在每次使用者啟動時自動載入伺服器端,Windows系統啟動時自動載入應用程式的方法,「木馬」都會用上,如:win.ini、system.ini、註冊表等等都是「木馬」藏身的好地方。
在win.ini檔案中,在[WINDOWS]下面,「run=」和「load=」是可能載入「木馬」程式的途徑,一般情況下,它們的等號後面什麼都沒有,如果發現後面跟有路徑與檔案名稱不是您熟悉的啟動檔案,電腦就可能中「木馬」了。當然也得看清楚,因為好多「木馬」,如「AOL Trojan木馬」,它把自身偽裝成command.exe檔案,如果不注意可能不會發現它不是真正的系統啟動檔案。
MLaplink 、 PCanywhere 等程式一樣,只是一種遠端管理工具。 而且本身不帶傷害性,也沒有感染力,所以不能稱之為病毒(也有人稱之為第二代病毒);但卻常常被視之為病毒。原因是如果有人不當的使用,破壞力可以比病毒更強。
二、木馬攻擊原理
特洛伊木馬是一個程式,它駐留在目標電腦裡,可以隨電腦自動啟動並在某一連接進行偵聽,在對接收的資料識別後,對目標電腦執行特定的****作。 木馬,其實只是一個使用連接進行通訊的網路客戶/伺服器程式。
基本概念:網路客戶/伺服器模式的原理是一台主機提供伺服器(伺服端),另一台主機接受伺服器(客戶端)。 作為伺服端的主機一般會開啟一個預設的連接埠並進行監聽(Listen),如果有客戶端向伺服端的這一連接埠提出連接請求(Connect Request),伺服端上的相對應程式就會自動執行,來回覆客戶端的請求。對於特洛伊木馬,被控制端就成為一台伺服器。
三、特洛伊木馬隱身方法
木馬程式會想盡一切辦法隱藏自己,主要途徑有:在工作程序中隱形:將程式設為「系統伺服器」可以偽裝自己。 當然它也會悄無聲息地啟動,木馬會在每次使用者啟動時自動載入伺服器端,Windows系統啟動時自動載入應用程式的方法,「木馬」都會用上,如:win.ini、system.ini、註冊表等等都是「木馬」藏身的好地方。
在win.ini檔案中,在[WINDOWS]下面,「run=」和「load=」是可能載入「木馬」程式的途徑,一般情況下,它們的等號後面什麼都沒有,如果發現後面跟有路徑與檔案名稱不是您熟悉的啟動檔案,電腦就可能中「木馬」了。當然也得看清楚,因為好多「木馬」,如「AOL Trojan木馬」,它把自身偽裝成command.exe檔案,如果不注意可能不會發現它不是真正的系統啟動檔案。
在system.ini檔案中,在[BOOT]下面有個「shell=檔案名稱」。正確的檔案名稱應該是「explorer.exe」,如果不是「explorer.exe」,而是「shell= explorer.exe 程式名」,那麼後面跟著的那個程式就是「木馬」程式,就是說已經中「木馬」了。
在註冊表中的情況最複雜,使用regedit指令開啟註冊表編輯器,在點擊至:「HKEY-LOCAL-MACHINE Software Microsoft Windows Current Version Run」目錄下,檢視鍵值中有沒有自己不熟悉的自動啟動檔案,副檔名為EXE,這裡切記:有的「木馬」程式產生的檔案很像系統自身檔案,想使用偽裝矇混過關,如「Acid Battery v1.0木馬」,它將註冊表「HKEY-LOCAL-MACHINE SOFTWARE MicrosoftWindowsCurrentVersionRun」下的 Explorer 鍵值改為Explorer =「C:WINDOWSexpiorer.exe」,「木馬」程式與真正的Explorer之間只有「i」與「l」的差別。當然在註冊表中還有很多地方都可以隱藏「木馬」程式,如:
「HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run」、
「HKEY-USERS\Software\Microsoft\Windows\CurrentVersion\Run」
的目錄下都有可能,最好的辦法就是在
「HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」
下找到「木馬」程式的檔案名稱,再在整個註冊表中搜尋即可。
目前,除了上面介紹的隱身技術外,更新、更隱蔽的方法已經出現,那就是-驅動程式及動態連結技術。 驅動程式及動態連結技術和一般的木馬不同,它基本上擺脫了原有的木馬模式-監聽連接,而採用替代系統功能的方法(覆寫驅動程式或動態連結)。 這樣做的結果是:系統中沒有增加新的檔案(所以不能用掃瞄的方法搜尋)、不需要間@在system.ini檔案中,在[BOOT]下面有個「shell=檔案名稱」。正確的檔案名稱應該是「explorer.exe」,如果不是「explorer.exe」,而是「shell= explorer.exe 程式名」,那麼後面跟著的那個程式就是「木馬」程式,就是說已經中「木馬」了。
在註冊表中的情況最複雜,使用regedit指令開啟註冊表編輯器,在點擊至:「HKEY-LOCAL-MACHINE Software Microsoft Windows Current Version Run」目錄下,檢視鍵值中有沒有自己不熟悉的自動啟動檔案,副檔名為EXE,這裡切記:有的「木馬」程式產生的檔案很像系統自身檔案,想使用偽裝矇混過關,如「Acid Battery v1.0木馬」,它將註冊表「HKEY-LOCAL-MACHINE SOFTWARE MicrosoftWindowsCurrentVersionRun」下的 Explorer 鍵值改為Explorer =「C:WINDOWSexpiorer.exe」,「木馬」程式與真正的Explorer之間只有「i」與「l」的差別。當然在註冊表中還有很多地方都可以隱藏「木馬」程式,如:
「HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run」、
「HKEY-USERS\Software\Microsoft\Windows\CurrentVersion\Run」
的目錄下都有可能,最好的辦法就是在
「HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」
下找到「木馬」程式的檔案名稱,再在整個註冊表中搜尋即可。
目前,除了上面介紹的隱身技術外,更新、更隱蔽的方法已經出現,那就是-驅動程式及動態連結技術。 驅動程式及動態連結技術和一般的木馬不同,它基本上擺脫了原有的木馬模式-監聽連接,而採用替代系統功能的方法(覆寫驅動程式或動態連結)。 這樣做的結果是:系統中沒有增加新的檔案(所以不能用掃瞄的方法搜尋)、不需要開啟新的連接(所以不能用連接監視的方法搜尋)、沒有新的程序(所以使用程序檢視的方法發現不了它,也不能用kill程序的方法終止它的執行)。 在正常執行時木馬幾乎沒有任何的症狀,而一旦木馬的控制端向被控端發出特定的訊息後,隱藏的程式就立即開始運作。
四、 特洛伊木馬防禦原理
知道了木馬的攻擊原理和隱身方法,我們就可以採取措施進行防禦了。
1.連接埠掃瞄
連接埠掃瞄是檢查遠端機器有無木馬的最好辦法,連接埠掃瞄的原理非常簡單,掃瞄程式嘗試連接某個連接埠,如果成功,則說明連接埠開放,如果失敗或超過某個特定的時間(逾時),則說明連接埠關閉。但對於驅動程式/動態連結木馬,掃瞄連接是不起作用的。
2.檢視連接
檢視連接埠和連接掃瞄的原理基本相同,不過是在本地電腦上使用netstat -a檢視所有的TCP/UDP連接,檢視連接要比連接埠掃瞄快,但同樣是無法查出驅動程式/動態連結木馬,而且僅能在本地電腦使用。
3.檢查註冊表
上面在討論木馬的啟動方式時已經提到,木馬可以使用註冊表啟動(現在大部分的木馬都是使用註冊表啟動的,至少也把註冊表作為一個自我保護的方式),那麼,我們同樣可以使用檢查註冊表來發現木馬在註冊表裡留下的痕跡。
4.尋找檔案
尋找木馬特定的檔案也是一個常用的方法,木馬的一個特徵檔案是kernl32.exe,另一個是sysexlpr.exe,只要刪除了這兩個檔案,木馬就已經不起作用了。
2. 冰河木馬所包含的二支程式:
G_Server.exe伺服端程式。
G_Client.exe客戶漂啟新的連接(所以不能用連接監視的方法搜尋)、沒有新的程序(所以使用程序檢視的方法發現不了它,也不能用kill程序的方法終止它的執行)。 在正常執行時木馬幾乎沒有任何的症狀,而一旦木馬的控制端向被控端發出特定的訊息後,隱藏的程式就立即開始運作。
四、 特洛伊木馬防禦原理
知道了木馬的攻擊原理和隱身方法,我們就可以採取措施進行防禦了。
1.連接埠掃瞄
連接埠掃瞄是檢查遠端機器有無木馬的最好辦法,連接埠掃瞄的原理非常簡單,掃瞄程式嘗試連接某個連接埠,如果成功,則說明連接埠開放,如果失敗或超過某個特定的時間(逾時),則說明連接埠關閉。但對於驅動程式/動態連結木馬,掃瞄連接是不起作用的。
2.檢視連接
檢視連接埠和連接掃瞄的原理基本相同,不過是在本地電腦上使用netstat -a檢視所有的TCP/UDP連接,檢視連接要比連接埠掃瞄快,但同樣是無法查出驅動程式/動態連結木馬,而且僅能在本地電腦使用。
3.檢查註冊表
上面在討論木馬的啟動方式時已經提到,木馬可以使用註冊表啟動(現在大部分的木馬都是使用註冊表啟動的,至少也把註冊表作為一個自我保護的方式),那麼,我們同樣可以使用檢查註冊表來發現木馬在註冊表裡留下的痕跡。
4.尋找檔案
尋找木馬特定的檔案也是一個常用的方法,木馬的一個特徵檔案是kernl32.exe,另一個是sysexlpr.exe,只要刪除了這兩個檔案,木馬就已經不起作用了。
2. 冰河木馬所包含的二支程式:
G_Server.exe伺服端程式。
G_Client.exe客戶端程式。
2002年元旦,大陸推出了冰河8.0正式版。作者聲明本軟體主要用途是配合網管進行遠程監控,凡使用本軟件惡意入侵他人電腦或網路者,後果自行負責。我們將伺服端程式植入210.x.x.x電腦內,利用168.192.0.2電腦執行客戶端程式呼叫。免費防毒軟體
1. a-squared Free
直接下載:按這裡
免費取得序號:按這裡(合法、免費,一年使用期限)