什麼是空腔病毒？

腔病毒是一種相對不常見的病毒，它會將自身複製到文件中未使用的空間中，從而在不影響所感染文件大小的情況下進行傳播。它們有時也被稱為“空間填充”病毒。許多文件都有空格，在執行它們所屬的文件時通常會忽略這些空格。這些空間的存在不是問題——當然，除非它們被病毒感染。

由於文件大小未發生任何變化，因此無法僅通過檢查其屬性來了解文件是否已被更改——相反，您必須將其與以前未受感染的版本進行比較才能確定。空間填充物自 1998 年以來一直存在，並且相當難以發現。在 Windows 95/98 時代前後有幾次非常成功的病毒浪潮。

它是如何工作的？

為了感染文件，空間填充器首先需要找到其中有空白空間的文件。因此，它需要掃描空白區域。當它在某個文件中找到空白空間時，它會復制自己，填充空間而不會使文件變大。這使得防病毒程序很難檢測到。

只要病毒一直在尋找足夠大的空間來複製自己，它就會繼續這樣做——如果它找不到任何地方或者它已經感染了所有可能的選項，那麼它可能會閒置直到被觸發或者只是繼續掃描直到一個新文件適合它出現。因此，它會在後台消耗處理能力，從而減慢其他事情的速度。

這種技術依賴於幾乎專門尋找已知病毒簽名的原始防病毒技術。通過感染現有文件，生成的感染簽名對於文件和病毒的組合是唯一的。

一個真實的例子

1998 年，一種名為 CIH 的病毒展示了這種功能。它被暱稱為切爾諾貝利，因為它的有效載荷被偶然設置為在十多年前切爾諾貝利災難發生的日期觸發。該病毒專門針對可移植執行或 PE 文件中的漏洞。它拆分代碼以巧妙地填補這些空白，並在文件頂部插入一個表格來跟踪其代碼的位置，以便它可以正常運行。

然後，CIH 將在觸發日期用零覆蓋存儲的第一個兆字節。這通常會破壞分區表或主引導記錄。丟失使它看起來好像整個驅動器已被擦除。但是，數據是可恢復的。該病毒還會嘗試擦除 BIOS 芯片。這僅在某些設備上成功，而在其他設備上則不然。在帶有已擦除 BIOS 芯片的設備上，芯片需要重新編程或更換。另一種選擇是購買一台新電腦。

據估計，CIH 病毒已造成 10 億美元的損失，並感染了全球 6000 萬台計算機。該病毒由台灣大同大學學生陳英浩編寫。Chén 聲稱編寫該病毒是為了挑戰反病毒開發人員提出的過於大膽的效率聲明。然後它被同學們發布了，儘管目前還不清楚這是故意的還是偶然的。Chén 向大學道歉並為 CIH 發布了殺毒軟件。沒有提出任何指控，因為當時台灣缺乏計算機犯罪立法，也沒有受害者提出訴訟。

預防

預防蛀牙或填充物病毒的最佳方法是最大限度地降低接觸風險。一個好的步驟是確保您下載或安裝的所有程序和文件都來自官方、可信賴的來源。歷史上防病毒程序往往難以檢測空腔病毒。不過，現代防病毒技術要先進得多。讓您的防病毒軟件保持最新並使用最新的病毒特徵碼進行更新仍然很重要，這樣可以更輕鬆地檢測和刪除已知病毒。

這種病毒已經見不到了。防病毒技術已經有了很大的進步，使得檢測這類事情變得更加容易。此外，病毒製造者還採用了更有創意的方法來避開防病毒軟件。

結論

空腔病毒，也稱為空間填充病毒，是一種將自身隱藏在其他文件的空隙中的惡意軟件。這種技術很難用基本的文件簽名檢查來檢測。它還避免調整受感染文件的大小，使其更難檢測。最著名的例子是 CIH，它使用了這種技術，效果很好。它根據需要將代碼拆分成多個間隔，並在文件頂部插入一個表格以跟踪其代碼的位置。現代反病毒技術能夠識別這種病毒，因此不常用。