電腦病毒感染系統並實現常駐是一個精密的過程,通常涉及對作業系統結構的深度入侵。在 Windows 11 這種具備高度安全防護(如 Secure Boot 和 ELAM)的系統中,病毒的行為模式通常如下:
1. 初始感染:寄生於可執行程式 (Infection)
病毒首先需要一個載體。當一個受感染的.exe 檔案被執行時,病毒程式碼會比原始程式優先執行。- 入口點修改 (Entry Point Obfuscation): 病毒會修改 PE 檔案(Windows 可執行檔案格式)的標頭,將「入口點」指向病毒所在的區段。
- 程式碼注入: 病毒將自身的惡意指令插入到目標程式的空白區域(Code Caves),或者新增一個區段(Section)。
- 執行權移交: 病毒執行完感染邏輯或後門指令後,會將控制權跳回原始程式的起始位置,讓使用者察覺不出異狀。
2. 滲透啟動程序:實現「常駐」 (Persistence)
為了在每次開機時都能自動執行,病毒會尋求在 Windows 啟動鏈中取得一席之地。
- 註冊表劫持 (Registry Run Keys): 最常見的方式是修改註冊表路徑,例如:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run - 建立排程工作 (Scheduled Tasks): 利用系統排程器,在特定時間或系統啟動時執行病毒程式碼。
- DLL 側載 (DLL Side-Loading): 病毒會放置一個偽裝的惡意 DLL 檔案在合法程式(如系統服務)的資料夾中。當合法程式啟動時,會誤載入惡意 DLL。
- BOOT 級別入侵 (進階): 較複雜的病毒(如 Bootkits)會嘗試修改 EFI 系統分區 (ESP) 中的引導檔案。雖然 Windows 11 的 Secure Boot 會驗證簽章來阻擋此類行為,但若安全機制被關閉或存在韌體漏洞,病毒就能在核心載入前就取得控制權。
3. 系統常駐與隱匿 (Residency)
一旦成功啟動,病毒會嘗試在記憶體中長期存在並躲避偵測。
- 進程注入 (Process Injection): 病毒不會以自己的名義執行,而是將程式碼注入到合法的系統程序(如
explorer.exe或svchost.exe)中,隱藏在正常的系統活動中。 - Rootkit 技術: 透過攔截系統呼叫(System Calls),病毒可以對作業系統「說謊」。例如,當你開啟工作管理員時,系統會過濾掉病毒的進程;當你查看資料夾時,隱藏病毒檔案。
4. 自我複製與擴散 (Propagation)
常駐於記憶體後,病毒會尋找新的目標進行感染。
- 檔案掃描: 病毒會掃描本機硬碟、外部儲存裝置(USB)或網路共享資料夾中的所有
.exe檔案。 - 即時監控: 利用 Windows 的 API 監控檔案寫入活動。每當你下載新程式或執行新軟體時,病毒就立刻對其進行上述的「入口點修改」。
- 網路擴散: 某些病毒會利用網路漏洞(如 SMB 協定)或透過電子郵件附件,將自身副本發送到其他電腦。
Windows 11 的防禦機制
在 2026 年的技術環境下,Windows 11 預設的多層防禦讓病毒感染變得困難:
- VBS (虛擬化安全性): 將核心與潛在的惡意程式隔離在不同的虛擬化空間中。
- TPM 2.0 & Secure Boot: 確保啟動鏈中的每一個組件都經過原廠簽章認證,未經授權的啟動檔案會導致開機失敗。
- Microsoft Defender (EDR): 具備行為分析功能。即便病毒成功隱藏在合法程序中,一旦它開始掃描硬碟並修改其他檔案,其異常行為就會觸發警報並被阻斷。
