淺析計(jì)算機(jī)病毒及其檢測(cè)

 摘 要 本文通過(guò)對(duì)計(jì)算機(jī)病毒的原理與特征進(jìn)行簡(jiǎn)要梳理,從計(jì)算機(jī)病毒的發(fā)展歷史到其病毒的特征及其危害性,作一個(gè)完整性的認(rèn)識(shí),從而建立起計(jì)算機(jī)安全的概念,并提出預(yù)防計(jì)算機(jī)病毒的辦法。

    關(guān)鍵詞 計(jì)算機(jī)病毒 特征 危害性 檢測(cè)

    中圖分類號(hào):TP393.08文獻(xiàn)標(biāo)識(shí)碼:A

    隨著計(jì)算機(jī)技術(shù)的發(fā)展,計(jì)算機(jī)已經(jīng)深入到社會(huì)的各個(gè)方面,無(wú)論是學(xué)習(xí)還是工作,無(wú)論是國(guó)家建設(shè)還是軍事國(guó)防,它的戰(zhàn)略地位和作用已被人們充分認(rèn)識(shí)。但是,計(jì)算機(jī)技術(shù)發(fā)展的同時(shí)也帶來(lái)了一系列社會(huì)問(wèn)題與安全威脅,特別是計(jì)算機(jī)病毒的出現(xiàn),不管是對(duì)個(gè)人還是對(duì)企業(yè),或者是對(duì)國(guó)家都造成了很大的危害。并且計(jì)算機(jī)病毒的品種和數(shù)量與日俱增,形式不斷變化,破壞性也進(jìn)一步加強(qiáng),而對(duì)于一般的計(jì)算機(jī)管理人員和一般用戶對(duì)計(jì)算機(jī)病毒沒(méi)有清楚的認(rèn)識(shí),一方面導(dǎo)致在使用計(jì)算機(jī)的時(shí)候具有很大的心理負(fù)擔(dān),嚴(yán)重干擾了他們?nèi)粘５墓ぷ骱蛯W(xué)習(xí),另一方面又使使用者陷入不利的位置,無(wú)法避免計(jì)算機(jī)病毒的侵害。因此,對(duì)計(jì)算機(jī)病毒原理的了解和認(rèn)識(shí),掌握計(jì)算機(jī)病毒的工作原理、特征以及檢測(cè)與防治對(duì)使用者而言已經(jīng)迫在眉睫。

    1 計(jì)算機(jī)病毒的基本概念

    圖1 病毒的靜態(tài)結(jié)構(gòu)圖2 病毒的動(dòng)態(tài)結(jié)構(gòu)

    計(jì)算機(jī)病毒這個(gè)術(shù)語(yǔ)最早由L.M.Aleman引入,而以形式化的定義來(lái)對(duì)計(jì)算機(jī)病毒進(jìn)行概括的則是F.Cohen。計(jì)算機(jī)病毒在F.Cohen的形式化定義里很難以自然語(yǔ)言進(jìn)行描述,但他同時(shí)也指出,計(jì)算機(jī)病毒是“一個(gè)程序,它能夠通過(guò)把自身(或自己的一個(gè)變體)包含在其他程序中來(lái)進(jìn)行傳染。通過(guò)這種傳染性質(zhì),一個(gè)病毒能夠傳播到整個(gè)的計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)(通過(guò)用戶的授權(quán)感染他們的程序)。每個(gè)被病毒傳染的程序表現(xiàn)得像一個(gè)病毒,因此傳染不斷擴(kuò)散。”①而實(shí)質(zhì)上,隨著計(jì)算機(jī)技術(shù)的發(fā)展和對(duì)計(jì)算機(jī)病毒的研究,我們可以把計(jì)算機(jī)病毒定義為一種在計(jì)算機(jī)運(yùn)行過(guò)程能把自身精確復(fù)制和有修改的復(fù)制到其他程序體內(nèi)的一種程序,它的本質(zhì)是一種非授權(quán)的程序加載,剽竊系統(tǒng)軟硬件資源作為其生存、繁殖和擴(kuò)散的保障。一般情況下,計(jì)算機(jī)病毒主要由以下三部分組成:病毒引導(dǎo)模塊、病毒傳染模塊、病毒激發(fā)與表現(xiàn)模塊,如圖1、2所示:②

    正是通過(guò)病毒內(nèi)部的這三個(gè)模塊,由引導(dǎo)模塊把病毒導(dǎo)入系統(tǒng),而由傳染模塊向計(jì)算機(jī)的其他部件進(jìn)行傳染,再由激發(fā)模塊激活計(jì)算機(jī)病毒對(duì)計(jì)算機(jī)實(shí)施干擾或破壞,從而使計(jì)算機(jī)不能正常工作,導(dǎo)致系統(tǒng)癱瘓,信息喪失。

    計(jì)算機(jī)病毒按傳染對(duì)象及其載體可分為操作系統(tǒng)型病毒及文件型病毒。操作系統(tǒng)型病毒在系統(tǒng)引導(dǎo)時(shí)先于正常系統(tǒng)的引導(dǎo),將其病毒程序?qū)�入系統(tǒng)中,從而傳染至軟盤引導(dǎo)扇區(qū)、硬盤主引導(dǎo)扇區(qū)和硬盤DOS分區(qū)引導(dǎo)扇區(qū)。當(dāng)病毒截得一定的中斷向量時(shí),由激發(fā)模塊激發(fā)病毒,從而向內(nèi)向外進(jìn)行傳染,在滿足一定條件時(shí),便向載體計(jì)算機(jī)進(jìn)行破壞。而文件型病毒一般是對(duì)系統(tǒng)中的可執(zhí)行文件進(jìn)行感染,這種病毒的依附有其自主性,它可以選擇可執(zhí)行文件的首部、中部或者尾部進(jìn)行依附,就目前的病毒來(lái)看,一般是首部或尾部。在病毒依附于可執(zhí)行文件之后,一旦可執(zhí)行文件運(yùn)行,病毒便能首先獲得系統(tǒng)的控制權(quán),以此完成自身病毒的傳染和對(duì)系統(tǒng)的破壞,當(dāng)激發(fā)模塊完成病毒的傳染和對(duì)計(jì)算機(jī)的破壞之后,繼而修改可執(zhí)行文件。

    2 計(jì)算機(jī)病毒的特征

    計(jì)算機(jī)病毒的感染與運(yùn)行產(chǎn)生對(duì)計(jì)算機(jī)破壞的作用是由計(jì)算機(jī)病毒的特征所決定的。我們從下面這個(gè)典型的計(jì)算機(jī)病毒的偽碼序列就可看出它的基本特征:(見(jiàn)圖3)

    以上的偽碼序列我們可以清楚的觀察出計(jì)算機(jī)病毒具有傳染性、破壞性以及偽裝性。

    傳染性是計(jì)算機(jī)病毒的顯著特色,也是衡量一個(gè)程序是不是計(jì)算機(jī)病毒的重要標(biāo)志,它具有很強(qiáng)的再生機(jī)制,只要一接觸便會(huì)被傳染,無(wú)論是否是可執(zhí)行程序,而傳染上之后,計(jì)算機(jī)病毒一般會(huì)隱藏在可執(zhí)行文件中,或者是首部或者尾部,只要一運(yùn)行,便又迅速傳染其他文件。

    破壞性是計(jì)算機(jī)病毒被設(shè)計(jì)出來(lái)的主要目的,更是它的主要特征。當(dāng)計(jì)算機(jī)系統(tǒng)感染病毒之后,病毒便會(huì)根據(jù)設(shè)計(jì)者的指示,或者破壞系統(tǒng)資源,或者破壞系統(tǒng)中的數(shù)據(jù),又或者干擾計(jì)算機(jī)的正常運(yùn)行以竊取用戶的作息,甚至破壞整個(gè)系統(tǒng),使計(jì)算機(jī)系統(tǒng)的運(yùn)行遭到全面的摧毀。概括起來(lái),計(jì)算機(jī)的攻擊和破壞主要集中在三個(gè)方面:③(1)感染和破壞計(jì)算機(jī)硬盤或軟盤的引導(dǎo)扇區(qū),改寫Flash BIOS芯片中的系統(tǒng)程序;(2)感染系統(tǒng)文件和可執(zhí)行文件;(3)刪除或更改軟盤和硬盤中的文件。

    偽裝性是計(jì)算機(jī)病毒寄生于計(jì)算機(jī)的某一個(gè)合法程序與系統(tǒng),悄悄隱藏起來(lái),在用戶不察覺(jué)的情況下對(duì)計(jì)算機(jī)其他文件進(jìn)行傳染,在完成自己傳染和對(duì)計(jì)算機(jī)系統(tǒng)的破壞后,又把控制權(quán)交回宿主程序,繼續(xù)完成宿主程序的功能。在很多情況下,它會(huì)覆蓋多種文件或程序,以此隱藏它們的惡意功能,這就是它們的偽裝性。

    當(dāng)然,計(jì)算機(jī)病毒還有其他的特征,如非授權(quán)可執(zhí)行性、潛伏性、可觸發(fā)性等,但這些在實(shí)質(zhì)上可以歸于以上三個(gè)主要特性。

    圖3

    3 計(jì)算機(jī)病毒的檢測(cè)

    遭受計(jì)算機(jī)病毒后,計(jì)算機(jī)會(huì)有一些顯著的表現(xiàn),如電腦運(yùn)行速度降低;程序訪問(wèn)磁盤頻次增加;程序訪問(wèn)不應(yīng)訪問(wèn)的磁盤驅(qū)動(dòng)器;磁盤可用空間迅速減少;正常運(yùn)行程序時(shí)出現(xiàn)異常現(xiàn)象或無(wú)法運(yùn)行,屏幕出現(xiàn)不正常文字、圖畫;顯示屏出現(xiàn)異常文字及黑洞、小球、兩點(diǎn)等畫面;文件異常消失;文件部分丟失或整個(gè)文件被替代;出現(xiàn)不明來(lái)源的數(shù)據(jù)文件目錄④等等。

    因此,用戶在使用計(jì)算機(jī)的過(guò)程中很有必要對(duì)計(jì)算機(jī)病毒進(jìn)行檢測(cè)。下面介紹幾種檢測(cè)方法:

    (1)通過(guò)行為異常來(lái)檢測(cè),即behavioral abnormality;在這種方法里,將一個(gè)病毒監(jiān)控器軟件(virus montor)裝下機(jī)器,用它來(lái)監(jiān)視計(jì)算機(jī)系統(tǒng)在日常應(yīng)用中的不同行為。這種監(jiān)控器軟件知道病毒有一些試圖傳染和逃避檢測(cè)的典型活動(dòng),如試圖寫根扇區(qū)、修改中斷向量、寫系統(tǒng)文件等。這種方法最大的好處在于它適用于所有的病毒,包括已知與未知的,并且在病毒的傳染前就發(fā)現(xiàn)它,及時(shí)提醒用戶。

    (2)通過(guò)仿真來(lái)檢測(cè),即emulation;所謂仿真檢測(cè)就是被檢測(cè)的程序由病毒檢測(cè)程序來(lái)進(jìn)行仿真,它用來(lái)決定程序的運(yùn)行行為。這種方法與前面行為異常的檢測(cè)的方法不同在于,監(jiān)控器軟件的監(jiān)控是讓程序真正運(yùn)行的,而該方法只在特定樣本輸入的情況下進(jìn)行仿真,在仿真過(guò)程如一旦發(fā)現(xiàn)一個(gè)程序試圖修改中斷向量或打開(kāi)敏感文件,則該程序便就是可疑的。這種檢測(cè)有一個(gè)缺點(diǎn)就是檢測(cè)的結(jié)果不夠精確,不可能總是正確地判定一個(gè)程序是否是計(jì)算機(jī)病毒。

    (3)通過(guò)效驗(yàn)和來(lái)檢測(cè),即checksum;這種方法是為了保護(hù)程序不被修改或破壞,一個(gè)基于程序內(nèi)容的效驗(yàn)和被計(jì)算機(jī)出來(lái)并以加密方式存貯在程序內(nèi)部或外部。通過(guò)校驗(yàn)和這樣的方式,由于加密使用意向函數(shù)(one-way function),病毒傳染后要偽造一個(gè)同樣的檢驗(yàn)和在計(jì)算上基本上不可能,從而檢測(cè)出是否遭受計(jì)算機(jī)病毒的感染與攻擊。

    (4)通過(guò)動(dòng)態(tài)的程序的完整性來(lái)檢測(cè),即program integrity;這種方法是保證可執(zhí)行程序在運(yùn)行時(shí)的完整性,或在程序的完整性和運(yùn)行之間檢測(cè)是否傳染。這種方法的基本途徑在于針對(duì)一個(gè)事先定義的程序“顆粒”,先計(jì)算一個(gè)加密的校驗(yàn)和,事先對(duì)每個(gè)基本塊計(jì)算一個(gè)加密的效驗(yàn)和,并把它存在基本塊⑤中。當(dāng)每一次控制流入基本塊的頂部,重新計(jì)算校驗(yàn)和,并把加密后的校驗(yàn)和與存貯的檢驗(yàn)和比較,這就能檢測(cè)出基本塊內(nèi)部指令的完整性,從而知道是否感染計(jì)算機(jī)病毒。

    (5)通過(guò)特征碼掃描來(lái)檢測(cè),即signature scanning;這種方法是檢測(cè)計(jì)算機(jī)系統(tǒng)中或可執(zhí)行程序中是否感染病毒最常見(jiàn)也是最簡(jiǎn)單的方法,但這種方法只能針對(duì)已知病毒,對(duì)未知的病毒無(wú)法檢測(cè),也不能直接應(yīng)用于自我加密的病毒。

    (6)通過(guò)手工檢測(cè);對(duì)一些未知的病毒或已經(jīng)變形的病毒,直截了當(dāng)?shù)姆椒ň褪菍?duì)每一個(gè)未知的病毒或變形的病毒逐行編制一套特殊的程序去檢測(cè)不同的代碼序列。當(dāng)然,這種方法在普通用戶中并不實(shí)用,極費(fèi)時(shí)間又代價(jià)昂貴。

【淺析計(jì)算機(jī)病毒及其檢測(cè)】相關(guān)文章：

檢測(cè)和防護(hù)計(jì)算機(jī)病毒論文05-05

英語(yǔ)定語(yǔ)淺析及其翻譯04-28

對(duì)沖基金及其監(jiān)管淺析04-26

淺析染料廢水及其治理04-25

淺析汽車排放性能的檢測(cè)04-28

無(wú)損檢測(cè)技術(shù)及其應(yīng)用04-30

淺析RNAi技術(shù)及其應(yīng)用進(jìn)展05-02

淺析俄語(yǔ)在中國(guó)的發(fā)展及其展望05-02

路面雷達(dá)檢測(cè)系統(tǒng)及其應(yīng)用04-26

項(xiàng)目功能差異及其檢測(cè)方法05-01