計(jì)算機(jī)病毒檢測(cè)管理新發(fā)展

　　文章講述了計(jì)算機(jī)病毒及其檢測(cè)要點(diǎn)事項(xiàng)等等。本文選自：《計(jì)算機(jī)應(yīng)用》，《計(jì)算機(jī)應(yīng)用》創(chuàng)刊于1981年，是中國(guó)計(jì)算機(jī)學(xué)會(huì)會(huì)刊。以介紹計(jì)算機(jī)應(yīng)用技術(shù)為重點(diǎn)，以推動(dòng)經(jīng)濟(jì)發(fā)展和科技進(jìn)步為宗旨，以促進(jìn)計(jì)算機(jī)開發(fā)應(yīng)用創(chuàng)新為目標(biāo)。

　　摘要：計(jì)算機(jī)病毒按傳染對(duì)象及其載體可分為操作系統(tǒng)型病毒及文件型病毒。操作系統(tǒng)型病毒在系統(tǒng)引導(dǎo)時(shí)先于正常系統(tǒng)的引導(dǎo),將其病毒程序?qū)胂到y(tǒng)中,從而傳染至軟盤引導(dǎo)扇區(qū)、硬盤主引導(dǎo)扇區(qū)和硬盤DOS分區(qū)引導(dǎo)扇區(qū)。當(dāng)病毒截得一定的中斷向量時(shí),由激發(fā)模塊激發(fā)病毒,從而向內(nèi)向外進(jìn)行傳染,在滿足一定條件時(shí),便向載體計(jì)算機(jī)進(jìn)行破壞。

　　關(guān)鍵詞：計(jì)算機(jī)病毒,計(jì)算機(jī)檢測(cè),計(jì)算機(jī)工程,計(jì)算機(jī)論文

　　1 計(jì)算機(jī)病毒的基本概念

　　圖1 病毒的靜態(tài)結(jié)構(gòu)圖2 病毒的動(dòng)態(tài)結(jié)構(gòu)

　　計(jì)算機(jī)病毒這個(gè)術(shù)語(yǔ)最早由L.M.Aleman引入,而以形式化的定義來(lái)對(duì)計(jì)算機(jī)病毒進(jìn)行概括的則是F.Cohen。計(jì)算機(jī)病毒在F.Cohen的形式化定義里很難以自然語(yǔ)言進(jìn)行描述,但他同時(shí)也指出,計(jì)算機(jī)病毒是“一個(gè)程序,它能夠通過把自身(或自己的一個(gè)變體)包含在其他程序中來(lái)進(jìn)行傳染。通過這種傳染性質(zhì),一個(gè)病毒能夠傳播到整個(gè)的計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)(通過用戶的授權(quán)感染他們的程序)。每個(gè)被病毒傳染的程序表現(xiàn)得像一個(gè)病毒,因此傳染不斷擴(kuò)散。”①而實(shí)質(zhì)上,隨著計(jì)算機(jī)技術(shù)的發(fā)展和對(duì)計(jì)算機(jī)病毒的研究,我們可以把計(jì)算機(jī)病毒定義為一種在計(jì)算機(jī)運(yùn)行過程能把自身精確復(fù)制和有修改的復(fù)制到其他程序體內(nèi)的一種程序,它的本質(zhì)是一種非授權(quán)的程序加載,剽竊系統(tǒng)軟硬件資源作為其生存、繁殖和擴(kuò)散的保障。一般情況下,計(jì)算機(jī)病毒主要由以下三部分組成:病毒引導(dǎo)模塊、病毒傳染模塊、病毒激發(fā)與表現(xiàn)模塊,如圖1、2所示:②

　　正是通過病毒內(nèi)部的這三個(gè)模塊,由引導(dǎo)模塊把病毒導(dǎo)入系統(tǒng),而由傳染模塊向計(jì)算機(jī)的其他部件進(jìn)行傳染,再由激發(fā)模塊激活計(jì)算機(jī)病毒對(duì)計(jì)算機(jī)實(shí)施干擾或破壞,從而使計(jì)算機(jī)不能正常工作,導(dǎo)致系統(tǒng)癱瘓,信息喪失。

　　而文件型病毒一般是對(duì)系統(tǒng)中的可執(zhí)行文件進(jìn)行感染,這種病毒的依附有其自主性,它可以選擇可執(zhí)行文件的首部、中部或者尾部進(jìn)行依附,就目前的病毒來(lái)看,一般是首部或尾部。在病毒依附于可執(zhí)行文件之后,一旦可執(zhí)行文件運(yùn)行,病毒便能首先獲得系統(tǒng)的控制權(quán),以此完成自身病毒的傳染和對(duì)系統(tǒng)的破壞,當(dāng)激發(fā)模塊完成病毒的傳染和對(duì)計(jì)算機(jī)的破壞之后,繼而修改可執(zhí)行文件。

　　2 計(jì)算機(jī)病毒的特征

　　計(jì)算機(jī)病毒的感染與運(yùn)行產(chǎn)生對(duì)計(jì)算機(jī)破壞的作用是由計(jì)算機(jī)病毒的特征所決定的。我們從下面這個(gè)典型的計(jì)算機(jī)病毒的偽碼序列就可看出它的基本特征:(見圖3)

　　以上的偽碼序列我們可以清楚的觀察出計(jì)算機(jī)病毒具有傳染性、破壞性以及偽裝性。

　　傳染性是計(jì)算機(jī)病毒的顯著特色,也是衡量一個(gè)程序是不是計(jì)算機(jī)病毒的重要標(biāo)志,它具有很強(qiáng)的再生機(jī)制,只要一接觸便會(huì)被傳染,無(wú)論是否是可執(zhí)行程序,而傳染上之后,計(jì)算機(jī)病毒一般會(huì)隱藏在可執(zhí)行文件中,或者是首部或者尾部,只要一運(yùn)行,便又迅速傳染其他文件。

　　破壞性是計(jì)算機(jī)病毒被設(shè)計(jì)出來(lái)的主要目的,更是它的主要特征。當(dāng)計(jì)算機(jī)系統(tǒng)感染病毒之后,病毒便會(huì)根據(jù)設(shè)計(jì)者的指示,或者破壞系統(tǒng)資源,或者破壞系統(tǒng)中的數(shù)據(jù),又或者干擾計(jì)算機(jī)的正常運(yùn)行以竊取用戶的作息,甚至破壞整個(gè)系統(tǒng),使計(jì)算機(jī)系統(tǒng)的運(yùn)行遭到全面的摧毀。概括起來(lái),計(jì)算機(jī)的攻擊和破壞主要集中在三個(gè)方面:③(1)感染和破壞計(jì)算機(jī)硬盤或軟盤的引導(dǎo)扇區(qū),改寫Flash BIOS芯片中的系統(tǒng)程序;(2)感染系統(tǒng)文件和可執(zhí)行文件;(3)刪除或更改軟盤和硬盤中的文件。

　　偽裝性是計(jì)算機(jī)病毒寄生于計(jì)算機(jī)的某一個(gè)合法程序與系統(tǒng),悄悄隱藏起來(lái),在用戶不察覺的情況下對(duì)計(jì)算機(jī)其他文件進(jìn)行傳染,在完成自己傳染和對(duì)計(jì)算機(jī)系統(tǒng)的破壞后,又把控制權(quán)交回宿主程序,繼續(xù)完成宿主程序的功能。在很多情況下,它會(huì)覆蓋多種文件或程序,以此隱藏它們的惡意功能,這就是它們的偽裝性。

　　當(dāng)然,計(jì)算機(jī)病毒還有其他的特征,如非授權(quán)可執(zhí)行性、潛伏性、可觸發(fā)性等,但這些在實(shí)質(zhì)上可以歸于以上三個(gè)主要特性。

　　3 計(jì)算機(jī)病毒的檢測(cè)

　　遭受計(jì)算機(jī)病毒后,計(jì)算機(jī)會(huì)有一些顯著的表現(xiàn),如電腦運(yùn)行速度降低;程序訪問磁盤頻次增加;程序訪問不應(yīng)訪問的磁盤驅(qū)動(dòng)器;磁盤可用空間迅速減少;正常運(yùn)行程序時(shí)出現(xiàn)異?，F(xiàn)象或無(wú)法運(yùn)行,屏幕出現(xiàn)不正常文字、圖畫;顯示屏出現(xiàn)異常文字及黑洞、小球、兩點(diǎn)等畫面;文件異常消失;文件部分丟失或整個(gè)文件被替代;出現(xiàn)不明來(lái)源的數(shù)據(jù)文件目錄④等等。

　　因此,用戶在使用計(jì)算機(jī)的過程中很有必要對(duì)計(jì)算機(jī)病毒進(jìn)行檢測(cè)。下面介紹幾種檢測(cè)方法:

　　(1)通過行為異常來(lái)檢測(cè),即behavioral abnormality;在這種方法里,將一個(gè)病毒監(jiān)控器軟件(virus montor)裝下機(jī)器,用它來(lái)監(jiān)視計(jì)算機(jī)系統(tǒng)在日常應(yīng)用中的不同行為。這種監(jiān)控器軟件知道病毒有一些試圖傳染和逃避檢測(cè)的典型活動(dòng),如試圖寫根扇區(qū)、修改中斷向量、寫系統(tǒng)文件等。這種方法最大的好處在于它適用于所有的病毒,包括已知與未知的,并且在病毒的傳染前就發(fā)現(xiàn)它,及時(shí)提醒用戶。

　　(2)通過仿真來(lái)檢測(cè),即emulation;所謂仿真檢測(cè)就是被檢測(cè)的程序由病毒檢測(cè)程序來(lái)進(jìn)行仿真,它用來(lái)決定程序的運(yùn)行行為。這種方法與前面行為異常的檢測(cè)的方法不同在于,監(jiān)控器軟件的監(jiān)控是讓程序真正運(yùn)行的,而該方法只在特定樣本輸入的情況下進(jìn)行仿真,在仿真過程如一旦發(fā)現(xiàn)一個(gè)程序試圖修改中斷向量或打開敏感文件,則該程序便就是可疑的。這種檢測(cè)有一個(gè)缺點(diǎn)就是檢測(cè)的結(jié)果不夠精確,不可能總是正確地判定一個(gè)程序是否是計(jì)算機(jī)病毒。

　　(3)通過效驗(yàn)和來(lái)檢測(cè),即checksum;這種方法是為了保護(hù)程序不被修改或破壞,一個(gè)基于程序內(nèi)容的效驗(yàn)和被計(jì)算機(jī)出來(lái)并以加密方式存貯在程序內(nèi)部或外部。通過校驗(yàn)和這樣的方式,由于加密使用意向函數(shù)(one-way function),病毒傳染后要偽造一個(gè)同樣的檢驗(yàn)和在計(jì)算上基本上不可能,從而檢測(cè)出是否遭受計(jì)算機(jī)病毒的感染與攻擊。

　　(4)通過動(dòng)態(tài)的程序的完整性來(lái)檢測(cè),即program integrity;這種方法是保證可執(zhí)行程序在運(yùn)行時(shí)的完整性,或在程序的完整性和運(yùn)行之間檢測(cè)是否傳染。這種方法的基本途徑在于針對(duì)一個(gè)事先定義的程序“顆粒”,先計(jì)算一個(gè)加密的校驗(yàn)和,事先對(duì)每個(gè)基本塊計(jì)算一個(gè)加密的效驗(yàn)和,并把它存在基本塊⑤中。當(dāng)每一次控制流入基本塊的頂部,重新計(jì)算校驗(yàn)和,并把加密后的校驗(yàn)和與存貯的檢驗(yàn)和比較,這就能檢測(cè)出基本塊內(nèi)部指令的完整性,從而知道是否感染計(jì)算機(jī)病毒。

　　(5)通過特征碼掃描來(lái)檢測(cè),即signature scanning;這種方法是檢測(cè)計(jì)算機(jī)系統(tǒng)中或可執(zhí)行程序中是否感染病毒最常見也是最簡(jiǎn)單的方法,但這種方法只能針對(duì)已知病毒,對(duì)未知的病毒無(wú)法檢測(cè),也不能直接應(yīng)用于自我加密的病毒。

　　(6)通過手工檢測(cè);對(duì)一些未知的病毒或已經(jīng)變形的病毒,直截了當(dāng)?shù)姆椒ň褪菍?duì)每一個(gè)未知的病毒或變形的病毒逐行編制一套特殊的程序去檢測(cè)不同的代碼序列。當(dāng)然,這種方法在普通用戶中并不實(shí)用,極費(fèi)時(shí)間又代價(jià)昂貴。

《計(jì)算機(jī)病毒檢測(cè)管理新發(fā)展》

上一篇：工業(yè)工程里電子技術(shù)新改革制度

下一篇：現(xiàn)代鐵路工程管理建設(shè)