計算機病毒防禦技術範文
計算機病毒防禦技術範文
一、計算機病毒的定義及其特點和分類
(一)計算機病毒的定義
在《中華人民共和國計算機資訊系統安全保護條例》中,計算機病毒(ComputerVirus)被明確定義為:“編制或者在計算機程式中插入的破壞計算機功能或者破壞資料,影響計算機使用並且能夠自我複製的一組計算機指令或者程式程式碼”。而在一般教科書及通用資料中被定義為:利用計算機軟體與硬體的缺陷,由被感染機內部發出的破壞計算機資料並影響計算機正常工作的一組指令集或程式程式碼。
歷史上,計算機病毒最早出現在70年代DavidGerrold科幻小說WhenH.A.R.L.I.E.wasOne.最早科學定義出現在1983:在FredCohen(南加大)的博士論文“計算機病毒實驗”“一種能把自己(或經演變)注入其它程式的計算機程式”啟動區病毒,宏(macro)病毒,指令碼(script)病毒也是相同概念傳播機制同生物病毒類似.生物病毒是把自己注入細胞之中。
其實,和其他生物病毒一樣,計算機病毒有獨特的複製能力,它可以很快地蔓延,又常常難以根除。它們能把自身附著在各種型別的檔案上。當檔案被複制或從一個使用者傳送到另一個使用者時,它們就隨同檔案一起蔓延開來。
(二)計算機病毒的特點
1、寄生性:計算機病毒寄生在其他程式之中,當執行這個程式時,病毒就起破壞作用,而在未啟動這個程式之前,它是不易被人發覺的。
2、傳染性:計算機病毒不但本身具有破壞性,更有害的是具有傳染性,一旦病毒被複制或產生變種,其速度之快令人難以預防。傳染性是病毒的基本特徵。在生物界,病毒透過傳染從一個生物體擴散到另一個生物體。在適當的條件下,它可得到大量繁殖,並使被感染的生物體表現出病症甚至死亡。同樣,計算機病毒也會透過各種渠道從已被感染的計算機擴散到未被感染的計算機,在某些情況下造成被感染的計算機工作失常甚至癱瘓。與生物病毒不同的是,計算機病毒是一段人為編制的計算機程式程式碼,這段程式程式碼一旦進入計算機並得以執行,它就會搜尋其他符合其傳染條件的程式或儲存介質,確定目標後再將自身程式碼插入其中,達到自我繁殖的目的。只要一臺計算機染毒,如不及時處理,那麼病毒會在這臺機子上迅速擴散,其中的大量檔案(一般是可執行檔案)會被感染。而被感染的檔案又成了新的傳染源,再與其他機器進行資料交換或透過網路接觸,病毒會繼續進行傳染。正常的計算機程式一般是不會將自身的程式碼強行連線到其他程式之上的。而病毒卻能使自身的程式碼強行傳染到一切符合其傳染條件的未受到傳染的程式之上。計算機病毒可透過各種可能的渠道,如軟盤、計算機網路去傳染其他的計算機。當您在一臺機器上發現了病毒時,往往曾在這臺計算機上用過的軟盤已感染上了病毒,而與這臺機器相聯網的其他計算機也許也被該病毒染上了。是否具有傳染性是判別一個程式是否為計算機病毒的最重要條件。病毒程式透過修改磁碟扇區資訊或檔案內容並把自身嵌入到其中的方法達到病毒的傳染和擴散。被嵌入的程式叫做宿主程式;
3、潛伏性:有些病毒像定時炸彈一樣,讓它什麼時間發作是預先設計好的。比如黑色星期五病毒,不到預定時間一點都覺察不出來,等到條件具備的時候一下子就爆炸開來,對系統進行破壞。一個編制精巧的計算機病毒程式,進入系統之後一般不會馬上發作,可以在幾周或者幾個月內甚至幾年內隱藏在合法檔案中,對其他系統進行傳染,而不被人發現,潛伏性愈好,其在系統中的存在時間就會愈長,病毒的傳染範圍就會愈大。潛伏性的第一種表現是指,病毒程式不用專用檢測程式是檢查不出來的,因此病毒可以靜靜地躲在磁碟或磁帶裡呆上幾天,甚至幾年,一旦時機成熟,得到執行機會,就又要四處繁殖、擴散,繼續為害。潛伏性的第二種表現是指,計算機病毒的內部往往有一種觸發機制,不滿足觸發條件時,計算機病毒除了傳染外不做什麼破壞。觸發條件一旦得到滿足,有的在螢幕上顯示資訊、圖形或特殊標識,有的則執行破壞系統的操作,如格式化磁碟、刪除磁碟檔案、對資料檔案做加密、封鎖鍵盤以及使系統死鎖等;
4、隱蔽性:計算機病毒具有很強的隱蔽性,有的可以透過病毒軟體檢查出來,有的根本就查不出來,有的時隱時現、變化無常,這類病毒處理起來通常很困難。
5、破壞性:計算機中毒後,可能會導致正常的程式無法執行,把計算機內的檔案刪除或受到不同程度的損壞。通常表現為:增、刪、改、移。
6、計算機病毒的可觸發性:病毒因某個事件或數值的出現,誘使病毒實施感染或進行攻擊的特性稱為可觸發性。為了隱蔽自己,病毒必須潛伏,少做動作。如果完全不動,一直潛伏的話,病毒既不能感染也不能進行破壞,便失去了殺傷力。病毒既要隱蔽又要維持殺傷力,它必須具有可觸發性。病毒的觸發機制就是用來控制感染和破壞動作的頻率的。病毒具有預定的觸發條件,這些條件可能是時間、日期、檔案型別或某些特定資料等。病毒執行時,觸發機制檢查預定條件是否滿足,如果滿足,啟動感染或破壞動作,使病毒進行感染或攻擊;如果不滿足,使病毒繼續潛伏。
(三)計算機病毒的分類
1、根據病毒存在的媒體,病毒可以劃分為網路病毒,檔案病毒,引導型病毒。網路病毒透過計算機網路傳播感染網路中的可執行檔案,檔案病毒感染計算機中的檔案(如:COM,EXE,DOC等),引導型病毒感染啟動扇區(Boot)和硬碟的系統引導扇區(MBR),還有這三種情況的混合型,例如:多型病毒(檔案和引導型)感染檔案和引導扇區兩種目標,這樣的病毒通常都具有複雜的演算法,它們使用非常規的辦法侵入系統,同時使用了加密和變形演算法。
2、根據病毒傳染的方法可分為駐留型病毒和非駐留型病毒,駐留型病毒感染計算機後,把自身的記憶體駐留部分放在記憶體(RAM)中,這一部分程式掛接系統呼叫併合併到作業系統中去,他處於啟用狀態,一直到關機或重新啟動.非駐留型病毒在得到機會啟用時並不感染計算機記憶體,一些病毒在記憶體中留有小部分,但是並不透過這一部分進行傳染,這類病毒也被劃分為非駐留型病毒。
3、根據病毒破壞的能力可劃分為以下幾種:
無害型:除了傳染時減少磁碟的可用空間外,對系統沒有其它影響。
無危險型:這類病毒僅僅是減少記憶體、顯示影象、發出聲音及同類音響.
危險型:這類病毒在計算機系統操作中造成嚴重的錯誤.
非常危險型:這類病毒刪除程式、破壞資料、清除系統記憶體區和作業系統中重要的資訊。這些病毒對系統造成的危害,並不是本身的演算法中存在危險的呼叫,而是當它們傳染時會引起無法預料的和災難性的破壞。由病毒引起其它的程式產生的錯誤也會破壞檔案和扇區,這些病毒也按照他們引起的破壞能力劃分。一些現在的無害型病毒也可能會對新版的DOS、Windows和其它作業系統造成破壞。例如:在早期的病毒中,有一個“Denzuk”病毒在360K磁碟上很好的工作,不會造成任何破壞,但是在後來的高密度軟盤上卻能引起大量的資料丟失。
4、根據病毒特有的演算法,病毒可以劃分為:(1)伴隨型病毒,這一類病毒並不改變檔案本身,它們根據演算法產生EXE檔案的伴隨體,具有同樣的名字和不同的副檔名(COM),例如:XCOPY.EXE的伴隨體是。病毒把自身寫入COM檔案並不改變EXE檔案,當DOS載入檔案時,伴隨體優先被執行到,再由伴隨體載入執行原來的EXE檔案。(2)“蠕蟲”型病毒,透過計算機網路傳播,不改變檔案和資料資訊,利用網路從一臺機器的記憶體傳播到其它機器的記憶體,計算網路地址,將自身的病毒透過網路傳送。有時它們在系統存在,一般除了記憶體不佔用其它資源。(3)寄生型病毒除了伴隨和“蠕蟲”型,其它病毒均可稱為寄生型病毒,它們依附在系統的引導扇區或檔案中,透過系統的功能進行傳播,按其演算法不同可分為:練習型病毒,病毒自身包含錯誤,不能進行很好的傳播,例如一些病毒在除錯階段。(4)詭秘型病毒它們一般不直接修改DOS中斷和扇區資料,而是透過裝置技術和檔案緩衝區等DOS內部修改,不易看到資源,使用比較高階的技術。利用DOS空閒的資料區進行工作。(5)變型病毒(又稱幽靈病毒)這一類病毒使用一個複雜的演算法,使自己每傳播一份都具有不同的內容和長度。它們一般的作法是一段混有無關指令的解碼演算法和被變化過的病毒體組成。
二、計算機病毒傳播途徑及中毒之後的主要症狀
(一)計算機病毒的藏身之處和傳播途徑
病毒隱藏在它們認為有可能被執行的地方。它們經常隱藏在下列地方:
可執行檔案:病毒“貼附”在這些檔案上,使其能被執行。
引導扇區:這是磁碟和硬碟中的一個特別扇區,它包含一個程式,當啟動電腦時該程式將被執行。
表格和文件:某些程式允許內建一些宏檔案,宏檔案隨著該檔案的開啟而被執行。病毒利用宏的存在進入其中。
Java小程式和ActiveX控制元件:這是兩個最新隱藏病毒的地方。Java小程式和ActiveX控制元件都是與網頁相關的小程式,透過訪問包含它們的網頁,可以執行這些程式。
壓縮檔案:壓縮檔案是一個包含其他檔案的檔案。壓縮檔案包含的任何一個檔案都可能被病毒感染,因為這些檔案不是處於正常格式下,所以很難發現其中的病毒。
電子郵件:電子郵件資訊可能包含感染病毒的檔案。此外,電子郵件資訊通常屬於一個資訊資料庫,所有這一切使偵測病毒變得非常困難。
(二)計算機中病毒之後的主要症狀
1、計算機系統執行速度突然明顯減慢。
2、計算機系統經常無故發生宕機現象。
3、計算機系統中的檔案長度突然發生變化。
4、計算機儲存的容量異常減少。
5、系統引導速度減慢。
6、丟失檔案或檔案損壞。
7、計算機螢幕上出現異常顯示。
8、計算機系統的蜂鳴器出現異常聲響。
9、磁碟卷標發生變化。
10、系統不識別硬碟。
11、對儲存系統異常訪問。
12、鍵盤輸入異常。
13、檔案的日期、時間、屬性等發生變化。
14、檔案無法正確讀取、複製或開啟。
15、命令執行出現錯誤。
16、虛假報警。
17、換當前盤。有些病毒會將當前盤切換到C盤。
18、時鐘倒轉。有些病毒會命名系統時間倒轉,逆向計時。
19、WINDOWS作業系統無故頻繁出現錯誤。
20、系統異常重新啟動。
21、一些外部裝置工作異常。
22、異常要求使用者輸入密碼。
23、WORD或EXCEL提示執行“宏”。
24、是不應駐留記憶體的程式駐留記憶體。
三、計算機病毒的發展趨勢
從某種意義上說,21世紀是計算機病毒與反病毒激烈角逐的時代,而智慧化、人性化、隱蔽化、多樣化也在逐漸成為新世紀計算機病毒的發展趨勢。
1、智慧化
與傳統計算機病毒不同的是,許多新病毒(包括蠕蟲、g客工具和木馬等惡意程式)是利用當前最新的程式語言與程式設計技術實現的,它們易於修改以產生新的變種,從而逃避反病毒軟體的搜尋。例如,“愛蟲”病毒是用VBScript語言編寫的,只要透過Windows下自帶的編輯軟體修改病毒程式碼中的一部分,就能輕而易舉地製造出病毒變種,從而可以躲避反病毒軟體的追擊。
另外,新病毒利用Java、ActiveX、VBScript等技術,可以潛伏在HTML頁面裡,在上網瀏覽時觸發。“Kakworm”病毒雖然早在2004年1月就被發現,但它的感染率一直居高不下,原因就是由於它利用ActiveX控制元件中存在的缺陷進行傳播,因此裝有IE5或Office2000的計算機都可能被感染。這個病毒的出現使原來不開啟帶毒郵件附件而直接予以刪除的防郵件病毒的方法完全失效。更令人擔心的是,一旦這種病毒被賦予其他計算機病毒的特性,其危害很有可能超過任何現有的計算機病毒。
2、人性化
更確切地說,也可以將人性化稱為誘惑性。現在的計算機病毒越來越注重利用人們的心理因素,如好奇、貪婪等。前一陣肆虐一時的“裸妻”病毒郵件的主題就是英文的“裸妻”,郵件正文為“我的妻子從未這樣”,郵件附件中攜帶一個名為“裸妻”的可執行檔案,使用者一旦執行這個檔案,病毒就被啟用。最近出現的My-babypic病毒是透過可愛的寶寶照片傳播病毒的。而“庫爾尼科娃”病毒的大流行則是利用了“網壇美女”庫爾尼科娃難以抵擋的魅力。
3、隱蔽化
相比較而言,新一代病毒更善於隱藏和偽裝自己。其郵件主題會在傳播中改變,或者具有極具誘惑性的主題和附件名。許多病毒會偽裝成常用程式,或者在將病毒程式碼寫入檔案內部的同時不改變檔案長度,使使用者防不勝防。
主頁病毒的附件homepagehtmlvbs並非一個HTML文件,而是一個惡意的VB指令碼程式,一旦被執行,就會向用戶地址簿中的所有電子郵件地址傳送帶毒的電子郵件副本。再比如“維羅納”病毒,該病毒將病毒寫入郵件正文,而且主題和附件名極具誘惑性,其主題眾多,更替頻繁,使使用者很容易由於麻痺大意而感染。此外,matrix等病毒會自動隱藏和變形,甚至阻止受害使用者訪問反病毒網站和向記錄病毒的反病毒地址傳送電子郵件,無法下載經過更新和升級後的`相應防毒軟體或釋出病毒警告訊息。
4、多樣化
在新病毒層出不窮的同時,老病毒依然充滿活力,並呈現多樣化的趨勢。1999年對普遍發作的計算機病毒分析顯示,雖然新病毒不斷產生,但較早的病毒發作仍很普遍。1999年報道最多的病毒是1996年就首次發現併到處傳播的宏病毒Laroux。新病毒具有可執行程式、指令碼檔案、HTML網頁等多種形式,並正向電子郵件、網上賀卡、卡通圖片、ICQ、OICQ等發展。
更為棘手的是,新病毒的手段更加陰狠,破壞性更強。據計算機經濟研究中心的報告顯示,在2000年5月“愛蟲”病毒大流行的前5天,病毒就已經造成了67億美元的損失。而該中心1999年的統計資料顯示,到1999年末病毒損失只是120億美元。
5、專用病毒生成工具的出現
以前的病毒製作者都是專家,編寫病毒的目的是想表現自己高超的技術。但是“庫爾尼科娃”病毒的設計者不同,他只是修改了下載的VBS蠕蟲孵化器。據報道,VBS蠕蟲孵化器被人們從VXHeavens上下載了15萬次以上。正是由於這類工具太容易得到,使得現在新病毒出現的頻率超出以往的任何時候。
6、攻擊反病毒軟體
病毒發展的另一個趨勢表現為專門攻擊反病毒軟體和其他安全措施的病毒的出現。目前被發現的“求職信”病毒就能夠使許多反病毒軟體癱瘓。越來越多的病毒能夠在反病毒軟體對其查殺之前獲取比反病毒軟體更高的執行等級,從而阻礙反病毒軟體的執行並使之癱瘓。
正如計算機病毒的出現本身就是人禍而非天災一樣,目前病毒氾濫的一個很重要的原因就是計算機使用者的防範意識薄弱,因此一定要防患於未然,及時掌握反病毒知識,更新自己的反病毒軟體及病毒庫。
四、計算機病毒的判別方式
長期以來,人們把防毒軟體作為最主要的反病毒工具,防毒軟體幾乎成了所有反病毒產品的代名詞,防毒軟體賴以生存的“特徵值掃描技術”也幾乎成了所有反病毒技術的代名詞。正因如此,防毒軟體對新病毒的防範始終滯後於病毒出現的重大缺陷,似乎成為既合情又合理的邏輯,導致人們普遍認為反病毒產品不可能主動防禦新病毒,甚至有人認為,想研製一種主動防禦的反病毒產品,就如同要為一種未知的疾病製作特效藥一樣異想天開。
然而防毒軟體本身基本上不能發現新病毒,這是眾所周知的客觀事實。但是,如果人不能發現新病毒,同為自然人的反病毒公司研發人員也就不可能發現新病毒,由此帶來的問題是,防毒軟體每天升級的是什麼,反病毒公司每次宣稱發現的新病毒又是誰來發現的?回答是肯定的,人可以發現新病毒。新病毒一定是人透過相應的方法判斷出來的。
從上個世紀八十年代病毒出現後,反病毒技術就有兩種思路,一種是採用靜態掃描方式,即特徵值掃描技術,另一種採用動態分析方法。特徵值掃描是目前國際上反病毒公司普遍採用的查毒技術。其核心是從病毒體中提取病毒特徵值構成病毒特徵庫,防毒軟體將使用者計算機中的檔案或程式等目標,與病毒特徵庫中的特徵值逐一比對,判斷該目標是否被病毒感染。反病毒公司把捕獲到並已處理的病毒稱為已知病毒,否則就稱為未知病毒。只有採用特徵值掃描技術時,才區分已知和未知病毒。業界常常有人用人類病毒的醫治來解釋計算機病毒防範。然而,與生物界的病毒複雜性不同,計算機病毒是人編寫的,遠比生物界的病毒簡單。計算機病毒概念是人依據程式行為來定義的,因此識別病毒的另一種方法是採用動態分析,直接透過程式的行為判斷它是否是病毒。儘管防毒軟體主要採用靜態掃描方式,但是反病毒公司發現新病毒並不是採用靜態掃描方式,而恰恰是採用動態分析方法。即便是反病毒公司收集到可疑程式時,也不能確定是不是新病毒,為了做出準確判斷,必須先執行可疑程式,然後再根據程式的行為判斷是否是病毒。
五、結束語
人類進入了資訊社會,創造了電子計算機,同時也創造了電子計算機病毒,福禍同降。
隨著計算機網路的發展,計算機病毒對資訊保安的威脅日益嚴重,我們一方面要掌握對現在的計算機病毒的預防技術,另一方面要加強對未來病毒發展趨勢的研究,提前做好技術上的儲備,嚴陣以待,真正做到防患於未然。我相信在不久的將來,計算機病毒的防治不再是建立在已有病毒的查殺之上,而是對病毒的主動防禦,跳出傳統技術路線,建立以行為自動監控、行為自動分析、行為自動診斷為新思路的防禦體系,讓病毒成為歷史。