前言:想要寫出一篇引人入勝的文章?我們特意為您整理了計(jì)算機(jī)病毒檢驗(yàn)技術(shù)分析范文,希望能給你帶來靈感和參考,敬請(qǐng)閱讀。
1概述
“計(jì)算機(jī)病毒”一詞最早用來表達(dá)此意是在弗雷德•科恩(FredCohen)1984年的論文《電腦病毒實(shí)驗(yàn)》中,隨著網(wǎng)絡(luò)的不斷延伸以及人們對(duì)計(jì)算機(jī)的依賴程度的加深,計(jì)算機(jī)病毒的危害程度也呈現(xiàn)幾何倍數(shù)增長(zhǎng)。1999年的“Melissa”、2000年的“Iloveyou”、2003年的“沖擊波Blaster”,以及我國(guó)2006年著名的“熊貓燒香病毒”,其造成的經(jīng)濟(jì)損失都是上億美元。伴隨著病毒攻擊和破壞行為的日益普遍化和多樣化,信息系統(tǒng)安全受到了嚴(yán)重的挑戰(zhàn),因此,剖析計(jì)算機(jī)病毒的基本原理并研究相應(yīng)的防治技術(shù),保障計(jì)算機(jī)系統(tǒng)的安全和可靠性是很有必要的。
2計(jì)算機(jī)病毒的分類和特點(diǎn)
按照我國(guó)1994年2月18日頒布實(shí)施的《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》第二十八條的定義“,計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù),影響計(jì)算機(jī)使用,并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。
2.1計(jì)算機(jī)病毒的功能結(jié)構(gòu)計(jì)算機(jī)病毒主要由感染機(jī)制、載荷機(jī)制、觸發(fā)機(jī)制組成,三個(gè)機(jī)制間相互關(guān)聯(lián),感染機(jī)制通過一定的載荷,尋找目標(biāo)空間,開啟觸發(fā)機(jī)制進(jìn)行病毒的破壞動(dòng)作。感染模塊是病毒進(jìn)行感染時(shí)的動(dòng)作部分,通過感染模塊,病毒首先尋找到一個(gè)可執(zhí)行文件,然后檢測(cè)該文件是否有感染標(biāo)記,若沒有,則將病毒代碼寫入宿主程序,進(jìn)行目標(biāo)感染。觸發(fā)模塊則是按照預(yù)先設(shè)置好的條件,控制病毒的感染或破壞動(dòng)作。觸發(fā)條件中包含病毒的感染或破壞動(dòng)作的頻率,以及病毒的狀體是隱蔽還是直接進(jìn)行文件或系統(tǒng)的感染或破壞。病毒的觸發(fā)條件的形勢(shì)包括時(shí)間、日期、感染的次數(shù)、發(fā)現(xiàn)特定程序、特定中斷的調(diào)用次數(shù)等等。病毒的破壞模塊主要負(fù)責(zé)實(shí)現(xiàn)病毒破壞動(dòng)作,模塊內(nèi)部是實(shí)現(xiàn)病毒編寫者預(yù)定破壞動(dòng)作的代碼。破壞動(dòng)作可能是破壞文件、數(shù)據(jù),也可能是破壞計(jì)算機(jī)的時(shí)間效率和空間效率或者使機(jī)器崩潰。
2.2計(jì)算機(jī)病毒的分類計(jì)算機(jī)病毒的分類標(biāo)準(zhǔn)有很多,可按攻擊的系統(tǒng)、機(jī)型或是病毒的鏈結(jié)方式、破壞情況、寄生部位或傳染對(duì)象以及激活時(shí)間等標(biāo)準(zhǔn)分類。按照病毒的鏈接方式,病毒主要分為源碼型病毒、嵌入型病毒、外殼型病毒、操作系統(tǒng)型病毒四類。源碼型病毒主要攻擊高級(jí)語(yǔ)言編寫的程序,在程序編譯前將病毒程序插入到源程序中,使源程序與病毒程序經(jīng)編譯后成為一體;嵌入型病毒主要是將自身嵌入到現(xiàn)有程序源碼中,以插入的方式將計(jì)算機(jī)病毒的主體程序與其攻擊的對(duì)象鏈接;外殼型病毒主要將其自身包圍在主程序周圍,不修改源程序;操作系統(tǒng)病毒主要是通過病毒運(yùn)行將病毒邏輯部分取代操作系統(tǒng)的合法程序,導(dǎo)致整個(gè)系統(tǒng)的癱瘓或效率降低。典型的操作系統(tǒng)型病毒有圓點(diǎn)病毒和大麻病毒。另外按照病毒傳染對(duì)象可分為磁盤引導(dǎo)區(qū)傳染的計(jì)算機(jī)病毒、操作系統(tǒng)傳染的計(jì)算機(jī)病毒、可執(zhí)行程序傳染的計(jì)算機(jī)病毒等,按照寄生方式和傳染途徑可分為引導(dǎo)型病毒、文件型病毒等。
2.3計(jì)算機(jī)網(wǎng)絡(luò)病毒的特點(diǎn)計(jì)算機(jī)病毒主要有以下特點(diǎn):①寄生性,可以寄生在正常程序中,可以跟隨正常程序一起運(yùn)行,但是病毒在運(yùn)行之前不易被發(fā)現(xiàn)。②傳染性,可以通過種種途徑傳播。③潛伏性,計(jì)算機(jī)病毒的作者可以讓病毒在莫一時(shí)間自動(dòng)運(yùn)行。(統(tǒng)一的,在莫一時(shí)間大規(guī)模的爆發(fā))④隱蔽性,不易被發(fā)現(xiàn)。⑤破壞性,可以破壞電腦,造成電腦運(yùn)行速度變慢.死機(jī).藍(lán)屏等問題。⑥可觸發(fā)行,病毒可以在條件成熟時(shí)運(yùn)行,這樣就大大增加的病毒的隱蔽性和破壞性。
3計(jì)算機(jī)病毒檢測(cè)方法
根據(jù)檢測(cè)的原理不同、檢測(cè)所需的開銷不同、檢測(cè)的范圍不同,計(jì)算機(jī)網(wǎng)絡(luò)病毒的檢測(cè)方法也存在區(qū)別,常見的方法有長(zhǎng)度檢測(cè)法、病毒簽名檢測(cè)法、特征代碼檢測(cè)法、校驗(yàn)和法、行為監(jiān)測(cè)法、感染實(shí)驗(yàn)法、生物免疫法、人工智能方法等。
3.1長(zhǎng)度檢測(cè)法。當(dāng)程序感染病毒時(shí),最明顯的癥狀就是起宿主程序增長(zhǎng),一般增長(zhǎng)幾百字節(jié)。長(zhǎng)度檢測(cè)法就是通過定期的監(jiān)視文件長(zhǎng)度的變化,從而獲取文件長(zhǎng)度的非法增長(zhǎng)信息,以此來判定病毒程序的存在。通過長(zhǎng)度增加的多少,與病毒庫(kù)文件大小進(jìn)行對(duì)比,就可以判斷病毒的種類和類型。但有時(shí)文件的長(zhǎng)度是合法的,而且源程序在不知情情況下的修改也可能造成長(zhǎng)度的變化,或是在不同版本的操作系統(tǒng)性也會(huì)引起文件長(zhǎng)度的變化,因此,長(zhǎng)度檢測(cè)法不能識(shí)別保持宿主程序長(zhǎng)度不變的病毒。
3.2病毒簽名檢測(cè)法。有些病毒感染宿主程序時(shí),會(huì)在宿主程序中的不同位置放入特殊感染標(biāo)記。因此,通過病毒樣本剖析,可以了解部分病毒簽名的內(nèi)容和位置,然后通過對(duì)可疑程序的特定位置搜索病毒簽名的方式,來獲取病毒感染信息。并通過與病毒簽名庫(kù)的對(duì)比,獲取相應(yīng)的病毒種類和類型。該法的局限性在于:首先必須通過剖析病毒,把握各種病毒的簽名,預(yù)先知道病毒簽名的內(nèi)容和位置;其次,由于正常程序在特定位置具有和病毒簽名完全相同的代碼,可能存在虛假報(bào)警。
3.3特征代碼檢測(cè)法。有些病毒在判斷宿主程序是否受到感染時(shí),是以宿主程序中是否含有某些可執(zhí)行代碼段做為判斷依據(jù)的。因此,通過,采集已知病毒樣本;在病毒樣本中,抽取特征代碼;將特征代碼納入病毒數(shù)據(jù)庫(kù);在被打開被檢測(cè)文件中,搜索、檢查文件中是否含病毒特征代碼;若發(fā)現(xiàn)病毒特征代碼,通過與病毒數(shù)據(jù)庫(kù)比對(duì),就可以查出文件中患有何種病毒。該法檢測(cè)準(zhǔn)確、快速、誤報(bào)率低,同時(shí)可判斷病毒種類和類型。
3.4校驗(yàn)和法。對(duì)正常文件的內(nèi)容,計(jì)算其校驗(yàn)和,將該校驗(yàn)和寫入文件中或?qū)懭雱e的文件中保存。在文件使用過程中,定期地或每次使用文件前,檢查文件現(xiàn)在內(nèi)容算出的校驗(yàn)和與原來保存的校驗(yàn)和是否一致,因而可以發(fā)現(xiàn)文件是否感染,該法稱為叫校驗(yàn)和法。該法優(yōu)點(diǎn)在于既能發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒。但缺點(diǎn)是無(wú)法發(fā)現(xiàn)病毒的種類和具體名稱,存在誤報(bào)警,對(duì)隱蔽性病毒該方法無(wú)效。
3.5行為監(jiān)測(cè)法。該法主要是利用病毒的特有行為特性來查找病毒程序。該方法的優(yōu)點(diǎn)是可以發(fā)現(xiàn)未知病毒,并且可以對(duì)未知的多數(shù)病毒進(jìn)行相當(dāng)準(zhǔn)確地預(yù)報(bào);但該方法的短處存在可能誤報(bào)警,病毒名稱不能識(shí)別,在具體的操作時(shí)有一定難度。
3.6軟件模擬法。該法是為了檢測(cè)多態(tài)性病毒而研發(fā)的新的病毒檢測(cè)方法。主要思想是用軟件方法來模擬和分析程序的運(yùn)行。
3.7感染實(shí)驗(yàn)法。該方法的原理就是利用所有病毒都會(huì)進(jìn)行感染的特征。一旦感知系統(tǒng)存在異常,而最新的病毒檢測(cè)工具也無(wú)法檢測(cè)出病毒時(shí),可以先運(yùn)行可疑系統(tǒng)中的程序,然后運(yùn)行確定不帶毒的安全程序,觀察正常程序的文件名長(zhǎng)度或是校驗(yàn)和是否發(fā)生變化,如果正常程序被感染而發(fā)現(xiàn)異常,則可斷定系統(tǒng)中存在病毒。
3.8基于生物免疫系統(tǒng)的計(jì)算機(jī)病毒檢測(cè)方法。該方法能夠快速、自動(dòng)地檢測(cè)出已知和未知的病毒。該方法主要由以下幾個(gè)部分組成:首先對(duì)已知的病毒進(jìn)行分析,提取這些病毒的基本特征信息,將這些信息以類似疫苗的形式注入病毒檢測(cè)系統(tǒng)中,通過接種疫苗和免疫檢測(cè)來實(shí)現(xiàn)對(duì)計(jì)算機(jī)病毒的檢測(cè)。
4結(jié)論
由于計(jì)算機(jī)網(wǎng)絡(luò)病毒危害性、多樣性和復(fù)雜性的同步增長(zhǎng),目前,病毒已成為計(jì)算機(jī)系統(tǒng)安全性的最大威脅。因此,研究計(jì)算機(jī)病毒的智能檢測(cè)技術(shù),病毒檢測(cè)與清除、病毒傳播抑制、漏洞修復(fù)、病毒代碼的行為阻斷等多種防范措施,保障計(jì)算機(jī)系統(tǒng)的安全是一項(xiàng)很有必要和具有重要意義的工作。