計(jì)算機(jī)病毒檢驗(yàn)技術(shù)分析

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了計(jì)算機(jī)病毒檢驗(yàn)技術(shù)分析范文，希望能給你帶來靈感和參考，敬請(qǐng)閱讀。

1概述

“計(jì)算機(jī)病毒”一詞最早用來表達(dá)此意是在弗雷德•科恩（FredCohen）1984年的論文《電腦病毒實(shí)驗(yàn)》中，隨著網(wǎng)絡(luò)的不斷延伸以及人們對(duì)計(jì)算機(jī)的依賴程度的加深，計(jì)算機(jī)病毒的危害程度也呈現(xiàn)幾何倍數(shù)增長。1999年的“Melissa”、2000年的“Iloveyou”、2003年的“沖擊波Blaster”，以及我國2006年著名的“熊貓燒香病毒”，其造成的經(jīng)濟(jì)損失都是上億美元。伴隨著病毒攻擊和破壞行為的日益普遍化和多樣化，信息系統(tǒng)安全受到了嚴(yán)重的挑戰(zhàn)，因此，剖析計(jì)算機(jī)病毒的基本原理并研究相應(yīng)的防治技術(shù)，保障計(jì)算機(jī)系統(tǒng)的安全和可靠性是很有必要的。

2計(jì)算機(jī)病毒的分類和特點(diǎn)

按照我國1994年2月18日頒布實(shí)施的《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》第二十八條的定義“，計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。

2.1計(jì)算機(jī)病毒的功能結(jié)構(gòu)計(jì)算機(jī)病毒主要由感染機(jī)制、載荷機(jī)制、觸發(fā)機(jī)制組成，三個(gè)機(jī)制間相互關(guān)聯(lián)，感染機(jī)制通過一定的載荷，尋找目標(biāo)空間，開啟觸發(fā)機(jī)制進(jìn)行病毒的破壞動(dòng)作。感染模塊是病毒進(jìn)行感染時(shí)的動(dòng)作部分，通過感染模塊，病毒首先尋找到一個(gè)可執(zhí)行文件，然后檢測該文件是否有感染標(biāo)記，若沒有，則將病毒代碼寫入宿主程序，進(jìn)行目標(biāo)感染。觸發(fā)模塊則是按照預(yù)先設(shè)置好的條件，控制病毒的感染或破壞動(dòng)作。觸發(fā)條件中包含病毒的感染或破壞動(dòng)作的頻率，以及病毒的狀體是隱蔽還是直接進(jìn)行文件或系統(tǒng)的感染或破壞。病毒的觸發(fā)條件的形勢包括時(shí)間、日期、感染的次數(shù)、發(fā)現(xiàn)特定程序、特定中斷的調(diào)用次數(shù)等等。病毒的破壞模塊主要負(fù)責(zé)實(shí)現(xiàn)病毒破壞動(dòng)作，模塊內(nèi)部是實(shí)現(xiàn)病毒編寫者預(yù)定破壞動(dòng)作的代碼。破壞動(dòng)作可能是破壞文件、數(shù)據(jù)，也可能是破壞計(jì)算機(jī)的時(shí)間效率和空間效率或者使機(jī)器崩潰。

2.2計(jì)算機(jī)病毒的分類計(jì)算機(jī)病毒的分類標(biāo)準(zhǔn)有很多，可按攻擊的系統(tǒng)、機(jī)型或是病毒的鏈結(jié)方式、破壞情況、寄生部位或傳染對(duì)象以及激活時(shí)間等標(biāo)準(zhǔn)分類。按照病毒的鏈接方式，病毒主要分為源碼型病毒、嵌入型病毒、外殼型病毒、操作系統(tǒng)型病毒四類。源碼型病毒主要攻擊高級(jí)語言編寫的程序，在程序編譯前將病毒程序插入到源程序中，使源程序與病毒程序經(jīng)編譯后成為一體；嵌入型病毒主要是將自身嵌入到現(xiàn)有程序源碼中，以插入的方式將計(jì)算機(jī)病毒的主體程序與其攻擊的對(duì)象鏈接；外殼型病毒主要將其自身包圍在主程序周圍，不修改源程序；操作系統(tǒng)病毒主要是通過病毒運(yùn)行將病毒邏輯部分取代操作系統(tǒng)的合法程序，導(dǎo)致整個(gè)系統(tǒng)的癱瘓或效率降低。典型的操作系統(tǒng)型病毒有圓點(diǎn)病毒和大麻病毒。另外按照病毒傳染對(duì)象可分為磁盤引導(dǎo)區(qū)傳染的計(jì)算機(jī)病毒、操作系統(tǒng)傳染的計(jì)算機(jī)病毒、可執(zhí)行程序傳染的計(jì)算機(jī)病毒等，按照寄生方式和傳染途徑可分為引導(dǎo)型病毒、文件型病毒等。

2.3計(jì)算機(jī)網(wǎng)絡(luò)病毒的特點(diǎn)計(jì)算機(jī)病毒主要有以下特點(diǎn)：①寄生性，可以寄生在正常程序中，可以跟隨正常程序一起運(yùn)行，但是病毒在運(yùn)行之前不易被發(fā)現(xiàn)。②傳染性，可以通過種種途徑傳播。③潛伏性，計(jì)算機(jī)病毒的作者可以讓病毒在莫一時(shí)間自動(dòng)運(yùn)行。（統(tǒng)一的，在莫一時(shí)間大規(guī)模的爆發(fā)）④隱蔽性，不易被發(fā)現(xiàn)。⑤破壞性，可以破壞電腦，造成電腦運(yùn)行速度變慢.死機(jī).藍(lán)屏等問題。⑥可觸發(fā)行，病毒可以在條件成熟時(shí)運(yùn)行，這樣就大大增加的病毒的隱蔽性和破壞性。

3計(jì)算機(jī)病毒檢測方法

根據(jù)檢測的原理不同、檢測所需的開銷不同、檢測的范圍不同，計(jì)算機(jī)網(wǎng)絡(luò)病毒的檢測方法也存在區(qū)別，常見的方法有長度檢測法、病毒簽名檢測法、特征代碼檢測法、校驗(yàn)和法、行為監(jiān)測法、感染實(shí)驗(yàn)法、生物免疫法、人工智能方法等。

3.1長度檢測法。當(dāng)程序感染病毒時(shí)，最明顯的癥狀就是起宿主程序增長，一般增長幾百字節(jié)。長度檢測法就是通過定期的監(jiān)視文件長度的變化，從而獲取文件長度的非法增長信息，以此來判定病毒程序的存在。通過長度增加的多少，與病毒庫文件大小進(jìn)行對(duì)比，就可以判斷病毒的種類和類型。但有時(shí)文件的長度是合法的，而且源程序在不知情情況下的修改也可能造成長度的變化，或是在不同版本的操作系統(tǒng)性也會(huì)引起文件長度的變化，因此，長度檢測法不能識(shí)別保持宿主程序長度不變的病毒。

3.2病毒簽名檢測法。有些病毒感染宿主程序時(shí)，會(huì)在宿主程序中的不同位置放入特殊感染標(biāo)記。因此，通過病毒樣本剖析，可以了解部分病毒簽名的內(nèi)容和位置，然后通過對(duì)可疑程序的特定位置搜索病毒簽名的方式，來獲取病毒感染信息。并通過與病毒簽名庫的對(duì)比，獲取相應(yīng)的病毒種類和類型。該法的局限性在于：首先必須通過剖析病毒，把握各種病毒的簽名，預(yù)先知道病毒簽名的內(nèi)容和位置；其次，由于正常程序在特定位置具有和病毒簽名完全相同的代碼，可能存在虛假報(bào)警。

3.3特征代碼檢測法。有些病毒在判斷宿主程序是否受到感染時(shí)，是以宿主程序中是否含有某些可執(zhí)行代碼段做為判斷依據(jù)的。因此，通過，采集已知病毒樣本；在病毒樣本中，抽取特征代碼；將特征代碼納入病毒數(shù)據(jù)庫；在被打開被檢測文件中，搜索、檢查文件中是否含病毒特征代碼；若發(fā)現(xiàn)病毒特征代碼，通過與病毒數(shù)據(jù)庫比對(duì)，就可以查出文件中患有何種病毒。該法檢測準(zhǔn)確、快速、誤報(bào)率低，同時(shí)可判斷病毒種類和類型。

3.4校驗(yàn)和法。對(duì)正常文件的內(nèi)容，計(jì)算其校驗(yàn)和，將該校驗(yàn)和寫入文件中或?qū)懭雱e的文件中保存。在文件使用過程中，定期地或每次使用文件前，檢查文件現(xiàn)在內(nèi)容算出的校驗(yàn)和與原來保存的校驗(yàn)和是否一致，因而可以發(fā)現(xiàn)文件是否感染，該法稱為叫校驗(yàn)和法。該法優(yōu)點(diǎn)在于既能發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒。但缺點(diǎn)是無法發(fā)現(xiàn)病毒的種類和具體名稱，存在誤報(bào)警，對(duì)隱蔽性病毒該方法無效。

3.5行為監(jiān)測法。該法主要是利用病毒的特有行為特性來查找病毒程序。該方法的優(yōu)點(diǎn)是可以發(fā)現(xiàn)未知病毒，并且可以對(duì)未知的多數(shù)病毒進(jìn)行相當(dāng)準(zhǔn)確地預(yù)報(bào);但該方法的短處存在可能誤報(bào)警，病毒名稱不能識(shí)別，在具體的操作時(shí)有一定難度。

3.6軟件模擬法。該法是為了檢測多態(tài)性病毒而研發(fā)的新的病毒檢測方法。主要思想是用軟件方法來模擬和分析程序的運(yùn)行。

3.7感染實(shí)驗(yàn)法。該方法的原理就是利用所有病毒都會(huì)進(jìn)行感染的特征。一旦感知系統(tǒng)存在異常，而最新的病毒檢測工具也無法檢測出病毒時(shí)，可以先運(yùn)行可疑系統(tǒng)中的程序，然后運(yùn)行確定不帶毒的安全程序，觀察正常程序的文件名長度或是校驗(yàn)和是否發(fā)生變化，如果正常程序被感染而發(fā)現(xiàn)異常，則可斷定系統(tǒng)中存在病毒。

3.8基于生物免疫系統(tǒng)的計(jì)算機(jī)病毒檢測方法。該方法能夠快速、自動(dòng)地檢測出已知和未知的病毒。該方法主要由以下幾個(gè)部分組成：首先對(duì)已知的病毒進(jìn)行分析，提取這些病毒的基本特征信息，將這些信息以類似疫苗的形式注入病毒檢測系統(tǒng)中，通過接種疫苗和免疫檢測來實(shí)現(xiàn)對(duì)計(jì)算機(jī)病毒的檢測。

4結(jié)論

由于計(jì)算機(jī)網(wǎng)絡(luò)病毒危害性、多樣性和復(fù)雜性的同步增長，目前，病毒已成為計(jì)算機(jī)系統(tǒng)安全性的最大威脅。因此，研究計(jì)算機(jī)病毒的智能檢測技術(shù)，病毒檢測與清除、病毒傳播抑制、漏洞修復(fù)、病毒代碼的行為阻斷等多種防范措施，保障計(jì)算機(jī)系統(tǒng)的安全是一項(xiàng)很有必要和具有重要意義的工作。