計(jì)算機(jī)病毒防范研究

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了計(jì)算機(jī)病毒防范研究范文，希望能給你帶來(lái)靈感和參考，敬請(qǐng)閱讀。

一、重寫病毒是不能從系統(tǒng)中徹底刪掉的

只能刪掉被感染的文件，然后再?gòu)膫浞萁橘|(zhì)恢復(fù)。一般來(lái)說(shuō)，重寫病毒不是非常成功的威脅，因?yàn)椴《驹斐傻耐{明顯太容易被發(fā)現(xiàn)了。然而，這種病毒效果如果基于網(wǎng)絡(luò)的傳播技術(shù)結(jié)合起來(lái)，可能產(chǎn)生很大的威脅，比如:VBS/LoveLetter．A@mm通過(guò)群發(fā)郵件把病毒發(fā)送到其他系統(tǒng)中，當(dāng)該病毒執(zhí)行時(shí)，它會(huì)用自己的拷貝重寫本地所有下面擴(kuò)展名的文件:．vbs，．vbe，．js，．css，．wsh，．sct，．gta，．jpg，．jpeg，．wav，．txt，．gif，．doc，．htm，．html，．xls，．ini，．bat，．com，．a(chǎn)vi，．mpg，．mpeg，．cpp，．c，．h，．swd，．psd，．wri，．mp3，．a(chǎn)nd，．mp2等。重寫技術(shù)的另一種罕見(jiàn)形式是不改變文件頂部的代碼，而是在宿主文件中隨機(jī)找一個(gè)位置把自己寫進(jìn)去。顯然，這種病毒不太可能獲得控制權(quán)，它通常會(huì)導(dǎo)致宿主在執(zhí)行到病毒代碼之前就崩潰了。這種病毒的例子是俄羅斯的Omud?，F(xiàn)在的反病毒掃描程序會(huì)為了提高性能而減少磁盤I/O，因此如果可能的話，只查找已知的位置。掃描器在查找隨機(jī)重寫病毒時(shí)有一定的問(wèn)題，因?yàn)閽呙杵鞅仨毸阉魉拗鞒绦虻娜績(jī)?nèi)容，這種操作的I/O開銷太大了。有些比較簡(jiǎn)單的而病毒并不主動(dòng)駐留在內(nèi)存中，最先感染IBMPC的文件感染類型病毒Virdem和Vienna就是這樣，通常，直接感染型病毒的傳播速度比較慢，傳播范圍也比較窄。直接感染型病毒隨著宿主程序一起裝入內(nèi)存中。在取得系統(tǒng)控制權(quán)后，他們以搜索新文件的方式搜索可能感染的對(duì)象。很多常見(jiàn)的計(jì)算機(jī)病毒都使用直接感染方式的傳播引擎，這種病毒在各個(gè)平臺(tái)都很容易構(gòu)造，無(wú)論是二進(jìn)制還是腳本形式。歷史上曾經(jīng)有過(guò)這樣的例子。Borland公司在DOS環(huán)境下開發(fā)的Quattrospreadsheet系統(tǒng)的第一個(gè)版本是全部使用Hungary匯編語(yǔ)言開發(fā)的。在系統(tǒng)的開發(fā)過(guò)程中發(fā)生了意見(jiàn)非常有趣的事情。有時(shí)候，系統(tǒng)命名在執(zhí)行一個(gè)循環(huán)，可是系統(tǒng)的實(shí)際流程和控制流程的期望值剛好相反。代碼本身并沒(méi)有什么錯(cuò)誤，因此通過(guò)閱讀代碼的方式根本不可能解釋發(fā)生這種現(xiàn)象的原因。最后發(fā)現(xiàn)產(chǎn)生這個(gè)錯(cuò)誤的原因是因?yàn)橐粋€(gè)時(shí)鐘程序偶爾會(huì)改變系統(tǒng)的執(zhí)行流程，原因是時(shí)鐘程序改變了方向標(biāo)記，而有時(shí)又忘記恢復(fù)這個(gè)標(biāo)記，結(jié)果，時(shí)鐘程序五一地破壞了spreadsheets系統(tǒng)的內(nèi)容，當(dāng)然它也會(huì)對(duì)其他程序造成破壞。這個(gè)具有破壞性的時(shí)鐘程序就是一個(gè)TSR程序。病毒采用各種方式入侵電腦程序和服務(wù)器程序，大部分電腦書籍對(duì)病毒檢測(cè)的討論都停留在相當(dāng)淺的層次上，就連一些比較新的書都把防毒掃描器描述為“在文件和內(nèi)存中檢索病毒特征字節(jié)序列的普通程序”。這種說(shuō)法所描述的當(dāng)然是最流行的計(jì)算機(jī)病毒檢測(cè)方法之一———這種方法也很有效，但當(dāng)今最先進(jìn)的防毒軟件使用了更多出色的方法檢測(cè)僅用第一代掃描器無(wú)法對(duì)付的復(fù)雜病毒。例如:字符串掃描、通配符掃描、不匹配字節(jié)數(shù)、通用檢測(cè)法、書簽、首位掃描、入口點(diǎn)固定點(diǎn)掃描等等。隨著時(shí)代的進(jìn)步第二代掃描器也隨之來(lái)臨，第二代掃描器采用近似精確識(shí)別法(nearlyexactidentification)和精確識(shí)別法(exactidentifica-tion)，有助于提高對(duì)計(jì)算機(jī)病毒和惡意程序的檢測(cè)精度。第二代掃描器同樣包括很多種方式，例如:智能掃描、骨架掃描法、近似精確識(shí)別法和精確識(shí)別法等。掃描技術(shù)的多樣性清楚地表明:給予對(duì)一只病毒的識(shí)別能力來(lái)檢測(cè)病毒是多么困難。因此，看來(lái)采取更為通用的方法———如給予文件和可執(zhí)行對(duì)象的完整性來(lái)檢測(cè)和預(yù)防病毒對(duì)其內(nèi)容的篡改———可以更好的解決病毒檢測(cè)這個(gè)問(wèn)題。手工啟動(dòng)型完整性掃描工具需要使用一個(gè)校驗(yàn)和數(shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)要么在受保護(hù)的系統(tǒng)中生成的，要么是一個(gè)遠(yuǎn)程在線數(shù)據(jù)庫(kù)。完整性檢查工具每次檢查系統(tǒng)中是否有新生成對(duì)象，或者是否有任何對(duì)象的校驗(yàn)值發(fā)生變化，都用到該數(shù)據(jù)庫(kù)。通過(guò)檢驗(yàn)出新的或發(fā)生了變化的對(duì)象，顯然最容易發(fā)現(xiàn)病毒感染及系統(tǒng)受到的其他侵害。然而，這種方法也有很多缺點(diǎn)，例如:

(1)虛警;

（2)要有干凈的初始化狀態(tài)，而實(shí)際上不一定會(huì)有這么一個(gè)狀態(tài);

(3)速度。完整性檢查通常很慢;

(4)特殊對(duì)象。工作需要懂得一些特殊對(duì)象;

(5)必須有對(duì)象發(fā)生改變等等。還有一些方案試圖基于應(yīng)用程序的行為來(lái)阻斷病毒傳染。最早的反病毒軟件之一FluShot就是屬于這一類病毒防護(hù)方案。如果一個(gè)應(yīng)用程序以寫入模式打開了可執(zhí)行文件，則阻斷工具就會(huì)顯示一條警告，要求用戶授權(quán)寫操作。不幸的是這種低級(jí)別時(shí)間可能會(huì)引起太多的警告，因而阻斷工具受用戶歡迎的程度常常還不如完整性檢測(cè)工具。而且，不同類型的計(jì)算機(jī)病毒的行為可能差異很大，因而可能導(dǎo)致感染的行為模式數(shù)量有無(wú)窮多種。

二、結(jié)語(yǔ)

由于WindowsNT的內(nèi)存管理器會(huì)回收未使用分界面，而內(nèi)存中頁(yè)面只有當(dāng)被訪問(wèn)的時(shí)候才會(huì)被讀取，因此內(nèi)存掃描的速度大體上取決于內(nèi)存的大小，一臺(tái)計(jì)算機(jī)的內(nèi)存越大則內(nèi)存掃描器的速度就會(huì)越快———如果計(jì)算機(jī)擁有的物理內(nèi)存非常有限，則頁(yè)面錯(cuò)誤數(shù)量將會(huì)大很多。每當(dāng)SCANPROC．EXE對(duì)所有運(yùn)行中的進(jìn)程掃描時(shí)，這些進(jìn)程的內(nèi)存會(huì)明顯提高。對(duì)于病毒的防范也更加規(guī)范。

作者：林清風(fēng) 單位：齊齊哈爾工程學(xué)院