歐陽艾嘉,許衛(wèi)明,許小東

(嘉興學院 數理與信息工程學院,浙江 嘉興 314001)

計算機病毒及反病毒技術

歐陽艾嘉,許衛(wèi)明,許小東

(嘉興學院 數理與信息工程學院,浙江 嘉興 314001)

當前計算機病毒已經滲透到信息社會的各個領域，它給信息安全帶來了巨大的破壞和潛在的威脅。文章從計算機病毒的定義入手，提出了計算機病毒的判定條件，分析計算機病毒的本質及特征，并對計算機病毒進行了分類，預測了病毒變化的總體趨勢，最后介紹了計算機病毒的主要防范技術。

計算機病毒；特征；類型；防范技術

計算機病毒對計算機軟硬件系統(tǒng)及網絡造成了各種各樣的損害，除了一些常見的損害，例如修改系統(tǒng)信息、刪除程序或數據、阻塞網絡以外，它們還造成一些非破壞性的影響，例如消耗計算機大量的存儲空間及時間[1]。

1 計算機病毒的定義及其特征

計算機病毒的定義及其判定條件在文中我們采用Cohen有關計算機病毒的定義:“病毒是通過修改其它程序，使其包含病毒程序自身或某種變異從而傳染其它程序的一種計算機程序[2-3]”。能夠復制本身，而且具有傳遞性是計算機病毒程序的根本特征。這使計算機病毒和其它正常的程序有所不同。因此自我復制的特征就成為了判斷一個程序是否是病毒的首要條件，也可以稱它為充分條件。如果只擁有破壞能力而又不會傳染的程序就很難被稱之為病毒。也就是說只要有了傳染能力，不管這個病毒有沒有明顯的破壞行為，都可以將它稱之為病毒。根據前面的內容，我們可以歸納出判斷計算機病毒的條件：一個程序，在執(zhí)行的過程當中它會復制自己本身，而且這種復制是在不被用戶所期望或者用戶根本不知情的情況下發(fā)生的，我們可以將這個作為判定病毒的關鍵條件。在這里，“復制”既可以定義為形式上的簡單復制，也可以將其定義成代碼功能等價的“復制”。這個條件很明確，它可以實現(xiàn)不需要人為干預來檢測未知病毒[4]。

計算機病毒是能夠通過修改某些其他程序從而達到感染該程序的目的的一種程序。 修改操作通?？赡馨◤椭撇《境绦虮旧恚缓笤偃鞑ズ透腥酒渌暮戏ǔ绦?。一般情況下，典型的病毒進入計算機系統(tǒng)之后它會駐留其中進行潛伏而不會馬上發(fā)作，感染病毒后的計算機和其信息系統(tǒng)進行交互時，病毒的副本就會進入新的系統(tǒng)，因而病毒就通過可信用戶的存儲器（主存和輔存）或者網絡傳播開來。

通過對形形色色的計算機病毒的本質特征進行研究，發(fā)現(xiàn)計算機病毒通常具有以下特征：程序性、非法性、傳染性、潛伏性、主動性、針對性、變異性和不可預見性。

2 病毒類型與其變化的總體趨勢

計算機病毒的分類方法有很多種，這里主要按傳染的對象、連接的方式、攻擊的目標和破壞的程度分類介紹。（1）引導型病毒：這種病毒主要是傳染磁盤的引導區(qū)，啟動系統(tǒng)時它們就會優(yōu)先取得系統(tǒng)的控制權，接著駐留內存之后再引導系統(tǒng)，并且伺機感染其它硬盤或軟盤的引導區(qū)。（2）文件型病毒：通常情況下只傳染磁盤上的可執(zhí)行文件，當用戶運行染毒的可執(zhí)行文件時，病毒首先被運行，計算機病毒駐留內存伺機傳染其他程序或者文件。除了這兩種常見的病毒，還有混合型病毒，它們兼具以上兩種病毒的特點。

按連接的方式分類：（1）外殼型病毒：這種病毒通常是將自身粘附在合法程序的開頭或者結尾，這就等于給合法程序加了個外殼，這個外殼包圍在主程序的周圍，對原來的代碼不作任何修改。這種計算機病毒最為常見，很容易編寫，也很容易發(fā)現(xiàn)。（2）源碼型病毒：這種病毒通常攻擊高級語言編寫的程序，它會把自己插入到計算機系統(tǒng)的源代碼中，通過編譯之后成為合法程序的一部分，就會導致剛剛生成的可執(zhí)行程序直接帶毒。（3）嵌入型病毒：該病毒通常是將自身嵌入到已有程序中，代替合法程序中的部分模塊以及堆棧區(qū)的病毒程序，一般情況下，它只會攻擊那些特定程序，這種病毒很難編寫、也很難發(fā)現(xiàn)和消除。（4）操作系統(tǒng)型病毒：這種病毒是用其自身的程序試圖加入或替換部分操作系統(tǒng)進行工作，因而具有很強的破壞力，它可以使整個操作系統(tǒng)癱瘓。

按攻擊的操作系統(tǒng)分類：（1）攻擊DOS操作系統(tǒng)的病毒：這種病毒出現(xiàn)得最早、數量最多，變異各異。（2）攻擊Windows操作系統(tǒng)的病毒：由于Windows已經基本上取代DOS，從而Windows成為病毒攻擊的重點對象。（3）攻擊OS/2操作系統(tǒng)的病毒：這種病毒非常簡單，對OS/2操作系統(tǒng)來說是一個不祥之兆。（4）攻擊UNIX操作系統(tǒng)的病毒：目前UNIX系統(tǒng)應用在各行各業(yè)，UNIX病毒的出現(xiàn)，對信息安全來說也是一個嚴重的挑戰(zhàn)[5]。

按破壞的情況分類：（1）良性病毒：是指病毒不對計算機數據進行破壞，但會造成計算機程序工作異常。有時病毒還會出來表現(xiàn)一番，例如：“小球（pingpang）”病毒、“臺灣一號”和“維也納”等。（2）惡性病毒：是指那些對計算機系統(tǒng)進行惡意攻擊的病毒，有的甚至會破壞計算機硬件，造成整個計算機癱瘓，例如“米開朗基羅”[6]。此外，還有極惡性病毒和災難性病毒。計算機病毒變化的總體趨勢是:編制病毒愈來愈易，病毒變種愈來愈多;互聯(lián)網技術的發(fā)展使得病毒的傳播速度愈來愈快，潛伏期愈來愈短;漏洞病毒出現(xiàn)得愈來愈快;病毒和黑客愈來愈貪婪;病毒和黑客更加聰明，騙術更高明;病毒的復雜程度和危害程度越來越大[7]。

3 計算機反病毒技術

如果計算機病毒破壞了沒有副本的文件，就無法醫(yī)治。多態(tài)性計算機病毒和隱形計算機病毒讓人很難檢測。我們在跟計算機病毒的對抗中，如果能夠采用有效的預防措施，就能使計算機系統(tǒng)不受病毒感染，或者使它的損失降到最低。計算機反病毒技術，就是根據系統(tǒng)特征，建立合理而有效的計算機病毒防范體系和制度，及時捕獲計算機病毒侵入，并采取有效的手段和措施阻止病毒的傳播和破壞，使受影響的計算機系統(tǒng)和數據得以迅速恢復[8]。計算機病毒是一種具有自我復制能力的計算機程序，它不僅能夠破壞數據的完整性與正確性，還能影響計算機軟件和硬件的正常工作，從而使計算機甚至是計算機網絡整體癱瘓，這給人們的經濟發(fā)展和社會生活帶來了巨大的損失。

軟件反病毒技術是第一類反病毒技術。我們知道：計算機病毒是一種具有寄生性的程序，正因為如此，計算機病毒就會潛伏在主存、輔存以及CMOS當中，如果病毒被激活它會馬上駐留內存；針對病毒的寄生特性采用定時、自動或者手工方式對那些已經染毒的存儲空間進行查毒和殺毒的技術稱為軟件反病毒技術。從目前來看，被人們使用比較廣泛的檢查病毒的方法有：搜索法、計算機病毒特征字識別法、行為識別法等。軟件反病毒技術的優(yōu)點是：使用方法簡單方便可靠，不需要額外的硬件投資，升級快速而且方便，不局限于任何操作系統(tǒng)。它的缺點是：對病毒沒有預警功能，這是一種“事后諸葛亮”的類型。

實時反病毒技術是第二類反病毒技術。實時反病毒概念最根本的優(yōu)點是解決了用戶對病毒的“未知性”，也就是說解決了“不確定性”的問題。所以實時反病毒技術的優(yōu)點是可以及時有效地向管理員報警，從而提醒管理員在病毒大肆傳播之前采取積極有效的措施來對電腦進行防護。實時監(jiān)測不是“馬后炮”，而是具有前瞻性的。和“事后諸葛亮”型的反病毒技術相比，實時監(jiān)測型技術的安全性更高，性能更好。

CPU反病毒技術是第三類反病者技術。由于計算機設計者對網絡通道設計得過于“開放”，會導致黑客和病毒能夠輕而易舉地攻擊計算機，給計算機帶來了很多風險，使信息安全具有更大的威脅。俄羅斯科學院院士——鮑利斯-巴巴揚科學家開發(fā)出了一種能夠清除任何計算機病毒的反病毒微處理器（CPU），這種CPU具有識別計算機病毒的特殊功能，它會把那些感染了病毒的程序“軟禁”起來并采取措施阻止其進一步傳播，這種反病毒技術基本上就是把病毒隔離起來，讓病毒失去傳播的機會。

主動內核技術是第四類反病毒技術。主動內核技術實際上就是將已經開發(fā)的各種網絡防病毒技術從源程序級嵌入到網絡系統(tǒng)或操作系統(tǒng)的內核中，實現(xiàn)操作系統(tǒng)與網絡防病毒產品的無縫連接?？v觀反病毒技術的歷史發(fā)展，從防病毒保護卡到自適應的升級防毒產品，再到動態(tài)和實時的反病毒技術，所銷售的一直都是被動式的防御理念。該理念最大的不足在于將防治病毒的核心建立在病毒侵入網絡系統(tǒng)或操作系統(tǒng)以后，作為上層應用軟件的反病毒產品，才能幫助借助于網絡系統(tǒng)或操作系統(tǒng)所提供的功能來被動地防治病毒。這種做法恰好就給計算機系統(tǒng)的可靠性和安全性造成了很大的影響。反病毒廠家追求的目標就是能夠在網絡系統(tǒng)和操作系統(tǒng)的內核中加入反病毒功能，從而使反病毒成為計算機系統(tǒng)內部的底層模塊，而不是計算機系統(tǒng)外部的一個應用軟件。

總之，隨著計算機網絡的發(fā)展，計算機應用在社會的各個領域，計算機病毒與反病毒技術也在不斷拓展。因此，計算機病毒攻擊與防御手段是不斷發(fā)展的，要在計算成本機病毒對抗中保持領先地位，必須根據發(fā)展趨勢，在關鍵技術環(huán)節(jié)上實施跟蹤研究。

[1]左志宏,舒敏,周明天.計算機病毒的計算復雜度問題[J].計算機科學,2005,32(7):102－104.

[2]Cohen F.Models of practical defenses against computer viruses[J].Computer&Security,1989,8(2):149－160.

[3]田暢,鄭少仁.計算機病毒計算模型的研究[J].計算機學報,2001,24(2):158－163.

[4]張岳公,范希駿,李大興.計算機病毒入侵檢測技術探討[J].微電子學與計算機,2005,22(11):33－38.

[5]艾天予.計算機病毒的攻防技術探析[J].江西通信科技,2010(2):36－40.

[6]黃詠梅.淺談計算機病毒及防治策略[J].內蒙古科技與經濟,2010,216(14):69－72.

[7]趙杰,楊玉新.計算機病毒[J].云南大學學報：自然科學版,2006,28(S1):102－105.

[8]閆麗娟.計算機病毒的防范[J].信息與電腦：理論版,2010(5):13－15.

TP309

A

1674-1102(2011)03-0025-03

2011-03-30

歐陽艾嘉(1975-),男,湖南婁底人,嘉興學院數理與信息工程學院教師,碩士，主要研究方向為智能算法、信息安全。

[責任編輯：曹懷火]