計(jì)算機(jī)病毒及反病毒技術(shù)

歐陽(yáng)艾嘉,許衛(wèi)明,許小東

(嘉興學(xué)院 數(shù)理與信息工程學(xué)院,浙江 嘉興 314001)

計(jì)算機(jī)病毒及反病毒技術(shù)

歐陽(yáng)艾嘉,許衛(wèi)明,許小東

(嘉興學(xué)院 數(shù)理與信息工程學(xué)院,浙江 嘉興 314001)

當(dāng)前計(jì)算機(jī)病毒已經(jīng)滲透到信息社會(huì)的各個(gè)領(lǐng)域，它給信息安全帶來了巨大的破壞和潛在的威脅。文章從計(jì)算機(jī)病毒的定義入手，提出了計(jì)算機(jī)病毒的判定條件，分析計(jì)算機(jī)病毒的本質(zhì)及特征，并對(duì)計(jì)算機(jī)病毒進(jìn)行了分類，預(yù)測(cè)了病毒變化的總體趨勢(shì)，最后介紹了計(jì)算機(jī)病毒的主要防范技術(shù)。

計(jì)算機(jī)病毒；特征；類型；防范技術(shù)

計(jì)算機(jī)病毒對(duì)計(jì)算機(jī)軟硬件系統(tǒng)及網(wǎng)絡(luò)造成了各種各樣的損害，除了一些常見的損害，例如修改系統(tǒng)信息、刪除程序或數(shù)據(jù)、阻塞網(wǎng)絡(luò)以外，它們還造成一些非破壞性的影響，例如消耗計(jì)算機(jī)大量的存儲(chǔ)空間及時(shí)間[1]。

1 計(jì)算機(jī)病毒的定義及其特征

計(jì)算機(jī)病毒的定義及其判定條件在文中我們采用Cohen有關(guān)計(jì)算機(jī)病毒的定義:“病毒是通過修改其它程序，使其包含病毒程序自身或某種變異從而傳染其它程序的一種計(jì)算機(jī)程序[2-3]”。能夠復(fù)制本身，而且具有傳遞性是計(jì)算機(jī)病毒程序的根本特征。這使計(jì)算機(jī)病毒和其它正常的程序有所不同。因此自我復(fù)制的特征就成為了判斷一個(gè)程序是否是病毒的首要條件，也可以稱它為充分條件。如果只擁有破壞能力而又不會(huì)傳染的程序就很難被稱之為病毒。也就是說只要有了傳染能力，不管這個(gè)病毒有沒有明顯的破壞行為，都可以將它稱之為病毒。根據(jù)前面的內(nèi)容，我們可以歸納出判斷計(jì)算機(jī)病毒的條件：一個(gè)程序，在執(zhí)行的過程當(dāng)中它會(huì)復(fù)制自己本身，而且這種復(fù)制是在不被用戶所期望或者用戶根本不知情的情況下發(fā)生的，我們可以將這個(gè)作為判定病毒的關(guān)鍵條件。在這里，“復(fù)制”既可以定義為形式上的簡(jiǎn)單復(fù)制，也可以將其定義成代碼功能等價(jià)的“復(fù)制”。這個(gè)條件很明確，它可以實(shí)現(xiàn)不需要人為干預(yù)來檢測(cè)未知病毒[4]。

計(jì)算機(jī)病毒是能夠通過修改某些其他程序從而達(dá)到感染該程序的目的的一種程序。 修改操作通?？赡馨◤?fù)制病毒程序本身，然后再去傳播和感染其它的合法程序。一般情況下，典型的病毒進(jìn)入計(jì)算機(jī)系統(tǒng)之后它會(huì)駐留其中進(jìn)行潛伏而不會(huì)馬上發(fā)作，感染病毒后的計(jì)算機(jī)和其信息系統(tǒng)進(jìn)行交互時(shí)，病毒的副本就會(huì)進(jìn)入新的系統(tǒng)，因而病毒就通過可信用戶的存儲(chǔ)器（主存和輔存）或者網(wǎng)絡(luò)傳播開來。

通過對(duì)形形色色的計(jì)算機(jī)病毒的本質(zhì)特征進(jìn)行研究，發(fā)現(xiàn)計(jì)算機(jī)病毒通常具有以下特征：程序性、非法性、傳染性、潛伏性、主動(dòng)性、針對(duì)性、變異性和不可預(yù)見性。

2 病毒類型與其變化的總體趨勢(shì)

計(jì)算機(jī)病毒的分類方法有很多種，這里主要按傳染的對(duì)象、連接的方式、攻擊的目標(biāo)和破壞的程度分類介紹。（1）引導(dǎo)型病毒：這種病毒主要是傳染磁盤的引導(dǎo)區(qū)，啟動(dòng)系統(tǒng)時(shí)它們就會(huì)優(yōu)先取得系統(tǒng)的控制權(quán)，接著駐留內(nèi)存之后再引導(dǎo)系統(tǒng)，并且伺機(jī)感染其它硬盤或軟盤的引導(dǎo)區(qū)。（2）文件型病毒：通常情況下只傳染磁盤上的可執(zhí)行文件，當(dāng)用戶運(yùn)行染毒的可執(zhí)行文件時(shí)，病毒首先被運(yùn)行，計(jì)算機(jī)病毒駐留內(nèi)存伺機(jī)傳染其他程序或者文件。除了這兩種常見的病毒，還有混合型病毒，它們兼具以上兩種病毒的特點(diǎn)。

按連接的方式分類：（1）外殼型病毒：這種病毒通常是將自身粘附在合法程序的開頭或者結(jié)尾，這就等于給合法程序加了個(gè)外殼，這個(gè)外殼包圍在主程序的周圍，對(duì)原來的代碼不作任何修改。這種計(jì)算機(jī)病毒最為常見，很容易編寫，也很容易發(fā)現(xiàn)。（2）源碼型病毒：這種病毒通常攻擊高級(jí)語(yǔ)言編寫的程序，它會(huì)把自己插入到計(jì)算機(jī)系統(tǒng)的源代碼中，通過編譯之后成為合法程序的一部分，就會(huì)導(dǎo)致剛剛生成的可執(zhí)行程序直接帶毒。（3）嵌入型病毒：該病毒通常是將自身嵌入到已有程序中，代替合法程序中的部分模塊以及堆棧區(qū)的病毒程序，一般情況下，它只會(huì)攻擊那些特定程序，這種病毒很難編寫、也很難發(fā)現(xiàn)和消除。（4）操作系統(tǒng)型病毒：這種病毒是用其自身的程序試圖加入或替換部分操作系統(tǒng)進(jìn)行工作，因而具有很強(qiáng)的破壞力，它可以使整個(gè)操作系統(tǒng)癱瘓。

按攻擊的操作系統(tǒng)分類：（1）攻擊DOS操作系統(tǒng)的病毒：這種病毒出現(xiàn)得最早、數(shù)量最多，變異各異。（2）攻擊Windows操作系統(tǒng)的病毒：由于Windows已經(jīng)基本上取代DOS，從而Windows成為病毒攻擊的重點(diǎn)對(duì)象。（3）攻擊OS/2操作系統(tǒng)的病毒：這種病毒非常簡(jiǎn)單，對(duì)OS/2操作系統(tǒng)來說是一個(gè)不祥之兆。（4）攻擊UNIX操作系統(tǒng)的病毒：目前UNIX系統(tǒng)應(yīng)用在各行各業(yè)，UNIX病毒的出現(xiàn)，對(duì)信息安全來說也是一個(gè)嚴(yán)重的挑戰(zhàn)[5]。

按破壞的情況分類：（1）良性病毒：是指病毒不對(duì)計(jì)算機(jī)數(shù)據(jù)進(jìn)行破壞，但會(huì)造成計(jì)算機(jī)程序工作異常。有時(shí)病毒還會(huì)出來表現(xiàn)一番，例如：“小球（pingpang）”病毒、“臺(tái)灣一號(hào)”和“維也納”等。（2）惡性病毒：是指那些對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行惡意攻擊的病毒，有的甚至?xí)茐挠?jì)算機(jī)硬件，造成整個(gè)計(jì)算機(jī)癱瘓，例如“米開朗基羅”[6]。此外，還有極惡性病毒和災(zāi)難性病毒。計(jì)算機(jī)病毒變化的總體趨勢(shì)是:編制病毒愈來愈易，病毒變種愈來愈多;互聯(lián)網(wǎng)技術(shù)的發(fā)展使得病毒的傳播速度愈來愈快，潛伏期愈來愈短;漏洞病毒出現(xiàn)得愈來愈快;病毒和黑客愈來愈貪婪;病毒和黑客更加聰明，騙術(shù)更高明;病毒的復(fù)雜程度和危害程度越來越大[7]。

3 計(jì)算機(jī)反病毒技術(shù)

如果計(jì)算機(jī)病毒破壞了沒有副本的文件，就無法醫(yī)治。多態(tài)性計(jì)算機(jī)病毒和隱形計(jì)算機(jī)病毒讓人很難檢測(cè)。我們?cè)诟?jì)算機(jī)病毒的對(duì)抗中，如果能夠采用有效的預(yù)防措施，就能使計(jì)算機(jī)系統(tǒng)不受病毒感染，或者使它的損失降到最低。計(jì)算機(jī)反病毒技術(shù)，就是根據(jù)系統(tǒng)特征，建立合理而有效的計(jì)算機(jī)病毒防范體系和制度，及時(shí)捕獲計(jì)算機(jī)病毒侵入，并采取有效的手段和措施阻止病毒的傳播和破壞，使受影響的計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)得以迅速恢復(fù)[8]。計(jì)算機(jī)病毒是一種具有自我復(fù)制能力的計(jì)算機(jī)程序，它不僅能夠破壞數(shù)據(jù)的完整性與正確性，還能影響計(jì)算機(jī)軟件和硬件的正常工作，從而使計(jì)算機(jī)甚至是計(jì)算機(jī)網(wǎng)絡(luò)整體癱瘓，這給人們的經(jīng)濟(jì)發(fā)展和社會(huì)生活帶來了巨大的損失。

軟件反病毒技術(shù)是第一類反病毒技術(shù)。我們知道：計(jì)算機(jī)病毒是一種具有寄生性的程序，正因?yàn)槿绱?，?jì)算機(jī)病毒就會(huì)潛伏在主存、輔存以及CMOS當(dāng)中，如果病毒被激活它會(huì)馬上駐留內(nèi)存；針對(duì)病毒的寄生特性采用定時(shí)、自動(dòng)或者手工方式對(duì)那些已經(jīng)染毒的存儲(chǔ)空間進(jìn)行查毒和殺毒的技術(shù)稱為軟件反病毒技術(shù)。從目前來看，被人們使用比較廣泛的檢查病毒的方法有：搜索法、計(jì)算機(jī)病毒特征字識(shí)別法、行為識(shí)別法等。軟件反病毒技術(shù)的優(yōu)點(diǎn)是：使用方法簡(jiǎn)單方便可靠，不需要額外的硬件投資，升級(jí)快速而且方便，不局限于任何操作系統(tǒng)。它的缺點(diǎn)是：對(duì)病毒沒有預(yù)警功能，這是一種“事后諸葛亮”的類型。

實(shí)時(shí)反病毒技術(shù)是第二類反病毒技術(shù)。實(shí)時(shí)反病毒概念最根本的優(yōu)點(diǎn)是解決了用戶對(duì)病毒的“未知性”，也就是說解決了“不確定性”的問題。所以實(shí)時(shí)反病毒技術(shù)的優(yōu)點(diǎn)是可以及時(shí)有效地向管理員報(bào)警，從而提醒管理員在病毒大肆傳播之前采取積極有效的措施來對(duì)電腦進(jìn)行防護(hù)。實(shí)時(shí)監(jiān)測(cè)不是“馬后炮”，而是具有前瞻性的。和“事后諸葛亮”型的反病毒技術(shù)相比，實(shí)時(shí)監(jiān)測(cè)型技術(shù)的安全性更高，性能更好。

CPU反病毒技術(shù)是第三類反病者技術(shù)。由于計(jì)算機(jī)設(shè)計(jì)者對(duì)網(wǎng)絡(luò)通道設(shè)計(jì)得過于“開放”，會(huì)導(dǎo)致黑客和病毒能夠輕而易舉地攻擊計(jì)算機(jī)，給計(jì)算機(jī)帶來了很多風(fēng)險(xiǎn)，使信息安全具有更大的威脅。俄羅斯科學(xué)院院士——鮑利斯-巴巴揚(yáng)科學(xué)家開發(fā)出了一種能夠清除任何計(jì)算機(jī)病毒的反病毒微處理器（CPU），這種CPU具有識(shí)別計(jì)算機(jī)病毒的特殊功能，它會(huì)把那些感染了病毒的程序“軟禁”起來并采取措施阻止其進(jìn)一步傳播，這種反病毒技術(shù)基本上就是把病毒隔離起來，讓病毒失去傳播的機(jī)會(huì)。

主動(dòng)內(nèi)核技術(shù)是第四類反病毒技術(shù)。主動(dòng)內(nèi)核技術(shù)實(shí)際上就是將已經(jīng)開發(fā)的各種網(wǎng)絡(luò)防病毒技術(shù)從源程序級(jí)嵌入到網(wǎng)絡(luò)系統(tǒng)或操作系統(tǒng)的內(nèi)核中，實(shí)現(xiàn)操作系統(tǒng)與網(wǎng)絡(luò)防病毒產(chǎn)品的無縫連接。縱觀反病毒技術(shù)的歷史發(fā)展，從防病毒保護(hù)卡到自適應(yīng)的升級(jí)防毒產(chǎn)品，再到動(dòng)態(tài)和實(shí)時(shí)的反病毒技術(shù)，所銷售的一直都是被動(dòng)式的防御理念。該理念最大的不足在于將防治病毒的核心建立在病毒侵入網(wǎng)絡(luò)系統(tǒng)或操作系統(tǒng)以后，作為上層應(yīng)用軟件的反病毒產(chǎn)品，才能幫助借助于網(wǎng)絡(luò)系統(tǒng)或操作系統(tǒng)所提供的功能來被動(dòng)地防治病毒。這種做法恰好就給計(jì)算機(jī)系統(tǒng)的可靠性和安全性造成了很大的影響。反病毒廠家追求的目標(biāo)就是能夠在網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)的內(nèi)核中加入反病毒功能，從而使反病毒成為計(jì)算機(jī)系統(tǒng)內(nèi)部的底層模塊，而不是計(jì)算機(jī)系統(tǒng)外部的一個(gè)應(yīng)用軟件。

總之，隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，計(jì)算機(jī)應(yīng)用在社會(huì)的各個(gè)領(lǐng)域，計(jì)算機(jī)病毒與反病毒技術(shù)也在不斷拓展。因此，計(jì)算機(jī)病毒攻擊與防御手段是不斷發(fā)展的，要在計(jì)算成本機(jī)病毒對(duì)抗中保持領(lǐng)先地位，必須根據(jù)發(fā)展趨勢(shì)，在關(guān)鍵技術(shù)環(huán)節(jié)上實(shí)施跟蹤研究。

[1]左志宏,舒敏,周明天.計(jì)算機(jī)病毒的計(jì)算復(fù)雜度問題[J].計(jì)算機(jī)科學(xué),2005,32(7):102－104.

[2]Cohen F.Models of practical defenses against computer viruses[J].Computer&Security,1989,8(2):149－160.

[3]田暢,鄭少仁.計(jì)算機(jī)病毒計(jì)算模型的研究[J].計(jì)算機(jī)學(xué)報(bào),2001,24(2):158－163.

[4]張?jiān)拦?范希駿,李大興.計(jì)算機(jī)病毒入侵檢測(cè)技術(shù)探討[J].微電子學(xué)與計(jì)算機(jī),2005,22(11):33－38.

[5]艾天予.計(jì)算機(jī)病毒的攻防技術(shù)探析[J].江西通信科技,2010(2):36－40.

[6]黃詠梅.淺談?dòng)?jì)算機(jī)病毒及防治策略[J].內(nèi)蒙古科技與經(jīng)濟(jì),2010,216(14):69－72.

[7]趙杰,楊玉新.計(jì)算機(jī)病毒[J].云南大學(xué)學(xué)報(bào)：自然科學(xué)版,2006,28(S1):102－105.

[8]閆麗娟.計(jì)算機(jī)病毒的防范[J].信息與電腦：理論版,2010(5):13－15.

TP309

A

1674-1102(2011)03-0025-03

2011-03-30

歐陽(yáng)艾嘉(1975-),男,湖南婁底人,嘉興學(xué)院數(shù)理與信息工程學(xué)院教師,碩士，主要研究方向?yàn)橹悄芩惴ā⑿畔踩?/p>

[責(zé)任編輯：曹懷火]