對于基于視窗操作系統自動播放傳播病毒的免疫方法的研究

文/劉驥 張才華，河北工業職業技術學院

對于基于視窗操作系統自動播放傳播病毒的免疫方法的研究

文/劉驥 張才華，河北工業職業技術學院

隨著信息技術的不斷發展，計算機已經成為人們生產生活必不可少的工具之一。但人們使用計算機的過程中計算機病毒已然成為困擾計算機系統安全和阻礙計算機廣泛應用的重要問題。本次研究重點針對一類在校園機房，辦公環境中廣泛傳播的病毒auto類病毒進行研究，并將找出其有效的防治方法。

病毒；計算機安全；免疫

雖然我們越來越傾向于使用手機進行娛樂，電腦越來越單純的作為了辦公的專業化工具。甚至曾經一度計算機安全這個詞匯在我們的意識中越來越淡薄。但是就在今年WannaCry席卷全球，一些銀行、政府的業務系統因此關閉。校園網絡傳播更為廣泛，有些同學辛辛苦苦寫的論文因此付之東流。由此可見，計算機安全是一個永恒的話題。

像WannaCry這種流行性病毒，大的廠家都會提供防治補丁，我們也不作深入研究。本次主要針對一類特別容易在校園中傳播的病毒作針對性的免疫研究。這種反病毒技術的優點是針對特定類型的病毒防御非常有效。當然相應的缺點就是因為病毒類型非常多，不能依靠單一技術進行普遍防御。所以防病毒還是需要依靠多種手段多管齊下。

就目前安全界的研究成果來說，已出現的反病毒技術包括以下幾種：1.特征碼掃描：基于病毒庫的特征碼掃描是目前最常用的查殺病毒方式，也是技術最成熟的查殺方式；2.啟發式掃描：這種掃描方式還有一點人工智能的成分，通過分析在文件中出現的指令及指令的順序，總結出程序要執行的目的，根據目的判斷是否為病毒；3.CRC掃描：這種方式不是基于病毒數據庫而是基于用戶操作系統中現有文件數據庫的。這種掃描方式會事先掃描系統中已存在的文件并記錄其摘要值，當文件被病毒感染時因為摘要值會發生變化，所以便可以通過摘要值判斷文件是否被修改或被病毒感染。

有關于計算機病毒的具體定義。1994年我國正式頒布實施了《中華人民共和國計算機信息系統安全保護條例》。其中對于計算機病毒有明確的定義：“計算機病毒，指編制或在計算機程序中插入的破壞了計算機功能或毀壞數據，影響計算機的使用，并能自我復制的一組計算機指令或程序代碼。”

從定義可以看出，計算機病毒本質上還是一段計算機程序。

雖然計算機病毒本質上還是一段程序，還是與我們平時所使用的軟件相比還是有一些不同的，一般來講計算機病毒具有以下幾個特征：1.寄生性：病毒寄生在其他正常程序中，在未啟動這個程序之前，它是不容易被發覺的，可是當執行這個程序時，它就起破壞作用；2.隱蔽性：通俗的講，既然計算機病毒是一段人為編寫的程序是專門用來進行破壞的，那么這段程序不太可能命名為“病毒”或叫“Virus”，它都會比較隱蔽以防止被查殺；3.可觸發性：可觸發性是指病毒表現出破壞性的時機，有一些病毒一定要在某個特定條件下才會進行破壞，觸發病毒的條件五花八門，有時間、日期等；4.破壞性：計算機中毒后，可能導致其他正常的程序無法運行，破壞性是最體現病毒編寫者智慧的地方，實際上絕大部分的普通用戶了解計算機病毒主要是了解病毒的破壞性，計算機病毒的破壞性通常會表現為對文件的：增、刪、改、移；5.傳染性：傳染性是判斷病毒的最基本特征，一個正常的程序可以具有病毒其他的任何特征，但是它絕對不會具有傳染性。

計算機病毒主要通過文件復制、傳送、執行等方式傳播的，而文件的復制與傳送需要媒介，所以病毒的傳播與傳播媒體之間有著直接關系。計算機病毒的傳播途徑主要包括軟盤、光盤、硬盤、B BS、網絡等。

計算機病毒是一段特殊的程序，其最大特點是具有感染能力和表現(破壞)能力。計算機病毒在程序結構、磁盤上的存儲方式、感染目標的方式以及控制系統的方式既具有許多共同的特點，又有許多特殊的技巧和方法。

絕大多數病毒程序，都是由引導模塊(或者叫安裝模塊)、傳染模塊和破壞表現模塊這3個基本的功能模塊所組成。其中，傳染模塊又由激活傳染條件的判斷部分和傳染功能和實施部分組成；破壞表現模塊由病毒觸發條件判斷部分和破壞表現功能的實施部分組成。

引導模塊的功能是將病毒程序引入內存并使其后面的兩個模塊處于激活狀態。

感染模塊的功能是，在感染條件滿足時把病毒感染到所攻擊的對象上。

表現模塊的功能是，在病毒發作條件滿足時，實施對系統的干擾破壞活動。

需要注意的是，并不是所有的病毒都由這3大模塊組成，例如有些良性病毒就沒有破壞模塊。

由于本次研究的對象quot;Auto類病毒quot;是病毒的一個特殊的類型，所以Auto類病毒在結構上也是由引導模塊、傳染模塊和破壞表現模塊這3個基本的功能模塊所組成。該類病毒相比于一般病毒的特點就是傳播方式是利用了視窗操作系統的自動播放。

對于電腦上很多程序光盤，都有這樣一種現象：當光盤被放入光驅后，視窗操作系統便能夠自動地啟動光盤上的某個程序，這便是利用了視窗系統操作系統的“自動播放（AutoPlay）”功能。

其實視窗操作系統的自動播放功能是一個非常實用，能給用戶帶來很多便利的功能。但是，這一功能很有可能被利用，使用戶在不知情的情況下執行惡意程序。

自動播放的原理非常簡單，當光盤被放入采用視窗系統操作系統的計算機光驅中時，系統會檢測系統的一個32位光驅驅動程式，然后搜索光盤上根目錄下一個叫Autorun.inf的設置文件，并自動運行這個Autorun.inf中設置的命令。顯然，在整個過程中起著關鍵作用的便是這個Autorun.inf文件，自動運行的文件都是在Autorun.inf文件里預先指定好的。

關閉系統的自動播放可以說是一個根治辦法，因為此類病毒就是利用了視窗系統的自動播放原理實現自身的傳播的。以下批處理語句通過修改注冊表的鍵值來實現關閉自動播放的效果。

[1]韓筱卿，王建鋒，鐘瑋．計算機病毒分析與防范大全[M]．北京：電子工業出版社，2008．21．

[2]李濤．計算機免疫學[M]．北京：電子工業出版社，2004.7.4-13．