關(guān)于計(jì)算機(jī)病毒多種檢測(cè)方法的探討

◆孫德紅

（閩南理工學(xué)院 福建 362700）

關(guān)于計(jì)算機(jī)病毒多種檢測(cè)方法的探討

◆孫德紅

（閩南理工學(xué)院 福建 362700）

隨著計(jì)算機(jī)技術(shù)的發(fā)展，計(jì)算機(jī)病毒技術(shù)與防治病毒技術(shù)的矛盾越來(lái)越明顯。計(jì)算機(jī)病毒給我們的計(jì)算機(jī)系統(tǒng)資源帶來(lái)極大危害，尤其是有些病毒借助網(wǎng)絡(luò)爆發(fā)流行，可迅速讓整個(gè)網(wǎng)絡(luò)陷入崩潰，給用戶帶來(lái)巨大損失，要提高計(jì)算機(jī)的安全性，必須采取積極、有效的防范措施，其中，計(jì)算機(jī)病毒檢測(cè)技術(shù)起著至關(guān)重要的作用，本文重點(diǎn)研究檢測(cè)計(jì)算機(jī)病毒的方法，并指出更新檢測(cè)技術(shù)的必要性。

計(jì)算機(jī)；病毒；檢測(cè)技術(shù)

0 引言

通常把利用一定的手段判定出計(jì)算機(jī)病毒的技術(shù)稱為計(jì)算機(jī)病毒檢測(cè)技術(shù)，通過相關(guān)技術(shù)盡早發(fā)現(xiàn)病毒可讓用戶在和計(jì)算機(jī)病毒的斗爭(zhēng)中處于主動(dòng)地位，能夠減少甚至避免用戶的損失。病毒在感染程序后，會(huì)引起各種變化，不同病毒引起的變化都有自身的特點(diǎn)。計(jì)算機(jī)病毒檢測(cè)原理就是根據(jù)這些變化，來(lái)判斷病毒種類，進(jìn)一步確定處理方法。也就是說(shuō)，要清除病毒，首先應(yīng)確定其類型、特征和癥狀，即進(jìn)行病毒檢測(cè)。

1 計(jì)算機(jī)病毒檢測(cè)方法

要知道計(jì)算機(jī)系統(tǒng)有沒有感染病毒，第一步是進(jìn)行檢測(cè)，接下來(lái)才是防治。下面介紹病毒的檢測(cè)方法。

（1）外觀檢測(cè)法

計(jì)算機(jī)感染病毒后，通常出現(xiàn)不正常現(xiàn)象，如屏幕顯示奇怪信息、程序自動(dòng)打開、文件和目錄丟失、系統(tǒng)頻繁死機(jī)、程序變慢等。這些異常極可能是病毒所致。用戶可由此來(lái)判斷計(jì)算機(jī)是否被病毒入侵，以便盡早地發(fā)現(xiàn)并及時(shí)有效地處理。通過外觀檢測(cè)可初步判斷計(jì)算機(jī)有沒有被病毒入侵。

（2）系統(tǒng)數(shù)據(jù)對(duì)比法

很多病毒以修改系統(tǒng)數(shù)據(jù)、破壞系統(tǒng)為目的。通過檢查系統(tǒng)數(shù)據(jù)區(qū)域，與事先備份的正常數(shù)據(jù)比較，若發(fā)現(xiàn)異常，則說(shuō)明計(jì)算機(jī)可能被病毒感染。

系統(tǒng)數(shù)據(jù)對(duì)比法容易操作，缺陷是僅通過對(duì)比很難知道病毒名稱，系統(tǒng)數(shù)據(jù)異常的原因要繼續(xù)使用其他方法查找，以確認(rèn)感染了哪種病毒。

（3）病毒簽名檢測(cè)法

病毒簽名是宿主程序被入侵的標(biāo)記。不同病毒入侵宿主程序時(shí)，在宿主程序的不同位置放入特別的標(biāo)記。這些標(biāo)記是一些數(shù)字串或字符串，如1234，1357，F(xiàn)LU等。不同病毒的簽名內(nèi)容不同，放置簽名的位置也不同。經(jīng)剖析樣本，掌握病毒簽名內(nèi)容及位置，然后在該程序的特定位置查詢病毒簽名。如果找到就可以斷定程序是被何種病毒感染。

（4）特征代碼法

病毒簽名是特殊的識(shí)別標(biāo)記，然而有些病毒不含簽名，而是包含一些特別代碼。于是人們采用類似于病毒簽名檢測(cè)法的方法檢測(cè)。即在可疑程序中搜索某些具有特殊性質(zhì)的代碼，稱為特征代碼段檢測(cè)法。

如果在檢測(cè)文件中發(fā)現(xiàn)含有病毒數(shù)據(jù)庫(kù)中的病毒特征碼，則可斷定被查文件感染了哪種病毒。特征代碼法是檢測(cè)計(jì)算機(jī)病毒較可靠的方法，實(shí)現(xiàn)簡(jiǎn)單。

特征代碼法具有檢測(cè)準(zhǔn)確、誤報(bào)警率低等優(yōu)點(diǎn)，且可識(shí)別出病毒名稱，依據(jù)檢測(cè)結(jié)果可做針對(duì)性的殺毒處理。其最大缺陷就是依賴已有的病毒特征碼，使其只能檢測(cè)已有病毒，而對(duì)于新出現(xiàn)的病毒將不能檢測(cè)出。而且，病毒特征代碼選取不當(dāng)會(huì)造成誤報(bào)，使檢測(cè)工具將正常程序或文件當(dāng)成病毒處理。

（5）檢查常規(guī)內(nèi)存數(shù)

為防止系統(tǒng)將其內(nèi)存空間覆蓋或收回，常駐內(nèi)存病毒一般會(huì)修改系統(tǒng)數(shù)據(jù)區(qū)中記錄的系統(tǒng)內(nèi)存數(shù)或內(nèi)存控制塊中的數(shù)據(jù)，所以檢查內(nèi)存大小和使用情況可判斷系統(tǒng)是否感染病毒。通?？刹捎靡恍┖?jiǎn)單的工具軟件，如Pctools，Debug等。

有的軟件可報(bào)告包括擴(kuò)展內(nèi)存和基本內(nèi)存在內(nèi)的詳細(xì)情況，包括各個(gè)駐留內(nèi)存程序在內(nèi)存中的物理地址、占用內(nèi)存空間大小、使用的中斷向量以及駐留文件的名稱等。利用這些軟件，首先，查閱有無(wú)可疑駐留文件，如果有則可能是文件型病毒已進(jìn)入系統(tǒng)，通過內(nèi)存信息可確定哪個(gè)文件被感染；其次，查看駐留文件有無(wú)可疑的中斷向量值，重點(diǎn)是病毒經(jīng)常調(diào)用的中斷向量；最后，通過內(nèi)存信息查看駐留文件的大小是否合適。當(dāng)內(nèi)存中的設(shè)備驅(qū)動(dòng)程序運(yùn)行存在問題，通過檢查驅(qū)動(dòng)程序分配情況，以合理的中斷向量占有為依據(jù)，適當(dāng)排查非法設(shè)備驅(qū)動(dòng)程序。

（6）校驗(yàn)和法

病毒入侵程序時(shí)，會(huì)使原先程序大小增加或日期發(fā)生變化，校驗(yàn)和法就是根據(jù)這種特點(diǎn)來(lái)進(jìn)行判斷的。首先把硬盤中的某些文件進(jìn)行匯總并記錄下來(lái)，在以后檢測(cè)過程中重復(fù)此項(xiàng)動(dòng)作，并與前次記錄對(duì)比，進(jìn)而判斷這些文件是否被入侵。

對(duì)一些未知病毒在電腦中可通過特殊方法查得，甚至可對(duì)一些程序進(jìn)行細(xì)致的對(duì)比排查，從而判斷其中的細(xì)微變化，校驗(yàn)和法就是其中一種方法，雖然此種方法可以實(shí)現(xiàn)排查病毒與異常，但容易混淆異常種類，甚至對(duì)一些隱蔽性較強(qiáng)的病毒無(wú)法排查，此種弊端會(huì)導(dǎo)致錯(cuò)誤判斷，對(duì)于排查環(huán)境也要求苛刻。

校驗(yàn)和是對(duì)程序文件實(shí)施特定運(yùn)算的結(jié)果，簡(jiǎn)單的校驗(yàn)和易被偽造。許多隨機(jī)檢查方式的公開算法，可獲得目標(biāo)程序或命令文件的逐位，達(dá)到完全紊亂的校驗(yàn)和。檢驗(yàn)和方法開銷較大。

（7）行為監(jiān)測(cè)法

病毒入侵文件時(shí)，往往有一些不正常的表現(xiàn)。利用病毒的“特別行為”檢測(cè)的方法稱為行為檢測(cè)法，也叫實(shí)時(shí)監(jiān)控法。該方法引入人工智能技術(shù)，分析檢查對(duì)象的邏輯結(jié)構(gòu)，將其分為若干個(gè)模塊，再引入虛擬機(jī)執(zhí)行并且檢測(cè)出病毒。

行為監(jiān)測(cè)法的優(yōu)點(diǎn)是不僅能發(fā)現(xiàn)已知病毒，還可以發(fā)現(xiàn)未知的病毒。缺點(diǎn)是有可能發(fā)生誤報(bào)，無(wú)法識(shí)別病毒名稱，且實(shí)現(xiàn)相對(duì)來(lái)說(shuō)不容易。

（8）軟件模擬法

有一種名為變形病毒的計(jì)算機(jī)病毒，可在一至四維的四種狀態(tài)進(jìn)行空間與結(jié)構(gòu)上的變化，一旦在計(jì)算機(jī)內(nèi)傳染開，由于自身的變化性，特征代碼法對(duì)此類病毒束手無(wú)策，軟件模擬法就可很好的替代特征代碼法來(lái)檢測(cè)此類病毒。針對(duì)變形病毒所做出的代碼更換與代碼加密行為，軟件模擬法可以針對(duì)性的虛擬一個(gè)環(huán)境進(jìn)行解碼，再運(yùn)用特征代碼法識(shí)別病毒的種類，清除病毒，從而實(shí)現(xiàn)對(duì)各類多態(tài)病毒的查殺。

現(xiàn)今針對(duì)變形病毒都是通過啟動(dòng)軟件模擬模塊，監(jiān)視病毒運(yùn)行，待病毒自身的密碼譯碼以后，再用特征代碼法來(lái)識(shí)別其種類。

（9）啟發(fā)式代碼掃描技術(shù)

啟發(fā)式代碼掃描技術(shù)的原理是通過對(duì)各類程序進(jìn)行識(shí)別分類，并判斷各類程序的動(dòng)機(jī)對(duì)各類病毒進(jìn)行重點(diǎn)監(jiān)控，此類技術(shù)以人工智能為藍(lán)版實(shí)現(xiàn)對(duì)病毒的智能識(shí)別，可以很好的對(duì)傳統(tǒng)查毒方法進(jìn)行補(bǔ)充，通過智能識(shí)別病毒的動(dòng)機(jī)，對(duì)各類新病毒進(jìn)行識(shí)別與界定，查出傳統(tǒng)查毒方法漏掉的新型病毒。

這兩種檢測(cè)方法的結(jié)合能掃描出大部分的病毒，當(dāng)出現(xiàn)判定不一致的時(shí)候通過另外的辦法來(lái)對(duì)這種樣本做出結(jié)論。

如TbScan 6.02測(cè)試，表1是使用兩種技術(shù)以及將兩種技術(shù)結(jié)合應(yīng)用的結(jié)果。

表1傳統(tǒng)式與啟發(fā)式技術(shù)檢測(cè)病毒測(cè)試對(duì)比

顯然，傳統(tǒng)式與啟發(fā)式技術(shù)相結(jié)合，大大提高了病毒的檢出率。

隨著病毒檢測(cè)技術(shù)要求的提高，智能檢測(cè)顯得尤為重要，通過智能檢測(cè)與傳統(tǒng)檢測(cè)的結(jié)合可更好地檢測(cè)出病毒并出現(xiàn)更低的誤報(bào)率，因此智能啟發(fā)式檢測(cè)方法的應(yīng)用對(duì)于今后病毒檢測(cè)技術(shù)的發(fā)展起著非凡的意義。

（10）算法掃描法

算法掃描是指為掃描特定病毒而進(jìn)行針對(duì)性的編寫代碼后的掃描，是現(xiàn)代防毒體系的一個(gè)重要組成部分。有些掃描器，如KAV，將目標(biāo)代碼（Object Code）存儲(chǔ)在其嵌入式的病毒數(shù)據(jù)庫(kù)中。具體病毒的檢測(cè)例程C代碼是可移植的，編譯后得到的目標(biāo)代碼存儲(chǔ)在數(shù)據(jù)庫(kù)中。掃描器運(yùn)行時(shí)連接所有用于特定病毒檢測(cè)的目標(biāo)代碼。這些代碼按照預(yù)定義的順序被依次調(diào)用和執(zhí)行。其優(yōu)點(diǎn)是性能更好，缺點(diǎn)是代碼在系統(tǒng)中實(shí)際運(yùn)行時(shí)可能不穩(wěn)定。因?yàn)檫@些代碼通常是在應(yīng)急響應(yīng)時(shí)匆忙發(fā)布的，因而復(fù)雜的檢測(cè)代碼中可能會(huì)有些小錯(cuò)誤。

為消除該問題，現(xiàn)代算法掃描的實(shí)現(xiàn)使用虛擬機(jī)，采用類似于Java中的p-code。Norton Antivirus采用了該枝術(shù)。只要把掃描器代碼和算法掃描引擎的虛擬機(jī)代碼移植到新平臺(tái)，則各種特定病毒的檢測(cè)例程就可在新平臺(tái)上運(yùn)行，缺點(diǎn)是與真正的運(yùn)行時(shí)代碼相比，P-code執(zhí)行速度較慢。檢測(cè)例程可用一種類似于帶高級(jí)宏指令的匯編語(yǔ)言編寫。這些例程提供了通過單次檢索搜索一組字符串或是進(jìn)行可執(zhí)行文件虛擬地址和物理地址轉(zhuǎn)換的功能。更重要的是，這種掃描器必須使用過濾技術(shù)進(jìn)行優(yōu)化。此外，檢測(cè)例程還可在一個(gè)可擴(kuò)展的掃描引擎中用本地代碼實(shí)現(xiàn)。

2 結(jié)語(yǔ)

除以上檢測(cè)方法外還有感染實(shí)驗(yàn)法、病毒分析法、病毒分析法、主動(dòng)內(nèi)核技術(shù)等，為能更好的保護(hù)好我們的電腦不受病毒入侵，計(jì)算機(jī)病毒掃描技術(shù)的發(fā)展勢(shì)在必行，在一臺(tái)計(jì)算機(jī)內(nèi)，選擇正確的合理的病毒掃描，對(duì)個(gè)人的信息安全起到極其重要的租用。也就是說(shuō)，互聯(lián)網(wǎng)+時(shí)代，我們必須更加積極探索計(jì)算機(jī)病毒檢測(cè)的新技術(shù)以更好的保護(hù)計(jì)算機(jī)安全。

[1](美)斯?jié)桑?jì)算機(jī)病毒防范藝術(shù)[M]．北京：機(jī)械工業(yè)出版社，2007．

[2]秦志光．計(jì)算機(jī)病毒原理與防范[M]．北京：人民郵電出版社，2007．

[3]沈繼濤．計(jì)算機(jī)病毒檢測(cè)技術(shù)的現(xiàn)狀與發(fā)展[J]．電子技術(shù)與軟件工程，2017．

[4]于象宏．計(jì)算機(jī)病毒檢測(cè)技術(shù)應(yīng)用及發(fā)展研究[J]．現(xiàn)代教育技術(shù)，2017．

[5]沈繼濤．計(jì)算機(jī)病毒檢測(cè)技術(shù)的現(xiàn)狀與發(fā)展[J]．信息安全，2017．

2016年福建省中青年教師教育科研資助項(xiàng)目（項(xiàng)目編號(hào)：JAT160598）。