計算機病毒檢測與查殺技術相關思考

張 衡

（荊楚理工學院，荊門 448000）

在當前計算機各類程序軟件相繼出現(xiàn)的同時，五花八門的病毒種類也隨之滋生，計算機病毒的出現(xiàn)無時無刻不在對計算機系統(tǒng)安全及用戶隱私安全產生威脅。計算機病毒不利于互聯(lián)網的健康發(fā)展，甚至已經成為損害人們信息財產的主要方式。那么在這樣的背景下，要想保證國家信息和網絡安全，就要加強對于計算機病毒檢測和查殺技術的研究，以此不斷提升人們的網絡安全防范意識，積極構建完善的信息基礎設施安全保障體系，積極提升計算機的安全性。

1 計算機病毒分類

計算機病毒有很多種，首先程序型病毒，其主要以感染文件擴展名為.COM、.EXE、.OVL等可執(zhí)行程序為主，安裝時不得不通過含有病毒的程序載體，從而使得計算機內存中就會有病毒存在，一些文件在感染之后，一執(zhí)行就會被刪除。其次宏病毒，就是以具有宏功能的數(shù)據文件為對象，Microsoft或Excel文檔等都容易受到攻擊，因為被感染文件會直接通過網絡共享或下載，所以宏病毒的傳播速度相對較快[1]。引導型病毒在入侵系統(tǒng)文件時，主要對磁盤的內容產生一定的威脅，如果感染病毒后，磁盤的分區(qū)表及有關的內容將可能會被改寫，一旦用戶將此類磁盤啟動開，就會感染電腦硬盤。對于存在危險的移動編碼，一般也叫做腳本，通常而言，這一類的正常代碼不屬于病毒，然而也有一些計算機的惡意代碼會影響到系統(tǒng)的運行，因而在某種程度上也可以將其視為病毒類型之一。就特洛伊木馬型程序而言，病毒本身不會復制，其主要指的是計算機用戶在進行程序運行時，只要發(fā)作，就可設置后門，定時的發(fā)送該用戶的隱私，到木馬程序的控制端，能夠任意的控制該計算機，比如刪除文件、拷貝和改密碼等。實際上，隨著病毒的不斷發(fā)展，對于計算機病毒已經不容易分類了，因為更多的病毒都帶有一定的綜合性。

2 計算機病毒主流技術及原理

計算機病毒傳播的方式和原理也有很多種，有直接發(fā)送傳播，通過利用社會工程學，典型案例就是通過某一軟件平臺，讓其傳送帶有病毒的圖像文件，盡管這種方式較為原始，但成功率也相對較高。還有利用電子郵件進行傳播，這有兩種，首先利用附件進行傳播，著名的“愛蟲”，就是因為郵件的主題是帶有誘惑性的“I LOVE YOU ”，附件為“LOVE-LETTER-FOR-YOU.TXT.VBS.”用戶一旦打開附件之后，計算機就會感染病毒。并通過搜索outlook地址簿、發(fā)送帶有病毒的郵件、通過IRC感染其他用戶[2]。其次，還會利用網頁郵件進行病毒傳播。如果計算機用戶點擊了郵件，則就會感染病毒。釋放病毒的黑客等往往會利用計算機用戶的好奇心理發(fā)送其感興趣的郵件，雖然看起來不像是垃圾文件，但用戶一旦點開則會感染病毒。還有利用網頁啟動和系統(tǒng)漏洞等進行病毒傳播。

3 計算機病毒的潛伏隱藏機制

要想更好的應用計算機病毒檢測和查殺技術，就要加強對于計算機病毒的潛伏機制了解，只有這樣才能夠更加精準的檢測、查殺計算機病毒。一般而言，計算機感染病毒之后，病毒會受到來自計算機防火墻及管理員的系統(tǒng)檢測及查殺，一旦有異常問題，都會導致其被直接查殺。那么端口隱藏就是一種方法，其通過潛伏，使用IP協(xié)議族中的其他協(xié)議，而不是TCP/UDP來進行通訊，以此來欺騙Netstat和端口掃描軟件，常見的就是應用ICMP協(xié)議[3]。另外還有寄生手段來進行隱藏，就是直接尋找、寄生一個已經打開的端口，通常情況下只進行監(jiān)聽，在接受到特殊指令時，就執(zhí)行命令。指令無法辨識的時候，計算機系統(tǒng)會直接作出處理，而對于能夠辨識的指令，則會導致木馬激活并運行，在任務執(zhí)行完畢之后再進行隱蔽。當然，計算機病毒單純依靠端口隱藏是不夠的，其還會隱藏進程，這又有進程欺騙和不適用進程這兩種?？梢哉f，要想有效檢測、查殺計算機病毒，做好病毒預防工作，就要學會從“攻”的角度出發(fā)，深入了解計算機病毒的潛伏隱藏機制，這樣才能夠做到“知己知彼，百戰(zhàn)不殆”。

4 計算機病毒檢測和查殺技術

4.1 行為基礎下的病毒檢測技術

眾所周知，計算機系統(tǒng)的運行，就是通過編寫對應的代碼來進行的，那么隨著編寫技術的不斷發(fā)展，計算機病毒編寫自然也就更加的復雜和隱蔽。在加上當前變形技術的快速發(fā)展，導致計算機病毒可以在短時間內，變成多種模式，而變種的病毒，又在類型、大小和數(shù)量等各個方面有著一定的差異，其共同點就是傳播的速度快，這就表示對于計算機病毒檢測的難度越來越高[4]。所以，專業(yè)的研究工作者會針對此研發(fā)出全新的病毒查殺技術，即行為基礎下的病毒檢測技術，其可以有效處理眾多復雜、綜合的計算機病毒程序問題，及時解決固定性的計算機病毒。不僅如此，該病毒檢測技術無需進行全部數(shù)據采集，就可以直接處理病毒，還有已知的病毒和未知的病毒進行檢測和查殺。

4.2 數(shù)據加密形式病毒檢測技術

計算機病毒檢測與查殺技術類型中較為常見的手段之一就是應用加密病毒檢測技術，通過數(shù)據加密技術對病毒感染及黑客攻擊都有很好的防范作用。通過數(shù)據加密技術的應用，當有病毒想要入侵計算機系統(tǒng)時，就可以應用加密手段來阻止這一行為，實現(xiàn)保護數(shù)據的目標。另外，在實際的數(shù)據傳輸過程中，也可以直接應用加密技術，以此避免信息被竊取等問題[5]。然后進行計算機數(shù)據加密時，需要構建相應的密鑰交換及管理方案，以便于在最大限度上適應資源局限性，保證信息傳輸?shù)暮侠硇?，維護整個計算機網絡的安全。

4.3 簽名和特征代碼病毒檢測技術

在當前計算機病毒檢測過程中，病毒簽名就是宿主計算機被入侵的標記，不同的病毒入侵宿主計算機程序時，都會在不同的位置，顯示不同的標記。這些標記有可能是圖片，也有可能是字符和數(shù)字，比如：FGG、2496、4184等，不同的病毒有不同的簽名，所放置的位置也不同。經過實踐表示，在了解病毒簽名的內容和位置之后，根據該程序的特定位置查詢病毒簽名，找到之后，就可以明確程序是被什么樣的病毒所感染[6]?？梢哉f，病毒簽名是一種不同的識別標記，但有些病毒中沒有簽名，其是一個特別的代碼，也可以應用相同的方法，直接在可疑的程序中，查詢有著特殊性質的代碼，以此進行病毒檢測。比如，在計算機文件中，發(fā)現(xiàn)了攜有病毒數(shù)據庫中的特征碼，就可以明確其感染了什么樣的病毒，這也是一種較為常用的、可靠的病毒檢測方法。但該技術的最大問題，就是需要依靠已有的病毒簽名和特征碼，也就是說，其只能夠檢測已有的病毒，對于新產生的病毒無法檢測、查殺。

4.4 全面病毒檢測技術

全面病毒檢測技術作為一種完整的病毒檢測技術，其可以對計算機中已知和未知的病毒進行檢測，其可以實現(xiàn)對計算機中的病毒進行有效修復的目標[7]。該技術的應用需要首先需要全方位了解計算機系統(tǒng)中的資料及文件內容，從而依據發(fā)現(xiàn)受到計算機病毒感染后產生了變化或被更改的資料信息，并利用原本的文件信息，以此來覆蓋被計算機病毒所更改的文件內容，修復文件內容，并對徹底清除計算機病毒。

4.5 啟發(fā)式掃描病毒檢測技術

該檢測技術的應用原理為充分利用殺毒軟件對病毒種類及入侵方式的記憶效果，并在結合原有病毒類型基礎上的殺毒軟件功能，對整個計算機進行病毒檢測。如果在計算機系統(tǒng)中存在類似于計算機病毒的因素，則該檢測技術會自動啟動，并對用戶進行適度的預警通告，以提醒計算機使用者盡快做出處理。啟發(fā)式掃描病毒檢測技術在對計算機中未知的病毒進行檢測時，需要保證計算機在正常運行的狀態(tài)下，才能夠開展檢測工作[8]。因此，該技術進行病毒查殺時的關鍵程序在于先對所有的程序進行統(tǒng)一掃描，掃描完畢之后實施相應的病毒檢測，然后進行病毒分析，并提供使用者及時處理病毒。

5 結束語

總而言之，計算機病毒技術和反病毒技術之間本身就是兩股對立的理想，其也是在不斷的對抗和斗爭過程中取得發(fā)展的，相關人員需要科學認知這兩者之間的關系，才能不斷提升計算機病毒檢測、查殺技術。以后的計算機病毒依然還會存在，而防御計算機病毒的研究人員同樣會研究出更加新型的病毒查殺技術與軟件，并對其進行科學、有效的應用，才能夠更好的保障計算機系統(tǒng)的正常運行，真正實現(xiàn)我國計算機技術的健康發(fā)展。