常见计算机病毒检测预防研究.doc
班 级 学 号 本科毕业设计论文题 目 常见计算机病毒检测预防研究 学 院 西安电子科技大学长安学院 专 业 软 件 工 程 学生姓名 导师姓名 西 安 电 子 科 技 大 学 长 安 学 院毕业设计(论文)诚信声明书本人声明:本人所提交的毕业论文常见计算机病毒的检测与预防研究是本人在指导老师的指导下独立完成研究、写作的成果,论文中所引用他人的无论以何种方式发布的文字、研究成果,均在论文中加以说明;有关教室、同学和其他人员对本文的写作、修订提出过并为我在论文中加以采纳的意见、建议,均已在我的致谢辞中加以说明并深致谢意。本论文和资料若有不实之处,本人承担一切相关责任。论文作者: (签名)时间:2011年5月20日指导教师已阅: (签名)时间:2011年5月20日西 安 电 子 科 技 大 学 长 安 学 院毕业设计(论文)任务书学生姓名 学号 0指导教师 职 称 讲师 学院 长安学院 专业 软件工程 题目名称 常见计算机病毒检测与预防研究 任务与要求1熟悉计算机病毒的工作基本原理及相关知识,查阅相关资料了解计算机病毒的发展过程。2查阅相关国内外文献资料,了解计算机病毒的发展过程,如何感染计算机及对计算机病毒的预防方法。3独立完成成毕业论文工作,论文字数不少于15000字,论文由中英文摘要、目录、引言、正文、结论、参考文献等部分组成。4要求论文结构合理,概念清楚,逻辑清晰,语言通顺,文笔流畅。作风严谨,刻苦钻研,每周与指导老师沟通。5按时提交开题报告及论文提纲。6按时参加论文答辩。开始日期 2011年1月5日 完成日期 2011年5月24日 院 长(签字) (签字) 2011 年 月 日注:本任务书一式两份,一份交学院,一份学生自己保存。西 安 电 子 科 技 大 学 长 安 学 院毕业设计(论文)工作计划学生姓名 学号 指导教师 职称 讲 师 学 院 长安学院 专业 软件工程 题目名称 常见计算机病毒检测与预防研究 一、毕业设计(论文)进度起 止 时 间 工 作 内 容2011.1.52011.1.25 确定指导老师,选定毕业论文题目 2011.2.12011.3.1 下达任务书及计划书2011.3.32011.4.10 提交开题报告及写作提纲2011.4.112011.5.1 利用因特网及图书馆资源进行相关资料的整理,整理写作思路2011.5.22011.5.20 撰写毕业论文,提交初稿,改稿,定稿 2011.5.22.2011.5.24 毕业论文答辩二、主要参考书目(资料)1 中华人民共和国工业和信息化部信息安全协调司.计算机病毒检测周报.2 郝文化.防黑反毒技术指南,机械工业出版社,2004年1月第一版. 3 吴万钊,吴万铎.计算机病毒分析与防治大全.学苑出版社.1993年10月. 4 张仁斌,李钢,侯整风.计算机病毒与反病毒技术.清华大学出版社,2006年6月5 程胜利,谈冉,熊文龙 等.计算机病毒与其防治技术,清华大学出版社,2004年9月第一版. 三、主要仪器设备及材料硬件:计算机、局域网、Internet等软件:WindowsXP等四、教师的指导安排情况(场地安排、指导方式等) 1每周至少汇报、指导一次2采取面谈方式(教师休息室,教室等),电话,邮箱随时联系指导老师进行指导和给予建议。五、对计划的说明注:本计划一式两份,一份交学院,一份学生自己保存(计划书双面打印)摘 要随着人们对计算机安全要求的不断提高,计算机病毒作为计算机安全的主要威胁,正在受到人们广泛的关注。只有透彻理解病毒的内在机理,知己知彼,才能更好的防治病毒,利用病毒。论文深入剖析了Windows环境下各种病毒的相关技术,并提出了相应的检测方案。 论文研究总结了病毒的感染、传播及如何获得系统控制权机理,总结了防治病毒的一般做法,并针对这些病毒的特点提出了基于命令式的预防脚本病毒方案。通过对大量病毒和染毒文件的剖析,笔者总结出了一系列染毒标志性行为,利用这些特征行为设计了病毒检测方案,并对该方案的优缺点进行了分析。 病毒成为当前网络环境下病毒的主要形式,笔者对病毒感染过程及其原理详细分析,对病毒也进行了研究,总结了蠕虫的行为特点,提出了防治未知病毒特别是像I-Worm.Jeans.a这样的变形病毒的解决方案与虚拟机相结合的基于攻击行为的着色判决病毒检测系统。 论文研究整理了病毒的常见反检测技术,包括隐藏、反跟踪、变形等。针对病毒在入侵后能够关闭杀毒软件,笔者详细的阐述了基于数字签名的类主动内核方案,并对该方案的相关问题进行了研究。针对病毒的加密变形,研究了虚拟机技术及在病毒检测方面的应用。因为现在病毒的传播途径主要依赖于网络,网络是主机感染病毒的主要来源,所以笔者对现代计算机病毒进行了综合的分析并提出预防措施。关键词:计算机病毒 检测技术 预防AbstractNowadays, computer system"s security is becoming more and more significant in people"s daily life. So, more and more attentions have been payed to computer viruses which will do great harm to the computer system. Understanding of the computer viruses well will help us greatly. This dissertation analysised all kinds of technologies in different viruses which existing in Windows system, and proposed the correlative scheme of detecting viruses.This dissertation summarized the mechanisms of infection, propagation and how to control the host computer which existing in script virus, macro virus and mail virus. This paper also included the common methods to prevent script virus, and proposed a new scheme to prevent script virus based on command codes., The characteristics of worm viruses have been summarized, the colored judgment PN machine detecting worm system based on attacking conduct combined with virtual machine to prevent unknown computer virus has been presented.The common virus anti-detecting technology has been collected, such as hiding, anti-tracing, and polymorphism. In order to preventing the antivirus software been shut down by the virus, a like active kernel project based on digital signature has designed, and many correlative questions has been solved. In order to solve the virus encryption and polymorphism, the virtual machine has been used. As we know the network was the main source of catching computers viruses.Keyword: worm virus virtual machine antivirus firewall目 录第一章 绪 论11.1计算机病毒的定义11.1.1计算机病毒的种类11.1.2计算机病毒的特性21.2 计算机病毒的发展阶段41.2.1 第一代病毒41.2.2 第二代病毒51.2.3 第三代病毒51.2.4 第四代病毒5第二章 计算机病毒的检测技术72.1 反病毒技术的发展历程72.2 计算机病毒检测技术的原理82.2.1检测病毒的基本方法82.3 病毒主要检测技术与方法132.3.1外观检测法132.3.2系统数据对比法152.3.3病毒签名检测法132.3.4特征代码法132.3.5检查常规内存数132.3.6校验和法132.3.7行为监测法132.3.8软件模拟法132.3.9启动式代码扫描技术132.3.10主动内核技术132.3.11病毒分析法132.3.12病毒感染法13第三章 计算机病毒的工作原理183.1 程序病毒的工作原理183.1.1 程序病毒是如何传播的183.2 引导型病毒的工作原理233.2.1 引导性病毒是如何传播的233.3 计算机病毒的发展趋势24第四章 常见计算机病毒的预防314.1 计算机病毒的预防314.1.1 计算机病毒防护技术介绍314.1.2 计算机病毒的技术防范措施324.1.3 预防计算机病毒的基本措施32第五章 结 论34致 谢36参考文献37第一章 绪 论1.1计算机病毒的定义目前计算机的应用遍及到社会的各个领域,同时计算机病毒也给我们带来了巨大的破坏和潜在的威胁,因此为了确保计算机能够安全工作,计算机病毒的防范工作,已经迫在眉睫。从计算机病毒的定义入手,浅谈计算机病毒的特点及其防范措施。 对于大多数计算机用户来说,谈到“计算机病毒”似乎觉得它深不可测,无法琢磨。其实计算机病毒是可以预防的,随着计算机的普及与深入,对计算机病毒的防范也在越来越受到计算机用户的重视。 一般来讲,凡是能够引起计算机故障,能够破坏计算机中的资源(包括硬件和软件)的代码,统称为计算机病毒。而在我国也通过条例的形式给计算机病毒下了一个具有法律性、权威性的定义:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。” 1.1.1计算机病毒的种类自从1988年在美国发现的“蠕虫病毒”至今,计算机病毒以惊人的速度递增,据国外统计,计算机病毒以10种/周的速度递增,另据我国公安部统计,国内以4种/月的速度递增。病毒的种类繁多,分类方法也不一。为了更好的了解它,根据目前流行的计算机病毒,把它们概括成如下几类: 1. 从其传播方式上分为 引导型病毒。又称开机型病毒。当用户开机时,通过DOS的引导程序引入内存中,它不以文件的形式存储在磁盘上,因此也没有文件名,十分隐蔽。由于它先于操作系统装入内存,因此它能够完全控制DOS的各类中断,具有强大的破坏能力。常见的大麻病毒、巴基斯坦智囊病毒及米开朗基罗病毒等均属这类。 文件型病毒。这是一种针对性很强的病毒,一般来讲,它只感染磁盘上的可执行文件(COM,EXE,SYS等),它通常依附在这些文件的头部或尾部,一旦这些感染病毒的文件被执行,病毒程序就会被激活,同时感染其它文件。这类病毒数量最大,它们又可细分为外壳型、源码型和嵌入型等。 混合型病毒。这类病毒兼有上述两种病毒的特点,它既感染引导区又感染文件,正是因为这种特性,使它具有了很强的传染性。如果只将病毒从被感染的文件中清除,当系统重新启动时,病毒将从硬盘引导进入内存,这之后文件又会被感染;如果只将隐藏在引导区中的病毒消除掉,当文件运行时,引导区又会被重新感染。 2. 按其破坏程序来分 良性病毒。这类病毒多数是恶作剧的产物,其目的不为破坏系统资源,只是为了自我表现一下。其一般表现为显示信息,发出声响,自我复制等。 恶性病毒。这类病毒的目的在于破坏计算机中的数据,删除文件,对数据进行删改、加密,甚至对硬盘进行格式化,使计算机无法正常运行甚至瘫痪。 1.1.2计算机病毒的特性.传染性。计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。因此,这也是计算机病毒这一名称的由来。 .潜伏性。有些计算机病毒并不是一浸入你的机器,就会对机器造成破坏,它可能隐藏合法文件中,静静地呆几周或者几个月甚至几年,具有很强的潜伏性,一旦时机成熟就会迅速繁殖、扩散。 .隐蔽性。计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序,如不经过程序代码分析或计算机病毒代码扫描,病毒程序与正常程序是不容易区别开来的。 .破坏性。任何计算机病毒浸入到机器中,都会对系统造成不同程度的影响。轻者占有系统资源,降低工作效率,重者数据丢失、机器瘫痪。 除了上述四点外,计算机病毒还具有不可预见性、可触发性、衍生性、针对性、欺骗性、持久性等特点。正是由于计算机病毒具有这些特点,给计算机病毒的预防、检测与清除工作带来了很大的难度。 1.2 计算机病毒的发展阶段 表 1.21.2.1 第一代病毒第一代病毒的产生年限可以认为在1986-1989年之间,这一期间出现的病毒可以称之为传统的病毒,是计算机病毒的萌芽和滋生时期。由于当时计算机的应用软件少,而且大多是单机运行环境,因此病毒没有大量流行,流行病毒的种类也很有限,病毒的清除工作相对来说较容易。这一阶段的计算机病毒具有如下的一些特点:(1)病毒攻击的目标比较单一,或者是传染磁盘引导扇区,或者是传染可执行文件。(2)病毒程序主要采取截获系统中断向量的方式监视系统的运行状态,并在一定的条件下对目标进行传染。(3)病毒传染目标以后的特征比较明显,如磁盘上出现坏扇区,可执行文件的长度增加、文件建立日期、时间发生变化等等。这些特征容易被人工或查毒软件所发现。(4)病毒程序不具有自我保护的措施,容易被人们分析和解剖,从而使得人们容易编制相应的消毒软件。然而随着计算机反病毒技术的提高和反病毒产品的不断涌现,病毒编制者也在不断地总结自己的编程技巧和经验,千方百计地逃避反病毒产品的分析、检测和解毒,从而出现了第二代计算机病毒。1.2.2 第二代病毒第二代病毒又称为混合型病毒(又有人称之为“超级病毒”),其产生的年限可以认为在1989-1991年之间,它是计算机病毒由简单发展到复杂,由单纯走向成熟的阶段。计算机局域网开始应用与普及,许多单机应用软件开始转向网络环境,应用软件更加成熟,由于网络系统尚未有安全防护的意识,缺乏在网络环境下病毒防御的思想准备与方法对策, 给计算机病毒带来了第一次流行高峰。这一阶段的计算机病毒具有如下特点:(1)病毒攻击的目标趋于混合型,即一种病毒既可传染磁盘引导扇区,又可能传染可执行文件。(2)病毒程序不采用明显地截获中断向量的方法监视系统的运行,而采取更为隐蔽的方法驻留内存和传染目标。(3)病毒传染目标后没有明显的特征,如磁盘上不出现坏扇区,可执行文件的长度增加不明显,不改变被传染文件原来的建立日期和时间,等等。(4)病毒程序往往采取了自我保护措施,如加密技术、反跟踪技术,制造障碍,增加人们分析和解剖的难度,同时也增加了软件检测、解毒的难度。(5)出现许多病毒的变种,这些变种病毒较原病毒的传染性更隐蔽,破坏性更大。总之,这一时期出现的病毒不仅在数量上急剧地增加,更重要的是病毒从编制的方式、方法,驻留内存以及对宿主程序的传染方式、方法等方面都有了较大的变化。1.2.3 第三代病毒第三代病毒的产生年限可以认为从1992年开始至1995年,此类病毒称为“多态性”病毒或“自我变形”病毒, 是最近几年来出现的新型的计算机病毒。所谓“多态性”或“自我变形”的含义是指此类病毒在每次传染目标时, 放人宿主程序中的病毒程序大部分都是可变的,即在搜集到同一种病毒的多个样本中,病毒程序的代码绝大多数是不同的, 这是此类病毒的重要特点。正是由于这一特点,传统的利用特征码法检测病毒的产品不能检测出此类病毒。据资料介绍,此类病毒的首创者是Mark Washburn,他并不是病毒的有意制造者,而是一位反病毒的技术专家。 他编写的1260病毒就是一种多态性病毒,此病毒1990年1月问世,有极强的传染力,被传染的文件被加密,每次传染时都更换加密密钥,而且病毒程序都进行了相当大的改动。他编写此类病毒的目的是为了研究,他将此类病毒散发给他的同事, 其目的是为了向他们证明特征代码检测法不是在任何场合下都是有效的。然而,不幸的是,为研究病毒而发明的此种病毒超出了反病毒的技术范围,流入了病毒技术中。 1992年上半年,在保加利亚发现了黑夜复仇者(Dark Avenger)病毒的变种“MutationDark Avenger”。这是世界上最早发现的多态性的实战病毒,它可用独特的加密算法产生几乎无限数量的不同形态的同一病毒。据悉该病毒作者还散布一种名为“多态性发生器”的软件工具, 利用此工具将普通病毒进行编译即可使之变为多态性病毒。国内在1994年年底已经发现了多态性病毒“幽灵”病毒,迫使许多反病毒技术部门开发了相应的检测和消毒产品。由此可见,第三阶段是病毒的成熟发展阶段。在这一阶段中病毒的发展主要是病毒技术的发展,病毒开始向多维化方向发展,即传统病毒传染的过程与病毒自身运行的时间和空间无关,而新型的计算机病毒则将与病毒自身运行的时间、 空间和宿主程序紧密相关,这无疑将导致计算机病毒检则和消除的困难。1.2.4 第四代病毒90年代中后期,随着远程网、远程访问服务的开通,病毒流行面更加广泛,病毒的流行迅速突破地域的限制, 首先通过广域网传播至局域网内,再在局域网内传播扩散。1996年下半年随着国内Internet的大量普及,Email的使用,夹杂于 Email内的WORD宏病毒已成为当前病毒的主流。由于宏病毒编写简单、破坏性强、清除繁杂,加上微软对DOC文档结构没有公开,给直接基于文档结构清除宏病毒带来了诸多不便。从某种意义上来讲,微软Word Basic的公开性以及 DOC文档结构的封闭性,宏病毒对文档的破坏已经不仅仅属于普通病毒的概念,如果放任宏病毒泛滥,不采取强有力的彻底解决方法, 宏病毒对中国的信息产业将会产生不测的后果。这一时期的病毒的最大特点是利用Internet作为其主要传播途径,因而,病毒传播快、隐蔽性强、破坏性大。此外, 随着Windows95的应用,出现了Windows环境下的病毒。这些都给病毒防治和传统DOS版杀毒软件带来新的挑战。诚然,计算机病毒的发展必然会促进计算机反病毒技术的发展,也就是说, 新型病毒的出现向以行为规则判定病毒的预防产品、以病毒特征为基础的检测产品以及根据计算机病毒传染宿主程序的方法而消除病毒的产品提出了挑战, 致使原有的反病毒技术和产品在新型的计算机病毒面前无能为力。这样, 势必使人们认识到现有反病毒产品在对抗新型的计算机病毒方面的局限性,迫使人们在反病毒的技术和产品上进行新的更新和换代。到目前为止,反病毒技术已经成为了计算机安全的一种新兴的计算机产业或称反病毒工业。第二章 计算机病毒的检测技术2.1 反病毒技术的发展历程第一代反病毒技术:采取单纯的计算机病毒特征判断可以准确地清除计算机病毒,可靠性很高随着病毒技术的发展,特别是加密和变形技术的应用,这种简单的静态扫描方式逐渐失去了作用。第二代反病毒技术:采用静态广谱特征扫描方法检测病毒可更多地检测出变形病毒,但是误报率也有所提高容易造成文件和数据的破坏。第三代反病毒技术:静态扫描技术和动态仿真技术相结合查找病毒和清除病毒合二为一,形成一个整体解决方案能全面实现预防、检测和清除等反病毒所必备的各种手段以驻留内存方式防止病毒的入侵,凡是检测到的计算机病毒都能清除,不会破坏文件和数据第四代反计算机病毒技术:基于计算机病毒家族体系的命名规则、基于多位CRC校验和扫描机理、启发式智能代码分析模块、动态数据还原模块、内存解毒模块和自身免疫模块等先进的解毒技术。2.2 计算机病毒技术的检测原理计算机病毒检测技术:通过一定的技术手段判定出病毒的技术。计算机病毒检测技术种类:根据病毒在特征分类基础上的检测技术,根据病毒程序中的关键字、特征程序段内容、病毒特征及感染方式、危机程度的变化对文件或数据段的检验和进行检测,不针对具体病毒程序自身检验技术,即对某个文件或数据段进行检验和计算并保存其结果,以后定期或不定期地根据保存的结果对该文件或数据段进行检验,若出现差异,即表示该文件或数据段的完整性已遭到破坏,从而检测到病毒的存在。反病毒程序计算各个可执行程序的校验和某些反病毒程序是常驻内存程序反病毒程序常驻内存中,搜索可能进入系统的计算机病毒,其目的是阻止任何病毒感染系统。少数工具可以从感染病毒的程序中清除病毒,少数工具反病毒工具虽可将染毒程序修复好,但有些修复效果不能保证。某些反病毒工具还可能产生虚假报警。反病毒技术的主要分类:病毒诊断技术、病毒治疗技术、病毒预防技术。 2.2.1检测病毒的基本方法1借助简单工具检测指DEBUG等常规软件工具要求检测者必须具备的知识:分析工具的性能,磁盘内部结构(如BOOT区、主引导区、FAT表和文件目录等有关知识),磁盘文件结构(EXE文件头部结构,重定位方法、EXE和COM文件加载文件的不同等),中断矢量表内存管理(内存控制块、环境参数和文件的PSP结构等),阅读汇编程序的能力及其有关病毒的信息。 2借助专用工具检测指专门的计算机病毒检测工具,如Norto一般来说,专用工具具备自动扫描磁盘的功能,可检测磁盘的染毒情况。病毒检测工具只能识别已知计算机病毒,其发展总是滞后于计算机病毒的发展,从而对相当数量的未知计算机病毒无法识别。2.3 病毒主要检测技术与方法2.3.1外观检测法虽不能准确判断系统感染了何种病毒,但可通过异常现象来判断病毒的存在。外观检测法是计算机病毒防治阶段起重要作用的一个环节1屏幕显示异常2声音异常3文件系统异常4程序异常5系统异常6打印机、软驱等外部设备异常2.3.2系统数据对比法内存比较法: 依据:通常病毒要驻留内存,造成可用内存空间的减少 内存比较法是针对内存驻留计算机病毒进行检测的方法中断比较法: 依据:计算机病毒为实现其隐藏和传染破坏的目的,常采用“截留盗用”技术,更改、接管中断向量,使系统中断向量转向执行计算机病毒控制部分。 方法:将正常系统的中断向量与染毒系统的中断向量进行比较,可发现是否有计算机病毒修改或盗用中断向量。2.3.3病毒签名检测法计算机病毒签名:即计算机病毒感染标记。不同计算机病毒的签名内容不同,位置也不同。并非所有计算机病毒都具备计算机病毒签名。计算机病毒签名检测法的特点:必须预先知道计算机病毒签名的内容和位置每一种计算机病毒签名都要耗费大量劳力,因此用计算机病毒签名的方法检测计算机病毒,常常是低效不适用的方法可能造成虚假报警。2.3.4特征代码法原理:计算机病毒程序通常具有明显的特征代码特征代码可能是病毒的感染标记,由字母和数字组成串可能是一小段程序由若干指令组成,特征代码不一定连续。方法:通过搜索、比较计算机系统中是否含有与特征代码数据库中特征代码匹配的特征代码,从而确定系统是否染毒,感染了何种病毒。特点:依赖于对病毒精确特征的了解,必须事先对病毒样本做大量剖析分析计算机病毒需要很多时间,有时间滞后若病毒特殊代码段的位置或代码改动,则原检测方法失败。2.3.5检查常规内存数不能随意选择病毒体内的一段作为特征代码串代码串不应含有病毒的数据区保持唯一性的前提下,代码串应尽量短,特征代码串应最具代表性,足以区别于其他病毒程序,特征代码串应能区别于其他正常的非病毒程序。实现步骤采集已知计算机病毒样本、从计算机病毒样本中,抽取计算机病毒特征代码,将特征代码纳入计算机病毒数据库检测文件。2.3.6校验和法原理:针对正常程序内容计算其校验和,将其写入该程序或其他程序中保存。在程序应用中,定期或每次使用前,计算程序当前内容校验和与原校验和是否一致,从而发现病毒的存在特点:可发现已知病毒,也可发现未知病毒校验和法不能识别病毒的种类,不能报出病毒具体名称校验和法误报率很高方法:在计算机病毒工具中纳入校验和在应用程序中放入校验和和自我检查功能将校验和检查程序常驻内存。2.3.7行为检测法原理:病毒有些行为是病毒的共同行为,且比较特殊,甚至罕见。程序运行时,监视其行为,若发现病毒行为,立即报警。检测病毒的行为特征占用INT 13H修改DOS系统数据区的内存总量。对.COM和.EXE文件做写入操作,计算机病毒与宿主程序的邦定和切换格式化磁盘或某些磁道等破坏行为。扫描、试探特定网络端口发送网络广播,修改文件、文件夹属性,添加共享等。2.3.8软件模拟法软件模拟法:专门用来检测变形病毒,即多态性病毒变形病毒特征:病毒传播到目标后,病毒自身代码和结构在空间上、时间上具有不同的变化。变形病毒类型:第一类:一维变形计算机病毒当病毒传播到一个目标后,其自身代码与前一目标中的病毒代码几乎没有3个连续字节是相同的,但其相对空间的排列位置是不变的个别病毒遇到检测时能进行自我加密或解密,或自我消失。有的病毒能在列目录时能消失增加的字节数,或在加载跟踪时能破坏跟踪或逃之夭夭。变形病毒类型:第二类:二维变形计算机病毒 除了具备一维变形病毒的特征外,而且变化的代码相互间的排列距离(相对空间位置)也是变化的。第三类:三维变形计算机病毒除了具备二维变形病毒的特征外,而且能分裂后分别潜藏几处,当病毒引擎激活后能自我恢复成一个完整的计算机病毒计算机病毒在附着体上的空间位置是变化的,即潜藏位置不定。第四类:四维变形计算机病毒具备三维变形病毒的特征,而且这些特性随时间动态变化。 四维变形病毒大部分具备网络自动传播功能,能在网络的不同角落到处隐藏。检测:一般而言,多态计算机病毒的变换方式:采用等价代码对原有代码进行替换;改变与执行次序无关的指令的次序;增加许多垃圾指令;对原有病毒代码进行压缩或加密。软件模拟技术:又称为解密引擎、虚拟机技术、虚拟执行技术或软件仿真技术。软件模拟技术是一种软件分析器,用软件方法模拟一个程序运行环境,将可疑程序载入其中运行,在执行过程中,待计算机病毒对自身进行解码后,再运用特征代码法来识别病毒的种类,并进行清除,从而实现对各类多态病毒的查杀。2.3.9启动式代码扫描技术1. 计算机病毒扫描技术:当前最主要的查杀方式主要通过检查文件、扇区和系统内存来搜索计算机病毒,用“标记”查找已知病毒,病毒标记就是病毒常用代码的特征。按杀毒方式分类:通用扫描:不依赖操作系统,可查找各种病毒专用扫描:专查某种计算机病毒按用户操作方式分类:实时扫描:若出现计算机病毒,能够立即发现请求扫描:只在运行时才能检测计算机病毒检测病毒的主要依据:病毒和正常程序之间存在很多区别2启发式代码扫描:又称启发式职能代码分析将人工智能的知识和原理运用到计算机病毒检测中,运用启发式扫描技术的计算机病毒检测软件,实际上就是以人工智能的方式实现的动态反编译代码分析、比较器,通过对程序有关指令序列进行反编译,逐步分析、比较,根据其动机判断是否为计算机病毒。3启发式扫描通常应设立的标志: 为了对程序可能的操作进行加权统计和描述,计算机病毒检测程序会对被检测程序作疑似计算机病毒的标记。如:TBScan定义的常用标志。4误报/漏报误报:将一个本无计算机病毒的程序指证为染毒程序漏报:将一个计算机病毒程序作为正常程序处理产生原因:被检测程序中含有病毒所使用或含有的可疑功能减少或避免误报/漏报:准确把握病毒的行为和可疑功能调用集合的精确定义;对于常规程序代码的识别能力;对于特定程序代码的识别能力;类似“无罪假定”的功能。5其他扫描技术CRC扫描:磁盘中的实际文件或系统扇区的CRC值(检验和),这些CRC值被杀毒软件保存在自己的数据库中,在运行杀毒软件时,用备份的CRC值与当前计算的值比较,可知文件是否已被修改或被计算机病毒感染。2.3.10主动内核技术Active K(主动内核)技术的要点在于能够在计算机病毒突破计算机系统软、硬件的瞬间发生作用。一方面不会伤及计算机系统本身;另一方面对企图入侵系统的计算机病毒具有彻底拦截并杀除的作用。主动内核技术:从操作系统内核的深度,给操作系统和网络系统打一“主动”的补丁,从安全角度对系统进行管理和检查,对系统的漏洞进行修补,任何文件在进入系统之前,作为主动内核的反病毒模块都将首先使用各种手段对文件进行检测处理。2.3.11病毒分析法使用病毒分析法的人反计算机病毒技术人员使用病毒分析法的目的:即使用病毒分析法的工作顺序确认被观察的磁盘引导扇区和程序中是否有病毒,确认病毒的类型和种类,判断其是否是一种新病毒分析病毒的大致结构,提取特征字符串或特征字,详细分析病毒代码,为制定相应的反病毒措施制定方案。使用病毒分析法的要求: 具有比较全面的有关计算机、DOS结构和功能调用以及关于计算机病毒方面的各种知识。此外,还需要Debug、Provie等分析用工具软件和专用的试验用计算机。静态分析:利用Debug等反汇编程序将计算机病毒反汇编后进行分析,分析病毒的组成模块、病毒使用的系统调用,病毒采用的技巧、清除病毒的方法,特征码的选取。动态分析:利用Debug等调试工具在内存带毒情况下,对病毒作动态跟踪,观察病毒的具体工作过程,在静态分析基础上理解病毒的工作原理。2.3.12病毒感染法感染实验法:用于检测病毒检测工具不认识的新计算机病毒,可摆脱对计算机病毒检测工具的依赖,自主地检测可疑的新计算机病毒。原理: 利用计算机病毒的最重要的基本特征感染特性 检测未知引导型计算机病毒的感染实验法 检测未知文件型计算机病毒的感染实验法总之 计算机病毒检测技术在计算机网络安全防护中起着至关重要的作用,主要有:堵塞计算机病毒的传播途径,严防计算机病毒的侵害;计算机病毒的可以对计算机数据和文件安全构成威胁,那么计算机病毒检测技术可以保护计算机数据和文件安全;可以在一定程度上打击病毒制造者的猖獗违法行为;最新病毒检测方法技术的问世为以后更好应对多变的计算机病毒奠定了方法技术基础。 虽然,计算机病毒检测技术的作用很大,但并不能完全防止计算机病毒的攻击,我们必须提高警惕,充分发挥主观能动性。因此,加强IT行业从业人员的职业道德教育、加快完善计算机病毒防止方面的法律法规、加强国际交流与合作同样显得刻不容缓。也许只有这样计算机计算机病毒检测技术才能更好发挥作用,我们才能更好防止日益变化和复杂的计算机病毒的攻击。 第三章 计算机病毒的工作原理3.1 程序病毒的工作原理计算机系统的内存是一个非常重要的资源,我们可以认为所有的工作都需要在内存中运行(相当于人的大脑),所以控制了内存就相当于控制了人的大脑,病毒一般都是通过各种方式把自己植入内存,获取系统最高控制权,然后感染在内存中运行的程序。(注意,所有的程序都在内存中运行,也就是说,在感染了病毒后,你所有运行过的程序都有可能被传染上,感染哪些文件这由病毒的特性所决定)。目前最多的一类病毒,主要感染.exe 和 .dll 等可执行文件和动态连接库文件,比如很多的蠕虫病毒都是这样。注意蠕虫病毒不是一个病毒,而是一个种类。他的特点是针对目前INTERNET高速发展,主要在网络上传播,当他感染了一台计算机之后,可以自动的把自己通过网络发送出去,比如发送给同一居欲网的用户或者自动读取你的EMAIL列表,自动给你的朋友发EMAIL等等。感染了蠕虫病毒的机器一秒种可能会发送几百个包来探测起周围的机器。会造成网络资源的巨大浪费。所以这次我们杀毒主要是针对这种病毒。 切记:病毒传染的前提就是,他必须把自己复制到内存中,硬盘中的带毒文件如果没有被读入内寸,是不会传染的,这在杀毒中非常重要。而且,计算机断电后内存内容会丢失这我想大家都知道。所以:病毒和杀毒软件斗争的焦点就在于争夺启动后的内存控制权。 3.1.1 程序性病毒是如何传播的病毒传播最主要的途径是网络,还有软盘和光盘。比如,我正在工作时,朋友拿来一个带病毒的软盘,比如,该病毒感染了磁盘里的A文件,我运行了一下这个A文件,病毒就被读如内存,如果你不运行染毒文件,程序型病毒是不会感染你的机器的(不要骂,我这里说的是程序型病毒,后面我会说引导型病毒,他只要打开软盘就会感染)当染毒文件被运行,病毒就进入内存,并获取了内存控制权,开始感染所有之后运行的文件。比如我运行了WORD。EXE ,则该文件被感染,病毒把自己复制一份,加在WORD.EXE文件的后面,会使该文件长度增加1到几个K。(不是所有病毒都这样,我举这个离子只是想介绍病毒感染过程) 好,接下来,比如说我关机了,则内存中的病毒被清除,我机子中所有的染毒文件只有WORD.exe。第二天,我又开机时,内存是干净的。比如我需要用WORD,于是,该染毒文件中的病毒被读如内存,继续感染下面运行的程序,周而复始,时间越长,染毒文件越多。到了一定时间,病毒开始发作(根据病毒作者定义的条