計算機病毒原理及防護(hù)

1、 計算機病毒原理及防護(hù) 方亞南，廖仲欣（云南電網(wǎng)有限責(zé)任公司瑞麗供電局，昆明650200）Reference：計算機病毒已滲入到全球的每個地方，給人們的數(shù)據(jù)安全帶來巨大危險，對計算機病毒的基礎(chǔ)內(nèi)容以及它的害處進(jìn)行了解，及時采取防護(hù)措施已刻不容緩。闡述了計算機病毒的基本內(nèi)容，探討了計算機病毒的原理以及防護(hù)措施。Keys：計算機病毒；原理；防護(hù)1 特點及發(fā)展趨勢1.1特點1.1.1攻擊性計算機病毒的傳播能力是非常厲害的，電腦在中毒之后的第一反應(yīng)就是計算機不能進(jìn)行工作，電腦里的資料會讓別人給竊取掉，人們還能夠在很遠(yuǎn)的地方對這個電腦進(jìn)行控制，電腦里的資料也會被人所改變。更嚴(yán)重的一些隱私會被別人知道，電

2、腦的CPU也會被別人占用，這樣電腦就會反應(yīng)很慢，甚至?xí)荒荛_機。1.1.2傳播性計算機病毒的破壞性比人類生病的傳播更加厲害，病毒的破壞能力是很強大的，而人類身上的病菌是需要一定的傳播環(huán)境的，只有達(dá)到了相適應(yīng)的條件，它才會成長以及傳播，如果人們在不知情的情況下下載了病毒軟件，那么電腦就會被感染以及中毒。計算機病毒的傳播有很多種來源，有硬件、軟件、U盤以及網(wǎng)絡(luò)等方面。1.1.3潛伏性計算機需要在中毒好長時間才能有所反應(yīng)，病毒軟件會一直潛藏在計算機里，當(dāng)人們觸碰它的時候病毒就會發(fā)作。計算機病毒就是通過這種方式得以慢慢傳播的。1.2發(fā)展趨勢1.2.1隱藏方式多樣當(dāng)今社會中的電腦病毒的載體變得更加高級了

3、，而這些病毒的隱藏方式在不久的將來就能借助數(shù)字水印的方式來實現(xiàn)，或者可以藏在人們看不到的操作系統(tǒng)以及網(wǎng)絡(luò)中，而網(wǎng)來自WwW.lw5u.Com絡(luò)隱藏的方式就有編碼技術(shù)，未來病毒載體的發(fā)展就會朝著這個方面看齊。1.2.2攻擊速度極快由于社會的不斷發(fā)展與變化，電腦里病毒的破壞能力是非常強大，隨著網(wǎng)速的不斷提升，無線藍(lán)牙、路由轉(zhuǎn)換器以及網(wǎng)線等輸入配置，慢慢變成了黑客們進(jìn)行網(wǎng)上作案的首要選擇，因為無線輸入的劣勢，黑客們就會利用這個特點對這些設(shè)備進(jìn)行攻擊，即使時間不是很長，黑客們都能把他們的wifi給破解，更厲害的人還能夠在人們的電腦上安裝木馬病毒以得到他想要的東西1.2.3傳播方式多樣每天都會出現(xiàn)許多新

4、型的病毒，而且這些病毒的樣式很多。而種類的不同會導(dǎo)致病毒的傳播介質(zhì)以及傳播特點等方面不一樣。PZP的技術(shù)就是把新出現(xiàn)的病毒組合在一起，從而使得病毒的發(fā)展更加地廣泛，這屬于新的發(fā)展目標(biāo)。2原理2.1結(jié)構(gòu)計算機病毒的構(gòu)成部分有攻擊模塊、破壞模塊以及引導(dǎo)模塊3個部分2.1.1引導(dǎo)模塊引導(dǎo)的功能就是把靜態(tài)的病毒轉(zhuǎn)變?yōu)閯討B(tài)的。靜態(tài)的病毒如一直未被觸碰，那么病毒的感染以及破壞能力是沒有被啟動的。而動態(tài)地講是被激活的病毒，或者再運行了一些程序后被激活的病毒，這樣的話這些病毒就會變得很猖狂了。(1)把內(nèi)存進(jìn)行擴(kuò)展。如果病毒要發(fā)作的話，那么這個病毒就要寄存在內(nèi)存里面，只有把這些內(nèi)存進(jìn)行擴(kuò)展或者要直接覆蓋了才能得

5、到一些內(nèi)存。(2)病毒體的定位以及寄存。病毒在找到了新的載體之后就能夠把以前的寄存部分給取代，在電腦里的內(nèi)存空間中找到新的位置，與此同時要做好電腦的保護(hù)，這樣就不能把正在運作的軟件給覆蓋掉。病毒在襲擊了計算機之后，電腦要激活了該病毒時候才能使它工作，這些措施有對中斷進(jìn)行改變，對激活進(jìn)行設(shè)計以及建立破壞規(guī)則。計算機擁有了掌控權(quán)利之后就會按照自己的要求達(dá)到一定的環(huán)境才能被傳染以及改變。在計算機的操作系統(tǒng)中，病毒寄存在電腦里的手段和DOS操作系統(tǒng)是不一樣的。而Windows操作系統(tǒng)可以通過3種方式來寄存：(l)把病毒看成是Windows操作系統(tǒng)中的一個程序，建立個人的窗口以及消息的處理；(2)借助D

6、PMI得到一個新的空間，把代碼放入新的內(nèi)存里；(3)把病毒放人VDD (Windows2000fNT的操作系統(tǒng)里)以及VXD (Windows9X的操作系統(tǒng)里)工作。在操作系統(tǒng)中，可以采取下面的2個方法對他們文件的調(diào)用：(1)因為原始的INT21H的調(diào)用，DOS操作系統(tǒng)下的傳播手段是和它相同的； (2)借助操作系統(tǒng)的API實現(xiàn)，而它們工作的起源就在于VXD以及VDD的調(diào)用，因此能夠借助VXD/VDD的手段來避免感染。 (3)系統(tǒng)恢復(fù)的作用。要使病毒能進(jìn)行長久的工作，把病毒變得更加隱蔽，一些主要的病毒軟件能夠把它的破壞特性傳播給某些軟件，計算機的軟件可以借助病毒的程序運行。就寄存在內(nèi)存中的病毒來

7、講，病毒的引導(dǎo)程序處于最主要的地位，它能夠把原本體系里的引導(dǎo)程序轉(zhuǎn)移到某些磁盤中。只要這個電腦被開機了，病毒的引導(dǎo)模塊能夠自己進(jìn)入到內(nèi)存中，而且還能運行。接著把它們放人感染以及破壞模塊里的一些空間里與此同時可以借助常駐內(nèi)存的方法使得他們不被占用，感染以及破壞模塊中建立起激活的規(guī)則，使他們在一定的條件下得以運行。病毒的引導(dǎo)部分就會把內(nèi)存引進(jìn)引導(dǎo)模塊中，這樣的話這個計算機就被中毒。而可執(zhí)行的軟件再中毒之后，病毒往往會把這個程序的參數(shù)篡改掉以使得這個病毒能和它進(jìn)行連接，與此同時還能使得這個病毒在一開機的時候就能被運行，接著就能夠進(jìn)入到病毒的引導(dǎo)模塊這個模塊可以把病毒放入感染以及破壞的模塊中并能對它們

8、進(jìn)行初始化，再把它們轉(zhuǎn)移給執(zhí)行的軟件，這樣的話就能夠讓這個計算機中毒了還能運轉(zhuǎn)。因為要得到進(jìn)一步的感染以及破壞，病毒往往還能夠?qū)χ袛噙M(jìn)行修改，人們熟悉的一種屬于INT21H的修改，這樣病毒就能夠?qū)τ嬎銠C的一切信息進(jìn)行控制。2.1.2感染模塊感染模塊的任務(wù)是使得病毒能進(jìn)行動態(tài)的感染，屬于病毒傳播中的一個最重要的部分。每一種病毒的感染都是差不多的，不同點主要是環(huán)境的不一樣。病毒在擁有了計算機的掌控能力之后，最開始運行的是條件判斷的部分，辨別出感染的條件；若到達(dá)了這個感染界限的話，病毒的軟件就會被引進(jìn)到放人宿主程序中來進(jìn)行傳播；接著運行剩下的程序，最后再對計算機的軟件進(jìn)行正確的處理。病毒能夠感染電腦

9、中的很多軟件，比如：命令文件、硬盤、軟盤的Bo。t區(qū)、可執(zhí)行文件、覆蓋文件、com文件和硬盤的主引導(dǎo)記錄。而病毒的首要選擇攻擊的對象就是它們，接著再進(jìn)行更廣泛地傳播。病毒軟件得以運行的關(guān)鍵就在于它特殊的感染機制，指的就是它的傳播方法是由病毒軟件的編造人員在編寫的時候就確定的。2.1.3破壞模塊該模塊目標(biāo)是把病毒完成破壞功能，它是病毒的主要模塊。它是執(zhí)行計算機病毒的破壞行為，其里面有執(zhí)行計算機病毒編寫人員預(yù)先設(shè)定好的有破壞行為的碼，這些破壞行為大概是破壞程序、數(shù)據(jù)，或者計算機的時空效率，使得系統(tǒng)的運轉(zhuǎn)變得緩慢，擾亂銀屏顯現(xiàn)，還有的是使計算機死機，這也是病毒為顯示自身的存在與自己的目標(biāo)得到執(zhí)行，病

10、毒早晚會發(fā)作。2.2入侵方式執(zhí)行病毒侵入的重要技術(shù)是對病毒的有效率注進(jìn)“其攻擊目標(biāo)是對方的每種系統(tǒng)，和從計算機主機到各種樣式的傳感器”網(wǎng)橋等，用來促使他們的電腦在重要時刻受到誘導(dǎo)或者死機，沒有辦法實施。從外國的技術(shù)研究狀況來分析，病毒注進(jìn)計算機的方式有下面4種：2.2.1無線方式使用無線電技術(shù)將病毒碼發(fā)送到另一方的電子硬件中。這種方式是計算機病毒注進(jìn)計算機的最好方式，但這個技術(shù)困難程度也是最大的。2.2.2固化式方法將病毒預(yù)先放置在硬軟件當(dāng)中，緊接著將這個硬軟件交給另一方，使得病毒直接傳給另一方電子硬件，必要時把它激發(fā)，以此進(jìn)行攻擊。2.2.3后門攻擊方式后門是計算機安全系統(tǒng)里面的某個小漏洞，

11、這是由軟件設(shè)計人員或者維護(hù)人員設(shè)計，可以讓知曉后門存在的人從正常安全防范措施繞過進(jìn)入計算機。2.2.4數(shù)據(jù)控制鏈侵入方式網(wǎng)絡(luò)技術(shù)的應(yīng)用越來越廣泛，使得計算機病毒從系統(tǒng)的數(shù)據(jù)控制鏈途徑進(jìn)入變成可能。遠(yuǎn)程修改技術(shù)應(yīng)用，可很易地對數(shù)據(jù)控制鏈改變的正常途徑。3病毒的防護(hù)3.1基本原則計算機病毒的防護(hù)要做到以下幾點：(1)病毒檢測能力：計算機病毒一定有很大概率侵入計算機系統(tǒng)，所以，系統(tǒng)中應(yīng)該有對病毒檢測的機制來阻擋外部侵犯病毒。(2)控制病毒傳播的能力：計算機被病毒所感染會是個必然事件。只要病毒侵入到硬件系統(tǒng)中，應(yīng)有著阻擋病毒在系統(tǒng)當(dāng)中隨處散播的實力及手段技巧。(3)清除能力：萬一病毒沖破了系統(tǒng)保護(hù)，即

12、便是制約它的傳播，但是也會有相對應(yīng)的措施把它除去。(4)恢復(fù)能力：在病毒被除去之前，就有數(shù)據(jù)被破壞了，是人們及其害怕但又十分有機會發(fā)生的事件。所以，系統(tǒng)應(yīng)該給予某種高效率的形式來把已被破壞的數(shù)據(jù)進(jìn)行恢復(fù)，使得數(shù)據(jù)破壞帶來自www.Lw5U.com來的損失降至最少。(5)替代操作：大概會有這種狀況出現(xiàn)，當(dāng)問題發(fā)生的時候，目前身邊又沒可以使用的技術(shù)來將此問題解決，但問題依然在運行。為處理這種狀況，系統(tǒng)應(yīng)給予一種替代操作措施：在系統(tǒng)沒有恢復(fù)以前用來替換系統(tǒng)運行，等到問題解決后再把它換回。3.2檢測方法計算機病毒要傳染，一定有跡象可循。對計算機病毒的檢測，就是要去寄生場地去查詢，看看非正常情況是否出現(xiàn)

13、并把存在計算機病毒進(jìn)行確認(rèn)。病毒未激發(fā)時在磁盤當(dāng)中，它被激活時存留在內(nèi)存當(dāng)中。對檢測計算機病毒方法可以分成檢測磁盤和檢測內(nèi)存兩種方法。對磁盤檢測時一定是要不帶病毒的內(nèi)存，這樣檢測人員可能得到一些計算機病毒給予假狀況。所以，只有在要求確認(rèn)某一種病毒的類別與對它展開解析及研討時，這樣檢測情況才是真實的。3.2.1預(yù)掃描技術(shù)它可以非間接CPU行為模擬來對不同種病毒活動檢測，研究分析這個病毒碼，是針對不可知曉的計算機病毒特別設(shè)計的。3.2.2校驗和法把正常文檔包含的內(nèi)容，對它“校驗和”展開計算，把校驗和寫進(jìn)文檔中或者寫進(jìn)其他文檔中存儲。特定時期地或者每一次對文檔使用之前，檢查文檔目前內(nèi)容計算得出的校驗

14、和與以前存儲的校驗和對比，用這來實現(xiàn)文檔是不是被病毒感染。使用該方法檢查病毒是否存在，它能檢查已知及未知的病毒，但它識別不出是哪種病毒，病毒的名稱報不出。3.2.3特征碼法該法是IT行業(yè)認(rèn)為對已知病毒的最簡單檢測方法。原理是把一切病毒的病毒碼用來對比解析，并把這些病毒獨特的特點集中在某個病毒碼數(shù)據(jù)庫中，用掃描形式把要檢測文檔和病毒碼數(shù)據(jù)庫中的病毒碼展開逐一比較，如果有相同碼出現(xiàn)，就可以判斷這個程序已經(jīng)被病毒破壞了。3.2.4軟件模擬法多種形態(tài)性質(zhì)病毒每一次侵入后都會改變它的病毒密碼，特征碼法無法解決此病毒。由于多種形態(tài)性質(zhì)病毒執(zhí)行了改變密碼的形式，而每一次所使用密鑰不盡相同，將感染病毒的文檔中的病毒碼與正常病毒碼對比，沒有辦法尋找到一樣的可以成為這個特點的穩(wěn)定碼。為了檢查出此病毒，可以使用軟件模擬法。用該方法來模擬與解析程序的運轉(zhuǎn)，之后用虛擬機上展開檢查查毒。新式檢測軟件加入