第2章 計(jì)算機(jī)病毒理論模型

第2章計(jì)算機(jī)病毒理論模型劉功申上海交通大學(xué)網(wǎng)絡(luò)空間安全學(xué)院本章學(xué)習(xí)目標(biāo)掌握計(jì)算機(jī)病毒的抽象描述掌握基于圖靈機(jī)的計(jì)算機(jī)病毒模型掌握基于遞歸函數(shù)的計(jì)算機(jī)病毒模型掌握網(wǎng)絡(luò)蠕蟲傳播模型掌握計(jì)算機(jī)病毒預(yù)防理論模型虛擬案例一個(gè)文本編輯程序被病毒感染了。每當(dāng)使用文本編輯程序時(shí)，它總是先進(jìn)行感染工作并執(zhí)行編輯任務(wù)，其間，它將搜索合適文件以進(jìn)行感染。每一個(gè)新被感染的程序都將執(zhí)行原有的任務(wù)，并且也搜索合適的程序進(jìn)行感染。這種過程反復(fù)進(jìn)行。當(dāng)這些被感染的程序跨系統(tǒng)傳播，被銷售，或者送給其他人時(shí)，將產(chǎn)生病毒擴(kuò)散的新機(jī)會(huì)。最終，在1990年1月1日以后，被感染的程序終止了先前的活動(dòng)?，F(xiàn)在，每當(dāng)這樣的一個(gè)程序執(zhí)行時(shí)，它將刪除所有文件。計(jì)算機(jī)病毒偽代碼{main:= Callinjure; … Callsubmain; … Callinfect;}{injure:= Ifconditionthenwhateverdamageistobedoneandhalt;}{infect:= Ifconditiontheninfectfiles;}案例病毒的偽代碼{main:= Callinjure; Callsubmain; Callinfect;}{injure:= Ifdate>=Jan.1,1990then Whilefile!=0 File=get-random-file; Deletefile; Halt;}{infect:= Iftruethen File=get-random-executable-file; Renamemainroutinesubmain; Prependselftofile;}精簡(jiǎn)后的偽代碼(壓縮或變型){main:= Callinjure; Decompresscompressedpartofprogram; Callsubmain; Callinfect;}{injure:= Iffalsethenhalt;}{infect:=Ifexecutable!=0thenFile=get-random-executable-file;Renamemainroutinesubmain;Compressfile;Prependselftofile;

}病毒偽代碼的共同性質(zhì)1．對(duì)于每個(gè)程序，都存在該程序相應(yīng)的感染形式。也就是，可以把病毒看作是一個(gè)程序到一個(gè)被感染程序的映射。2．每一個(gè)被感染程序在每個(gè)輸入（輸入是指可訪問信息，例如，用戶輸入，系統(tǒng)時(shí)鐘，數(shù)據(jù)或程序文件等）上形成如下3個(gè)選擇：破壞(Injure)：不執(zhí)行原先的功能，而去完成其它功能。何種輸入導(dǎo)致破壞以及破壞的形式都與被感染的程序無關(guān)，而只與病毒本身有關(guān)。傳染(Infect)：執(zhí)行原先的功能，并且，如果程序能終止，則傳染程序。對(duì)于除程序以外的其它可訪問信息（如時(shí)鐘、用戶/程序間的通信）的處理，同感染前的原程序一樣。另外，不管被感染的程序其原先功能如何（文本編輯或編譯器等），它傳染其它程序時(shí)，其結(jié)果是一樣的。也就是說，一個(gè)程序被感染的形式與感染它的程序無關(guān)。模仿(Imitate)：既不破壞也不傳染，不加修改地執(zhí)行原先的功能。這也可看作是傳染的一個(gè)特例，其中被傳染的程序的個(gè)數(shù)為零?；趫D靈機(jī)的計(jì)算機(jī)病毒的計(jì)算模型基本圖靈機(jī)(TM)圖靈機(jī)的經(jīng)典問題：圖靈機(jī)停機(jī)問題圖靈機(jī)存在不可計(jì)算數(shù)隨機(jī)訪問計(jì)算機(jī)（RandomAccessMachine——RAM）ENIAC隨機(jī)訪問存儲(chǔ)程序計(jì)算機(jī)（RamdomAccessStoredProgramMachine,RASPM）附帶后臺(tái)存儲(chǔ)帶的隨機(jī)訪問存儲(chǔ)程序計(jì)算機(jī)(TheRandomAccessStoredProgramMachinewithAttachedBackgroundStorage,RASPM_ABS)現(xiàn)在的計(jì)算機(jī)基于RASPM_ABS的病毒計(jì)算機(jī)病毒被定義成程序的一部分，該程序附著在某個(gè)程序上并能將自身鏈接到其他程序上。當(dāng)病毒所附著的程序被執(zhí)行時(shí)，計(jì)算機(jī)病毒的代碼也跟著被執(zhí)行。1.病毒的傳播模型如果病毒利用了計(jì)算機(jī)的一些典型特征或服務(wù)，那么病毒的這種傳播方式被稱作專用計(jì)算機(jī)的傳播方式。如果病毒在傳播時(shí)沒有利用計(jì)算機(jī)的服務(wù)，那么此傳播方式被稱為獨(dú)立于計(jì)算機(jī)的傳播方式。PC中，引導(dǎo)型病毒就具有專用計(jì)算機(jī)的傳播方式感染C源文件的病毒就是具有獨(dú)立計(jì)算機(jī)的傳播方式2.少態(tài)型病毒和多態(tài)型病毒當(dāng)有兩個(gè)程序被同樣的病毒以指定傳播方式感染，并且病毒程序的代碼順序相同時(shí)，這種傳播方式稱為少形態(tài)的。當(dāng)有兩個(gè)程序被同樣的病毒以指定傳播方式感染，并且病毒程序的代碼順不同時(shí)，這種傳播方式稱為多形態(tài)的。病毒代碼的全部或部分被使用不同的密鑰加密是多態(tài)的一種特殊形式。多態(tài)型病毒的實(shí)現(xiàn)要比少態(tài)型病毒的實(shí)現(xiàn)復(fù)雜得多，它們能改變自身的譯碼部分。兩種實(shí)現(xiàn)方式：1）通過從準(zhǔn)備好的集合中任意選取譯碼程序。2）通過在傳播期間隨機(jī)產(chǎn)生程序指令來完成。例如，可以通過如下的方法來實(shí)現(xiàn)：改變譯碼程序的順序；處理器能夠通過一個(gè)以上的指令（序列）來執(zhí)行同樣的操作；向譯碼程序中隨機(jī)地放入啞命令（DummyCommand）。3.病毒檢測(cè)的一般問題如果存在著某一能夠解決病毒檢測(cè)問題的算法，那么就能通過建立圖靈機(jī)來執(zhí)行相應(yīng)的算法。不幸的是，即使在最簡(jiǎn)單的情況下，我們也不可能制造出這樣的圖靈機(jī)。定理：不可能制造出一個(gè)圖靈機(jī)，利用該計(jì)算機(jī)，我們能夠判斷RASPM_ABS中的可執(zhí)行文件是否含有病毒。4.病毒檢測(cè)方法如果我們只涉及一些已知病毒的問題，那么就可能簡(jiǎn)化病毒檢測(cè)問題。在此情況下，可以將已知病毒用在檢測(cè)算法上。我們從每個(gè)已知病毒提取一系列代碼，當(dāng)病毒進(jìn)行傳播時(shí)，它們就會(huì)在每個(gè)被感染了的文件中顯示出來。我們將這一系列代碼成為序列。病毒檢測(cè)程序的任務(wù)就是在程序中搜尋這些序列。檢測(cè)多態(tài)型病毒的難點(diǎn)不能確定多態(tài)型病毒是否含有某些序列，能夠通過這些序列可以檢測(cè)病毒的所有變異。當(dāng)發(fā)現(xiàn)序列是隨機(jī)的時(shí)，不知道發(fā)生錯(cuò)誤報(bào)警的概率。發(fā)現(xiàn)任意序列的概率：N表示一個(gè)序列的長(zhǎng)度；M表示序列的總個(gè)數(shù)；用L(L>>N)表示被檢測(cè)文件的總長(zhǎng)度；n是字符集大?。▽?duì)應(yīng)二進(jìn)制代碼為16）該采用什么樣的費(fèi)用標(biāo)準(zhǔn)來衡量序列搜尋算法的實(shí)現(xiàn)。論文查重復(fù)？？？基于遞歸函數(shù)的計(jì)算機(jī)病毒的數(shù)學(xué)模型Adlemen給出的計(jì)算機(jī)病毒形式定義：（1）S表示所有自然數(shù)有窮序列的集合。（2）e表示一個(gè)從S╳S到N的可計(jì)算的入射函數(shù)，它具有可計(jì)算的逆函數(shù)。（3）對(duì)所有的s,t∈S,用<s,t>表示e（s,t）。（4）對(duì)所有部分函數(shù)f：N→N及所有s,t∈S,用f(s,t)表示f(<s,t>)。（5）e′表示一個(gè)從N╳N到N的可計(jì)算的入射函數(shù)，它具有可計(jì)算的逆函數(shù)，并且對(duì)所有i,j∈N，e′(i,j)≥i。（6）對(duì)所有i,j∈N，<i,j>表示e′(i,j)。（7）對(duì)所有部分函數(shù)f：N→N及所有i,j∈N,f(i,j)表示f(<i,j>)。（8）對(duì)所有部分函數(shù)f：N→N及所有n∈N,f(n)↓表示f(n)是有定義的。（9）對(duì)所有部分函數(shù)f：N→N及所有n∈N,f(n)↑表示f(n)是未定義的。Adlemen病毒模型有如下缺陷：⑴計(jì)算機(jī)病毒的面太廣。不具傳染性的也當(dāng)作病毒⑵定義并沒有反映出病毒的傳染特性。⑶定義不能體現(xiàn)出病毒傳染的傳遞特性。⑷“破壞”的定義不合適。原程序功能保留不明確Internet蠕蟲傳播模型SI(Susceptible[易受感染的]-Infected)SIS(Susceptible-Infected-Susceptible)SIR(Susceptible-Infected-Removed)SIS模型和SI模型某種群中不存在流行病時(shí)，其種群（N）的生長(zhǎng)服從微分系統(tǒng)。其中表示t時(shí)刻該環(huán)境中總種群的個(gè)體數(shù)量，表示種群中單位個(gè)體的生育率，d表示單位個(gè)體的自然死亡率。

有疾病傳播時(shí)的模型S，I分別表示易感者類和染病者類β表示一個(gè)染病者所具有的最大傳染力r表示疾病的恢復(fù)力d表示自然死亡率a表示額外死亡率流行病的傳播服從雙線形傳染率的SIS模型總種群的生長(zhǎng)為：在SIS模型中，當(dāng)a=0時(shí)，該模型變?yōu)镾I模型。SIR模型兩個(gè)假設(shè)：已被病毒感染的文件（檔）具有免疫力。病毒的潛伏期很短，近似地認(rèn)為等于零。把系統(tǒng)中可執(zhí)行程序分為三種：被傳播對(duì)象，即尚未感染病毒的可執(zhí)行程序，用S(t)表示其數(shù)目。帶菌者，即已感染病毒的可執(zhí)行程序，用p(t)表示其數(shù)目。被感染后具有免疫力的可執(zhí)行程序，也包括被傳播后在一定時(shí)間內(nèi)不會(huì)運(yùn)行的可執(zhí)行程序（相當(dāng)患病者死去），用R(t)表示其數(shù)目。λ表示傳播（感染）速度；表示每個(gè)時(shí)間段接觸次數(shù)；ｕ表示第Ⅱ類程序變成第Ⅲ類程序的速度；公式的解釋：⑴S(t)的變化率即經(jīng)第Ⅰ類程序變成第Ⅱ類程序的變化率，它與傳染者和被傳染者之間的接觸次數(shù)有關(guān)，并且正比于這兩類文件的乘積。 ⑵R(t)的變化率即第Ⅱ類程序變成第Ⅲ類程序的變化率，與當(dāng)時(shí)第Ⅱ類的可執(zhí)行程序數(shù)目成正比。⑶在考慮的時(shí)間間隔內(nèi)，系統(tǒng)內(nèi)可執(zhí)行程序的總數(shù)變化不大，并且假設(shè)它恒等于常數(shù)（即沒有文件被撤消，也沒有外面的新文件進(jìn)來），從而可執(zhí)行程序總數(shù)的變化率為零。預(yù)防理論模型Fred.Cohen”四模型”理論(1)基本隔離模型該模型的主要思想是取消信息共享，將系統(tǒng)隔離開來，使得計(jì)算機(jī)病毒既不能從外部入侵進(jìn)來，也不可能把系統(tǒng)內(nèi)部的病毒擴(kuò)散出去。(2)分隔模型將用戶群分割為不可能互相傳遞信息的若干封閉子集。由于信息處理流的控制，使得這些子集可被看作是系統(tǒng)被分割成的相互獨(dú)立的子系統(tǒng)，使得計(jì)算機(jī)病毒只能感染整個(gè)系統(tǒng)中的某個(gè)子系統(tǒng)，而不會(huì)在子系統(tǒng)之間進(jìn)行相互傳播。(3)流模型對(duì)共享的信息流通過的距離設(shè)定一個(gè)閥值，使得一定量的信息處理只能在一定的區(qū)域內(nèi)流動(dòng)，若該信息的使用超過設(shè)定的閥值，則可能存在某種危險(xiǎn)。(4)限制解釋模型即限制兼容，采用固定的解釋模式，就有可能不被計(jì)算機(jī)病毒感染。類IPM模型把計(jì)算機(jī)程序或磁盤文件類比為不斷生長(zhǎng)變化的植物。把計(jì)算機(jī)系統(tǒng)比作一個(gè)由許多植物組成的田園。把計(jì)算機(jī)病毒看成是侵害植物的害蟲。把計(jì)算機(jī)信息系統(tǒng)周圍的環(huán)境看作農(nóng)業(yè)事物處理機(jī)構(gòu)。農(nóng)業(yè)上的IPM(IntegratedPestManagement)模型實(shí)質(zhì)上是一種綜合管理方法。它的基本思想是：一個(gè)害蟲管理系統(tǒng)是與周圍壞境和害蟲種類的動(dòng)態(tài)變化有關(guān)的。它以盡可能溫和的方式利用所有適用技術(shù)和措施治理害蟲，使它們的種類維持在不足以引起經(jīng)濟(jì)損失的水平之下。計(jì)算機(jī)病毒的結(jié)構(gòu)和工作機(jī)制四大模塊：感染模塊觸發(fā)模塊破壞模塊（表現(xiàn)模塊）引導(dǎo)模塊（主控模塊）兩個(gè)狀態(tài)：靜態(tài)動(dòng)態(tài)工作機(jī)制引導(dǎo)模塊引導(dǎo)前——寄生寄生位置：引導(dǎo)區(qū)可執(zhí)行文件寄生手段：替代法（寄生在引導(dǎo)區(qū)中的病毒常用該法）鏈接法（寄生在文件中的病毒常用該法）引導(dǎo)過程駐留內(nèi)存竊取系統(tǒng)控制權(quán)恢復(fù)系統(tǒng)功能引導(dǎo)區(qū)病毒引導(dǎo)過程搬遷系統(tǒng)引導(dǎo)程序-〉替代為病毒引導(dǎo)程序啟動(dòng)時(shí)-〉病毒引導(dǎo)模塊-〉加載傳染、破壞和觸發(fā)模塊到內(nèi)存-〉使用常駐技術(shù)最后，轉(zhuǎn)向系統(tǒng)引導(dǎo)程序-〉引導(dǎo)系統(tǒng)文件型病毒引導(dǎo)過程修改入口指令-〉替代為跳轉(zhuǎn)到病毒模塊的指令執(zhí)行時(shí)-〉跳轉(zhuǎn)到病毒引導(dǎo)模塊-〉病毒引導(dǎo)模塊-〉加載傳染、破壞和觸發(fā)模塊到內(nèi)存-〉使用常駐技術(shù)最后，轉(zhuǎn)向程序的正常執(zhí)行指令-〉執(zhí)行程序感染模塊病毒傳染的條件被動(dòng)傳染（靜態(tài)時(shí)）用戶在進(jìn)行拷貝磁盤或文件時(shí)，把一個(gè)病毒由一個(gè)載體復(fù)制到另一個(gè)載體上?；蛘呤峭ㄟ^網(wǎng)絡(luò)上的信息傳遞，把一個(gè)病毒程序從一方傳遞到另一方。這種傳染方式叫做計(jì)算機(jī)病毒的被動(dòng)傳染。主動(dòng)傳染（動(dòng)態(tài)時(shí)）以計(jì)算機(jī)系統(tǒng)的運(yùn)行以及病毒程序處于激活狀態(tài)為先決條件。在病毒處于激活的狀態(tài)下，只要傳染條件滿足，病毒程序能主動(dòng)地把病毒自身傳染給另一個(gè)載體或另一個(gè)系統(tǒng)。這種傳染方式叫做計(jì)算機(jī)病毒的主動(dòng)傳染。傳染過程系統(tǒng)（程序）運(yùn)行-〉各種模塊進(jìn)入內(nèi)存-〉按多種傳染方式傳染傳染方式立即傳染，即病毒在被執(zhí)行的瞬間，搶在宿主程序開始執(zhí)行前，立即感染磁盤上的其他程序，然后再執(zhí)行宿主程序。駐留內(nèi)存并伺機(jī)傳染，內(nèi)存中的病毒檢查當(dāng)前系統(tǒng)環(huán)境，在執(zhí)行一個(gè)程序、瀏覽一個(gè)網(wǎng)頁時(shí)傳染磁盤上的程序，駐留在系統(tǒng)內(nèi)存中的病毒程序在宿主程序運(yùn)行結(jié)束后，仍可活動(dòng)，直至關(guān)閉計(jì)算機(jī)。文件型病毒傳染機(jī)理首先根據(jù)病毒自己的特定標(biāo)識(shí)來判斷該文件是否已感染了該病毒；當(dāng)條件滿足時(shí)，將病毒鏈接到文件的特定部位，并存入磁盤中；完成傳染后，繼續(xù)監(jiān)視系