計算機病毒的原理與防范

摘要結(jié)合現(xiàn)在這個階段的實際情況來看，計算機病毒的波及范圍是愈發(fā)廣泛了，而且已經(jīng)為電腦網(wǎng)絡(luò)的安全性造成了很大的威脅。只有知道更加詳細、全面的電腦知識，方可以無懼任何的電腦病毒。故而筆者在這篇文章當(dāng)中就專門針對電腦病毒的一些情況來展開相應(yīng)的介紹，從而獲得更為理性的了解，并基于此而提出部分更為有效的預(yù)防手段，希望可以盡可能的避免由于電腦病毒而造成的各種危害。所以這也就充分說明了，更為有效的防范措施對于電腦病毒預(yù)防來講，是最為有效的和經(jīng)濟的，也應(yīng)當(dāng)被大家所重視。在這一過程中，應(yīng)該先對電腦病毒進行充分的了解和感知，進而去對其造成的攻擊進行預(yù)防，在有效保護電腦相關(guān)數(shù)據(jù)安全的基礎(chǔ)上，讓互聯(lián)網(wǎng)的積極作用被充分的發(fā)揮出來。關(guān)鍵詞：計算機；病毒；傳播途徑；預(yù)防第1章計算機病毒的概念及危害1.1計算機病毒的概念這種病毒指的是通過相關(guān)研制人員在電腦程序內(nèi)添加了具有破壞性的功能或數(shù)據(jù)的相關(guān)代碼，從而對電腦的應(yīng)用造成影響，并且可以進行自主復(fù)制的一組電腦指令或程序代碼。計算機病毒具有傳播性、隱蔽性、感染性、潛伏性、可激發(fā)性、表現(xiàn)性或破壞性。計算機病毒的生命周期：開發(fā)期→傳染期→潛伏期→發(fā)作期→發(fā)現(xiàn)期→消化期→消亡期。其實這種病毒通常表現(xiàn)為一個程序，當(dāng)然優(yōu)勢也會表現(xiàn)為一段可執(zhí)行碼，如同生物病毒那般，存在著自我繁衍、彼此感染、激活與重生等這些鮮明特點。也正是因為電腦病毒存在比較特殊的復(fù)制功能，所以說可以迅速的擴散開來，且很難完全清除，它們可以附著于不同類型的文件當(dāng)中，只要文件使用者在實施復(fù)制、或者是傳送操作的時候，這些病毒同樣會隨之轉(zhuǎn)移，并繼續(xù)擴散。[1]1.2計算機病毒的特征1.繁殖性這一病毒與生物病毒有一定的相似度，那就是能夠不斷的繁殖，它會在正常程序被使用時隨之出現(xiàn)自主復(fù)制。因此我們可以通過它的感染以及其繁殖特征來進行判定。[2]2.破壞性當(dāng)電腦染上病毒以后，也許就會造成正常程序難以使用，而且也會將電腦里面的部分文件予以刪除、或者是直接被損壞，甚至也可能會對其硬件環(huán)境造成很大的不利影響。3.傳染性這里的傳染性指的是電腦病毒經(jīng)由改變其他程序把自己的復(fù)制品或者是相關(guān)變體傳播到別的沒有病毒的對象中，而此類對象就包括程序、系統(tǒng)的某部件等。4.潛伏性這里的潛伏性指的是此種病毒能夠附著在別的媒體上并進行寄生的能力，當(dāng)某電腦被感染后，其病毒會潛伏到所需條件成熟的時候才會呈現(xiàn)出來，從而導(dǎo)致電腦在其運行過程當(dāng)中非?？?。5.隱蔽性通常來講，大部分的計算機病毒均存在著比較強的隱蔽性，而病毒軟件的檢測也往往很難檢測出來。另外，這些具有較強隱蔽性的病毒還是不斷變化的和時隱時現(xiàn)的，故而在對其進行處理時有著極大的難度。[3]6.可觸發(fā)性計算機病毒通常在研制的時候就對其配置了部分觸發(fā)的條件，比方說，在電腦系統(tǒng)的時鐘顯示出某個時間或者是日期時；又比方說當(dāng)電腦系統(tǒng)使用了某個程序時。只要病毒所需的條件得以滿足，那么便會“發(fā)作”，從而讓電腦系統(tǒng)遭受不同程度的破壞。1.3計算機病毒的結(jié)構(gòu)一是觸發(fā)模塊:經(jīng)過對是否滿足指定的觸發(fā)條件進行評估，以控制病毒的感染與破壞活動。二是感染模塊:經(jīng)過對是否滿足指定的觸發(fā)條件進行評估，以控制感染與破壞動作的頻率，讓病毒在隱藏的情況下實施感染與破壞活動。三是破壞模塊:它主要涵蓋了破壞條件的判斷部分，以確定有沒有被破壞，在什么時候被破壞。四是主控模塊:病毒運行時,首先要對病毒的主控模塊予以運行。再由主控模塊去帶動病毒的運行。五是感染標(biāo)志:當(dāng)病毒對宿主程序進行感染時，應(yīng)該將感染標(biāo)志寫進宿主程序中，意味著該程序已經(jīng)被感染。[4]第2章未來計算機病毒的發(fā)展趨勢2.1利用網(wǎng)絡(luò)進行傳播的病毒成為最主要的病毒類型網(wǎng)絡(luò)的發(fā)展不僅讓大家的生活方式出現(xiàn)變化，還讓病毒的傳播途徑越來越廣泛。如今，病毒研發(fā)人員在釋放病毒時的第一選擇就是網(wǎng)絡(luò)途徑，因為這在瞬間便可以侵害整個互聯(lián)網(wǎng)，并導(dǎo)致極大損失，最常見的網(wǎng)絡(luò)病毒包括有蠕蟲和木馬。2.2木馬病毒日益突顯它和一般病毒造成的破壞性并不一樣，通常不會對主機進行直接感染，會隱藏在主機里面，再利用遠程控制，讓別的電腦來破壞被控制的主機，并對其中的機密文件進行竊取。2.3病毒技術(shù)不斷發(fā)展病毒的研發(fā)總是會對先進的計算機技術(shù)進行使用。所以，只要產(chǎn)生了新計算機技術(shù)，那么研發(fā)病毒的人馬上就會對這項技術(shù)進行學(xué)習(xí)，從而把它用在病毒程序的編寫中，這樣會讓病毒程序產(chǎn)生更大的破壞力，并難以被檢測到常用的有Rootkit技術(shù)和映象劫持技術(shù)等這些。[5]第3章計算機病毒的傳播與傳播模型3.1基于網(wǎng)絡(luò)的病毒傳播模式3.1.1通過Email進行傳播只要把病毒代碼添加到Email里，就可以實施傳播，這屬于網(wǎng)絡(luò)病毒擴散的方式之一。因為現(xiàn)在很多年輕人都傾向于使用電子郵箱，從而也就為那些心懷不軌之人提供了可趁之機，最終導(dǎo)致此類傳播方法被很多病毒研制者所使用。此種傳播方式主要包括如下這兩類：首先，直接把那些存在危險的代碼引進到Email中；其次，把那些存在危險的代碼URL連接引進到Email里面。除此之外，病毒借助于Email實施擴散主要包括以下幾步：(1)尋找目標(biāo)地址病毒會對被感染電腦的Email地址簿、歷史記錄以及其硬盤進行可用Email地址的搜索。比方說在臨時Internet文件夾內(nèi)被保存的HTML文件就有可能會含有病毒傳播所適合的Email地址。若使用者安裝并使用了如outlook的軟件，那么病毒就會對其中的郵件地址進行搜索。[6](2)將自身復(fù)制并發(fā)送出去在病毒搜索到了能夠利用的目標(biāo)地址以后，便能夠把自己進行復(fù)制，然后再發(fā)送出去。由于大多數(shù)病毒是十分隱蔽的，因此說在進行郵件發(fā)送時，其并非是直接顯示病毒的，而是對于使用者所用的信紙進行感染，并經(jīng)由改變系統(tǒng)的相關(guān)設(shè)定去讓郵件信紙默認(rèn)成HTML格式。如此一來，在使用者進行郵件發(fā)送的時候，病毒便會主動對郵件的正文進行感染。(3)激活病毒代碼當(dāng)病毒代碼隨著郵件到了接收端以后，并非是自動激活的，這就需要使用者在某些操作中將其激活。所以說，病毒就會采取一些方式去引導(dǎo)使用者對其代碼進行激活，比方說病毒會顯示一些存在著欺騙性的標(biāo)題以及內(nèi)容等，進而在使用者好奇或者是不清楚的情況下打開此類附件，此時就會將病毒代碼給完全激活。3.1.2通過掃描系統(tǒng)漏洞傳播在多種計算機病毒中，蠕蟲病毒代碼則采用了獨立程序形式存在，并不會“寄生”在其他文件中。這一病毒的傳播方式則是借助于遠程掃描Internet內(nèi)所具有的漏洞，再借助此類漏洞把自己傳送到其他的主機中，然后奪取系統(tǒng)的控制權(quán)并對主機實施攻擊和破壞。[7]對于蠕蟲病毒來講，其獲取系統(tǒng)權(quán)限的基本方式包括以下這些：(1)利用系統(tǒng)漏洞它通常會借助于部分系統(tǒng)或者是軟件所存在的漏洞去實施傳播。比如說一些瀏覽器為讓預(yù)覽功能得以實現(xiàn)，就會自主運行相關(guān)的EML文件。蠕蟲和Email傳播存在著較大的差異，其往往是借助于系統(tǒng)的漏洞，從而能夠經(jīng)由遠程去獲取已聯(lián)網(wǎng)計算機的控制權(quán)。(2)利用局域網(wǎng)傳播如果說部分局域網(wǎng)的管理者出現(xiàn)了疏忽，從而導(dǎo)致其中的電腦文件夾能夠被遠程控制，這就會給蠕蟲病毒可鉆的空子。蠕蟲能夠直接對自己進行拷貝，進而復(fù)制到局域網(wǎng)內(nèi)的能夠被改寫的啟動目錄中，最終實現(xiàn)傳播的目的。也有一部分病毒能夠在局域網(wǎng)內(nèi)找到可寫的win.ini、或者是改變注冊表，從而導(dǎo)致被感染的主機在重新啟動時被蠕蟲所利用。(3)利用服務(wù)器漏洞蠕蟲其實也能夠借助于部分較多見的服務(wù)器漏洞，比如說IIS漏洞等，進而得到遠程服務(wù)器的控制權(quán)，然后就能夠隨意的把惡意代碼傳送到服務(wù)器中，最終造成所有訪問這個服務(wù)器的電腦均被感染。3.1.3通過無線電的方式傳播其實無線電同樣也可以把病毒擴散到其他的電子系統(tǒng)中，再經(jīng)接收設(shè)備把病毒傳送到口標(biāo)機器中；另外，還能夠假冒合法的無線傳輸數(shù)據(jù)進行病毒碼的發(fā)送，進而對網(wǎng)絡(luò)系統(tǒng)實施感染以及攻擊。3.2幾個經(jīng)典的計算機病毒傳播模型3.2.1SIS模型我們一般把Susceptible-Infected-Susceptible模型給簡單的叫做SIS模型，主要是把網(wǎng)絡(luò)內(nèi)的個體劃分成易感染（S）與感染（I）兩類狀態(tài)。在病毒對某易感染節(jié)點予以感染以后，就會變成感染節(jié)點，當(dāng)這一節(jié)點被處理好以后就又變成易感染節(jié)點，所以說，病毒能夠在群體中進行反復(fù)傳播，進而得以長時間的存在。它的傳播模型在下圖3.1中可以看見：圖3.1SIS病毒傳播模型SIS模型可用微分方程如下:（3.1）我們根據(jù)以上這些方程來看，當(dāng)中所代表的是沾染病毒的一個機率所代表的是將病毒給徹底清除掉的一個機率所代表的是單位時間中被處理好的感染者數(shù)量，N所代表的是網(wǎng)絡(luò)內(nèi)所含的節(jié)點總數(shù)量，所代表的是剛開始傳播病毒時被感染的電腦數(shù)量。在SIS模型中，其實也沒有對易染節(jié)點經(jīng)由反病毒手段獲取免疫的相關(guān)問題進行認(rèn)真思考。3.2.2SIR模型Susceptible-Infected-Removed模型可縮寫為SIR模型。主要是把網(wǎng)絡(luò)內(nèi)的節(jié)點劃分成易感染（(S）、感染（I）以及免疫（R）這三類不同的狀態(tài)。其中的免疫狀態(tài)，則指的是此節(jié)點對于病毒感染存在著抵抗能力，也不會再被這種病毒所感染，此時的主機也就脫離了病毒侵害的過程，故而我們也能夠把此類狀態(tài)叫做移除狀態(tài)。[8]圖3.2SIR病毒傳播模型該模型的狀態(tài)方程如下:（3.2）我們根據(jù)以上這些方程來看，當(dāng)中所代表的是病毒感染機率所代表的是病毒的清除機率，N所代表的是網(wǎng)絡(luò)內(nèi)所含的節(jié)點總數(shù)量?；谏飳W(xué)模型進而設(shè)立了SIS與SIR兩種模型，但是，對于計算機病毒來講，本身和生物學(xué)病毒具有著較大的差異，如果生硬的進行模型套用則必定會出現(xiàn)不適合的地方。比如說著兩種模型對于病毒的傳播只考慮常與，并未對外來因素所形成的影響進行考慮。所以，人們又對這些模型進行了相應(yīng)的完善。[9]3.2.3SEIR模型我們一般是把Susceptible-Exposed-Infected-Removed模型給簡單的叫做SEIR模型。其基于SIR模型增加了一項潛伏狀態(tài)，主要是對于一些已收到病毒代碼，但是還沒有表現(xiàn)出病毒特點的個體予以闡述。而別的狀態(tài)則和SIR模型中的定義相同。其認(rèn)為病毒在傳播的過程中具有著感染延遲的情況，具有著一個潛伏期，只有被相關(guān)操作激活后才能夠?qū)€體進行感染，而在這個潛伏期中，感染個體是不會呈現(xiàn)出被感染癥狀的。因此說，從這個模型來看的話，即便是已被治愈的節(jié)點，還是存在一定的幾率變成易感染節(jié)點。[10]圖3.3SEIR病毒傳播模型對于SEIR模型的實質(zhì)來講，其屬于SIS與SIR兩個模型的有效結(jié)合。這個模型不但考慮了被治愈后的節(jié)點擁有了免疫的現(xiàn)象，而且還對于感染節(jié)點會再次被別的病毒感染而變成易染節(jié)點的狀況進行了考慮。也就是說比較適合對于把全部病毒都當(dāng)成整體的情況進行闡述。在SEIR模型和SIR模型進行對比時，前者所具有的優(yōu)點就是對病毒傳播過程進行了更加詳細的考慮。按照前面所述的狀態(tài)轉(zhuǎn)換圖，我們最終能夠得出SEIR模型的相應(yīng)數(shù)學(xué)模型：（3.3）3.2.4SIDR模型Susceptible-Infectious-Detected-Removed模型，簡稱SIDR模型〔191。是一個描述病毒傳播和清除過程的模型。有以下這幾種狀態(tài):Susceptible(S)表示該節(jié)點有感染病毒的可能，Infectious(I)說明節(jié)點已經(jīng)感染病毒，而且會向外傳播，Detected(D)說明節(jié)點被感染，不過已被檢測到并遏制其向外傳播，Removed(R)說明節(jié)點對病毒有免疫力，不會被同一種病毒感染。圖3.4SIDR病毒傳播模型其中，參為感染率，表示疫苗傳播率，也用于表示檢測率，即一個感染節(jié)點被檢測到的概率表示感染節(jié)點被檢測到后轉(zhuǎn)化為免疫節(jié)點的概率。3.2.5雙因素模型這種模型不僅將蠕蟲的防御措施考慮在內(nèi)，還涉及到感染率對病毒傳播造成的影響。當(dāng)病毒進行擴散時，大家肯定就能了解到這種病毒的危害性，然后積極使用有效措施。通常用以下微分表達式去表示雙因素傳播模型：（3.4）其表示t時刻的感染率，定義如下:（3.5）在公式((3.4)中，R(t)表示t時刻被免疫的主機數(shù)，I(t)表示t時刻感染病毒的主機數(shù)，Q（t）表示t時刻尚未被感染前就作了免疫處理的主機數(shù)，S(t)表示t時刻易感染主機的數(shù)目，J(t)則表示到t時刻時已被感染過的主機數(shù)。其中為常量。由上述公式能推導(dǎo)出如下關(guān)系表達式:（3.6）第4章計算機病毒防御策略有效的防范是處理病毒攻擊的最佳方式，能夠?qū)ζ鋫鞑ミM行有效的抑制。然而，因為網(wǎng)絡(luò)自身所具有的復(fù)雜性，以及相關(guān)技術(shù)上的制約，對于病毒的防范也是比較困難的一件事。何況從現(xiàn)在這個階段來看的話，也只是采用了檢測與排除的方式為主，基本上都是對以下防御對策進行使用：4.1基于主機的檢測策略以主機為主要依據(jù)的病毒防御又可以分為下面這三類：首先是對于特征碼的匹配：經(jīng)對于主機所接收的代碼實施掃描，然后和病毒特征庫內(nèi)所含的特征碼實施匹配，進而去判定所接收的代碼是不是惡意的。在這一方面，若是病毒和它的變種存在著共性的話，就能夠把此類共性看作是“特征碼”，再依照這些具有特點的碼去搜查出病毒。那么新病毒的出現(xiàn)就會出現(xiàn)新的“特征碼”，因此說此方式需要持續(xù)的實施更新，才能最大程度的減少新病毒的感染幾率。其次是對于權(quán)限實施管控的技術(shù)：當(dāng)主機被惡意代碼侵入后，就一定要奪取使用權(quán)限后才可以導(dǎo)致破壞。所以說，若可以更好的管控主機中的程序權(quán)限，則能夠盡可能的降低惡意代碼的破壞能力。此類病毒檢測技術(shù)必須要對可疑程序代碼的指令序列進行檢測和識別，并將它的安全級別實施合理排序，還要依照病毒代碼的相應(yīng)特征去進行相關(guān)權(quán)值的設(shè)定。若某程序指令序列所具有的總加權(quán)值高于許可的閉值，則反映出這個程序內(nèi)具有著病毒代碼。最后是完整性技術(shù)：一般情況下，病毒代碼多為嵌入或著是附著在別的文檔程序中來進行傳播的，而被感染的文件或者是程序在完整性上就往往是有所欠缺的。故而，在應(yīng)用文件之前對其進行檢測，以判斷是不是和最初保存的相同，進而就能夠判定其是不是被感染了。對于文件的完整性進行檢測的技術(shù)成為了一個比較高效的檢測方式，這是因為病毒對文件進行感染時也必定會對原文件進行修改。總而言之，以主機為基礎(chǔ)的病毒防治措施就要求使用者的主機中必須安裝相關(guān)防毒軟件，并要對防毒軟件進行及時的更新。所以說，其不足之處就是可管理性比較差以及成本比較高等。4.2基于網(wǎng)絡(luò)的檢測策略以網(wǎng)絡(luò)為基礎(chǔ)的病毒檢測分為下面兩類技術(shù)：首先是對于異常情況進行檢測：當(dāng)病毒進行傳播的時侯，往往要發(fā)送很多網(wǎng)絡(luò)掃描探測包，這就會造成網(wǎng)絡(luò)流量的顯著變化，所以說，對于這種異常行為實施檢測和有效的管控就成為了一類比較有效的反病毒措施。這種方式的優(yōu)點就是可以非常快的尋找出網(wǎng)絡(luò)流量所出現(xiàn)的異常，從而對其進行有效的處理措施，不但可以對已經(jīng)知道的病毒進行檢測，還可以檢測出那些還未探知的病毒。但是，不足之處就是形成了較多的誤報情況。其次是在誤用方面進行檢測：以特征碼為基礎(chǔ)，對于待測數(shù)據(jù)流進行有效的檢測和比對，進而剖析其是不是帶有病毒。用于檢測的特征碼規(guī)則可分為多種，如協(xié)議類型、數(shù)據(jù)包長度等。這一檢測方式的優(yōu)勢就是有較高的準(zhǔn)確率，可以獲知病毒的具體類型，但不足之處就是無法檢測出病毒庫中沒有收錄的新病毒，這是需要進一步提高和解決的問題。以網(wǎng)絡(luò)為基礎(chǔ)的防治措施，可以從宏觀方面去對病毒傳播實施管控，而且是比較容易實現(xiàn)的，在維護方面也更加便捷。對于計算機的傳播模型實施深入的探討，主要目的就是能夠更好的去認(rèn)識病毒傳播的相應(yīng)特征，進而制定出更加高效的檢測以及防御病毒的方案，讓使用者的計算機應(yīng)用得以有效的保護。4.3建立起一套行之有效的計算機病毒防護體系，并把好硬件的安全關(guān)對于這個防護體系來講，它本來是由多重防護層構(gòu)成的，包括了病毒檢測層、清理層以及系統(tǒng)恢復(fù)層等這些，而且各層均是在軟、硬件共同支持下去實施規(guī)范性操作的。其中，閉硬件就是計算機防護中的一個關(guān)鍵性條件，此類信息系統(tǒng)所使用的設(shè)備均要符合國家的相關(guān)規(guī)定。4.4加強工作站的防治技術(shù)工作站如同預(yù)防網(wǎng)絡(luò)病毒的一座大門，在它的相關(guān)設(shè)備上就安設(shè)了防病毒卡，因此能夠?qū)τ嬎銠C中隱藏的病毒進行檢測，而定期的對其實施升級便能夠在很大程度上提高其工作速度；另外，在網(wǎng)絡(luò)接口位置安設(shè)防病毒芯片，也能夠起到管控與防范的作用，不僅對工作站產(chǎn)生保護，能讓網(wǎng)絡(luò)傳輸速度增快，還能夠經(jīng)定期的病毒檢測去選擇更加合適的病毒防治軟件。4.5從安全、可靠的渠道下載軟件現(xiàn)在有很多網(wǎng)站都提供了軟件下載的功能，可是我們并不知道哪些渠道是真正安全可靠的，所以這種局面下，最好是在有良好信譽和口碑的網(wǎng)站中實現(xiàn)下載功能，以充分保證計算機不會受到病毒的入侵，而且該方法是十分簡單。4.6采用服務(wù)器的防治技術(shù)作為網(wǎng)絡(luò)中的重要組成部分，服務(wù)器如果出現(xiàn)癱瘓的情況，那么必然會導(dǎo)致無法衡量的損失。只有確保服務(wù)器免遭病毒的入侵，才可以對病毒的傳播進行遏制。這就要求我們在平時用電腦時千萬不可以隨便打開來自陌生對象發(fā)送的郵件，即使存在附件說明，也建議不要打開，否則將很容易在打開郵件的過程中將病毒帶入到計算機中。結(jié)論對于電腦的病毒傳播模型以及相關(guān)的防范措施進行深入的探討，就是為了能夠更加深入的認(rèn)識當(dāng)前電腦病毒傳播的現(xiàn)狀，進而去制定出更好的應(yīng)對措施，盡可能的減少因計算機病毒而帶給使用者的各種損害，更好的建立起健康的和安全的互聯(lián)網(wǎng)大環(huán)境。對于這些方面的研究，目前已經(jīng)被全世界的相關(guān)專家所重視。但是，已經(jīng)取得的部分研究成果還無法很好的滿足病毒傳播的具體數(shù)據(jù)?，F(xiàn)代科技已取得了長