网络安全与计算机病毒
中科白癜风医院爱心公益 http://www.kstejiao.com/摘要:从计算机与网络有了连接,就产生了计算机病毒,此时已经是网络发达的时代,计算机病毒也是层出不穷,研究人员针对计算机病毒做出了完整的定义,并分析了病毒的种类和存在模式,以方便于防范和诊治。关键词:计算机病毒网络防范一计算机病毒1.1计算机病毒的定义美国计算机研究专家科恩博士给出:计算机病毒是一种计算机程序,它通过修改其他程序把自己的一个副本或演化的副本插入到其他程序中实施感染。在科恩博士提出的病毒定义基础上,一些研究人员给出了更为精确的病毒定义:计算机病毒是一种计算机程序,它递归地、明确地复制自己或其演化体。在此定义中,“递归”反映了一个文件在被病毒感染以后会进一步感染其他文件;“明确”强调了自我复制是病毒的主要功能。该定义较为抽象,在定义中并没有严格指明病毒的自我复制到底采用什么样的方式进行,这也使得种类各异的计算机病毒都在该定义的覆盖范围下。我国在年2月18日颁布实施的《条例》中又给出了法律性和权威性的定义:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”1.2计算机病毒的特性同时计算机的病毒具有传染性和演化性的特性。计算机病毒的种类众多,要给出一个精确的病毒定义非常困难。其中伴随型病毒尤为典型。伴随型病毒完全不用修改目标程序,而是利用操作系统在执行程序时的一些特性,采用与目标程序同名的方法在系统中进行破坏。(1)传染性。计算机的病毒如同生物界的病毒一样,会通过各种渠道从已感染的文件扩散到未被感染的文件,从已感染的计算机系统扩散到其他未被感染的计算机系统。因此是否具有传染性被作为判断程序是否是计算机病毒的首要条件。(2)潜伏性。设计精巧的计算机病毒在进入计算机系统后通常会较长时间潜伏,除了伺机传染之外,不进行任何特征明显的破坏活动,以保证有充裕的时间进行繁殖扩散。如果一个计算机病毒进入系统后,立刻修改系统分区表信息或是恶意删除系统文件,明显的系统异常将会导致计算机用户查杀病毒或者重新安装系统,其结果是病毒难以广泛扩散,影响面非常有限。(3)可触发性,与潜伏性对应。病毒被编写时一般不会永远潜伏,而是会在特定的条件下被激活以完成设定的工作。计算机病毒的内部往往有一个或者多个触发条件,病毒编写者通过触发条件来控制病毒的感染和破坏活动。被病毒用来作为触发条件的事件多种多样,可以是某个特定日期或者特定时刻,可以是键盘输入特定的字符组合,也可以是病毒内置的计数器达到指定数值,病毒编写者可以根据需要灵活设置病毒的触发条件。(4)寄生性。计算机病毒常常寄生于文件或者硬盘的主引导扇区中。以EXE为扩展名的可执行文件是目前病毒最常寄生的文件类型。病毒寄生在可执行文件中,当执行的文件运行时,病毒会获得优先运行的机会,并常驻内存,伺机感染其他文件并进行破坏。寄生于软、硬盘引导扇区中的病毒称为引导型病毒。此类病毒将自身程序代码占据软、硬盘的引导扇区,而将正常的系统引导记录,以及病毒程序中由于空间限制或者其他原因不便放在引导扇区中的部分代码存储在软、硬盘的其他空间。(5)非授权执行性。计算机系统中一个正常程序通常是在用户的请求下执行,操作系统依据用户的权限为程序分配必要的资源使程序执行。虽然具体的程序执行过程对于用户是透明的,但是程序的执行需要经过用户授权。(6)破坏性。病毒在感染主机上的活动完全取决于编写者的设计。研究人员按病毒对计算机的破坏程度将病毒划分为良性病毒和恶性病毒。良性病毒通常只显示一些文字、动画、或者播放一段音乐,不对系统的正常运作造成大的影响。恶性病毒会严重影响系统的使用。常见的操作包括干扰、中断系统的输入、输出,修改系统的配置,删除系统中的数据和程序,加密磁盘,甚至是格式化磁盘,破坏分区表信息等。病毒的运行势必占用资源,包括CPU运行时间、内存空间、磁盘存储空间等,这都会在一定程度上降低系统的性能。1.3计算机病毒的分类1.按照病毒攻击的操作系统进行分类(1)针对DOS系统的病毒(2)针对WINDOWS系统的病毒(3)针对LINUX和UNIX系统的病毒(4)针对其他操作系统的病毒2.按照病毒的传染对象进行分类(1)引导性病毒(2)文件型病毒(3)复合型病毒(4)宏病毒(5)脚本病毒3.按照病毒的链接方式分类(1)源码型病毒(2)嵌入型病毒(3)外壳型病毒(4)操作系统型病毒4.根据病毒在内存中运行的连续性划分(1)非驻留内存型病毒(2)驻留内存型病毒5.根据病毒的传播媒介划分(1)单机病毒(2)网络病毒6.根据病毒的传播速度划分(1)传播迅速的计算机病毒(2)传播缓慢的计算机病毒二、计算机病毒工作原理每一种计算机病毒从出现到消亡都有一个相对固定的生命周期。具体而言,病毒的生命周期可以划分为六个阶段,即病毒的开发期、病毒的发作期、病毒的发现期、病毒的消化期以及病毒的根除期。病毒的扩散期可以细化为分发传播和自我繁殖两个环节。分发传播指通过各种渠道散播病毒程序。自我繁殖指病毒在进入系统后,会根据需要对符合条件的目标实施病毒感染,完成自我复制。2.1计算机病毒的结构1)引导模块是计算机病毒的基本模块,该模块负责完成病毒正常运行所需的请求内存、修改系统中断等工作。引导模块保证了病毒代码能够获得系统控制权,在系统中动态运行。2)搜索模块是病毒的一个重要功能模块,其主要作用是发现或者说定位病毒的感染对象。3)感染模块是计算机病毒的核心模块,病毒通过感染模块实现自我繁殖。4)表现模块是不同的病毒之间差异最大的部分,病毒编写者在该模块中可以根据自己的主观愿望设定病毒的触发条件,以及病毒在触发以后执行的具体操作。5)标识模块属于病毒的辅助模块,并不是所有病毒都包含这个模块。2.2计算机病毒的工作过程计算机病毒发展的初期,引导型病毒非常普遍。引导型病毒寄生于系统的引导扇区,它们会改变系统的启动流程,在系统启动时获取控制权,为病毒传播奠定基础。引导型病毒的优点是随系统启动,优先运行,但缺点也明显,引导型病毒的隐蔽性太差。三、计算机病毒的自我保护技术计算机病毒技术从问世以来不断演变,其中最突出的是病毒自我保护技术的发展。病毒使用自保护技术旨在对目标实施感染以后尽可能延长在目标系统的存活时间,从而更广泛的传播以及更好地达成破坏目的。病毒在自我保护技术方面的发展,可以划分为增强隐蔽性的技术和抗分析技术两大类。增强隐蔽性的技术指病毒在成功实施感染以后使用户难以发现感染目标出现的变化,同时使防病毒软件难以检测病毒。而病毒抗分析技术旨在阻碍反病毒研究人员通过分析病毒找出对抗病毒的方法,从而使病毒能够长时间传播。3.1病毒增强隐蔽性的技术病毒增强隐蔽性的最基本要求是保持感染目标的外部特性不变。病毒实施感染以后,感染目标的许多外部特性都会发生变化,例如,感染目标的文件长度会增加,文件的修改时间变成了病毒实施感染的时间,文件内容出现变化等。这些变化可能会引起计算机用户的注意,导致病毒被发现,因此,病毒需要维持感染目标的外部特性在感染前后一致。3.2病毒抗分析技术病毒编写者在编写病毒时需要考虑如何使病毒具有抗分析的能力。因为病毒在发布以后,必然会有反病毒研究人员对病毒进行分析,试图确定病毒的工作原理,并且提供有针对性的防护和检测方法。病毒抗分析技术旨在阻挠反病毒研究人员对病毒进行分析,为病毒传播尽可能多的争取时间。反病毒研究人员进行的分析可以分为静态分析和动态分析两种。静态分析指通过反汇编工具对病毒进行反汇编,通过分析病毒的程序代码找出病毒的检测和防护方法。加密病毒代码可以有效隐藏病毒代码的内容,病毒可以通过这种方法对抗静态分析技术。目前很多病毒采用了一种被称为加壳的手段,实际上也是利用加密技术。一个普通的可执行程序在生成以后,利用调试工具对它进行分析和修改非常简单,但是通过加壳处理以后程序分析难度将大大增大。四、计算机病毒的检测与防范反病毒专家指出,防范计算机病毒的终极解决方案是对计算机进行完全隔离,不让计算机与外界进行任何数据交换,但是一台不联网、不使任何移动存储介质的计算机在以开放和共享为主要特征的信息社会难以被用户接受。4.1病毒检测技术的分类1.病毒比较法病毒比较法的基本思想是将需要检测的文件与相应的正常文件比较,根据两者相同与否判断文件是否遭受感染。因为病毒对文件实施感染,通常会导致文件在长度、内容、修改时间等方面出现变化,文件的变化可以作为病毒检测的依据。2.病毒校验和法病毒校验和法通过监控文件的校验和及时发现病毒。采用这种方法检测病毒,需要事先在正常文件的基础上应用特定算法产生文件的校验和并加以保存。3.特征码扫描法和广谱特征码扫描法特征码扫描法是使用广泛的一种病毒检测方法。反病毒公司在获取病毒样本后,通过对病毒的细致分析,提取出能够标识病毒的十六进制字符串作为病毒的特征码。4.启发式代码扫描法是结合反病毒人员的知识和经验,综合计算机病毒的常见特征来判定系统或者文件是否染毒的一种方法。5.行为检测法是一种监控程序行为特征以发现病毒的方法。6.虚拟机检测法虚拟机检测法是利用软件虚拟出系统运行环境,让需要检查的文件在虚拟环境下运行,根据文件的执行行为进行病毒判断。
转载请注明:http://www.twoac.com/wyzz/13591.html
上一篇文章: 网络安全这样的手段,诈骗分子将杀猪下一篇文章: 网络媒体的诞生中国互联网简史二
