互联网技术计算机病毒检测与防范技术[1]

 　在线辅导　面授招生　考试大纲　指定教材　报名时间

　　9.5 计算机病毒与黑客防范

9.5.1 计算机病毒检测与防范技术

计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能、毁坏数据、影响计算机使用，并能自我复制的一组计算机指令或者程序代码。是否具有传播性是判别一个程序是否为计算机病毒的最重要条件。正常的计算机程序是不会将自身的代码强行连接到其他程序之上的。而计算机病毒的再生机制，即它的传播机制却是使计算机病毒代码强行传染到一切可传染的程序之上，迅速地在一台计算机内，甚至在一群计算机之间进行传播、扩散。每一台被感染了计算机病毒的计算机，本身既是一个受害者，又是一个新的计算机病毒传染源。

“计算机病毒”和生物世界的病毒一样，都有其的生命周期，包括创造期、投放期、潜伏感染期、发作期和治疗期，并且由上述几个步骤组成一个循环。

计算机病毒的核心特性归纳起来有：传播性、隐蔽性、潜伏性、破坏性、针对性、衍生性、寄生性和不可预见性。

计算机病毒具有自我复制和传播的特点，因此，研究计算机病毒的传播途径是极为重要的。从计算机病毒的传播机理分析可知.只要是能够进行数据交换的介质都可能成为计算机病毒传播途径。Internet是信息传播的高速公路，也是计算机病毒传播的便捷通道。

计算机病毒检测方法有很多，常用的有以下几种方法。

(1)比较法：用原始备份与被检测引导扇区或文件作比较。看长度，内容变化。简便，不需专用软件。但无法确认病毒的种类名称。

(2)综合对比法：将每个程序的文件名、大小、时间、日期及内容，综合为一个检查码，附于程序后：再利用此对比系统，追踪记录每个程序的检查码是否遭更改，判断是否感染病毒。

(3)搜索法：用每一种病毒体含有的特定字符串对被检测的对象进行扫描。如果在对象内部发现了某一种特定字节串，就表明发现了该字节串所代表的病毒。

(4)分析法：静态分析和动态分析。利用反汇编工具和DEBUG等调试工具进行防病毒专业技术人员所使用的一整套剖析方法。可发现新病毒，提取特征字串，制定防杀措施方案。

(5)人工智能陷阱技术和宏病毒陷阱技术：监测计算机行为的常驻式扫描技术。它将所有病毒所产生的行为归纳起来，一旦发现内存中的程序有任何不当的行为，系统就会有所聱觉，并告知使用者。优点是速度快、操作简便，可侦测到各式病毒；缺点是程序设计难，且不易考虑周全。宏病毒陷阱技术（MacroTrap)是结合了搜索法和人工智能陷阱技术，依靠行为模式来侦测已知及未知的宏病毒。

(6)软件仿真扫描法：专门用来对付多态变形病毒。该病毒在每次传染时，都将自身以不同的随机数加密于每个感染的文件中，传统搜索法根本就无法找到它。软件仿真技术则是成功地仿真CPU执行，在DOS虚拟机下伪执行病毒程序，安全并确实地将其解密，使其显露本来的面目，再加以扫描。

(7)先知扫描法：是继软件仿真后的一大技术突破。既然软件仿真可以建立一个保护模式下的DOS虚拟机，仿真CPU动作并伪执行程序以解开多态变形病毒，那么应用类似的技术也可以用来分析一般程序，检査可疑的病毒代码。因此，先知扫描技术是专业人员用来判断程序是否存在病毒代码的方法，分析归纳成专家系统和知识库，再利用软件模拟技术伪执行新的病毒，超前分析出新病毒代码，对付以后的病毒。

病毒感染后的一般修复处理方法如下。

(1)对系统破坏程度先有一个全面了解，根据破坏程度决定方法对策：重装系统、启用杀毒软件或请防病毒专家进行清除和数据恢复操作。

(2)修复前，尽可能再次备份重要的数据文件。不与平时的常规备份“混”在一起。

(3)启动杀病毒软件，并对整个硬盘进行扫描。使用事先准备的“干净”系统盘启动系统。

(4)如果可执行文件中的病毒不能被清除，一般应将其删除，然后重装相应的应用程序。

(5)杀毒完成后，重启计算机，再次用杀毒软件检查系统。

(6)对无法杀除的病毒，应将病毒样本送交杀毒软件厂商的研究中心，以供详细分析。

[1]  [2]