PE文件病毒自动免疫技术的研究.pdfVIP

信息化理论与综合信息系统——中国电子学会电子系统工程分会第十三届信息化理论学术研讨会论文集 PE文件病毒自动免疫技术研究 刘 磊刘克胜 (电子工程学院) 摘要提出了一种新的针对PE文件的病毒免疫方法及其解决方案。利用此方法可以 使被保护的PE文件具有对病毒的自动免疫功能，文件在执行时可以自动完成自身完整性的 棱验，如果保护的PE文件被病毒破坏，利用此方法还可以实现文件的自动恢复，使得被保护 的文件对一些具有破坏性的病毒，特别是一些加密变形病毒或是未知病毒都县有很好的免疫 功能。 关键词PE文件，计算机病毒，病毒免疫 毒产生自然抵抗能力一样。“计算机病毒免疫”就 0引言 是一种具有类似特点的技术，它的设计目标是不 计算机病毒的蔓延严重的威胁着计算机及其 依赖于病毒库的更新而让电脑具有对所有病毒的 信息系统的安全，对网络信息的交换也造成了巨 抵抗能力。普通防毒软件的最大缺点是总要等到 大的危害。目前，传统的对抗计算机病毒的过程 病毒出现后才能制定出清除它的办法，并且还要 ～般为：预防、检测和杀灭。当机器感染上病毒 用户及时的升级到新的病毒库。这就让病毒有更 后，研究人员首先观察其发病时的表现。即异常现 多的机会去蔓延传播，而病毒免疫则完全打破这 象，进而分析发病的原因，从中探究此种病毒的特 种思路，它可以让电脯具有自然抵抗新病毒的能 征、机理，从而制定相应的对抗措施，将其消灭。 力，当有新病毒感染计算机系统时不用升级病毒 只要病毒稍有改变，其特征码电会随之改变，杀毒 库而同样可以侦测出它。 软件又必须相应地升级病毒库，这样反病毒就一 1．2计算机病毒免疫常用的技术 直处于被动。病毒的预防最常见的手段是采用病 随着计算机病毒免疫技术的不断发展，各式 毒防火墙，使用已知的病毒规则阻断病毒进入计 各样的杀毒软件层出不穷，目前最常用的计算机 算机系统，但是，计算机病毒种类、行为特征是在 病毒免疫技术有以下三种： 不断变化的，在一种新的病毒出现后，用静态的、 ①特征码扫描法 依赖领域专家个人能力的病毒特征提取，找到一 特征码扫描法是分析出病毒的特征病毒码并 个它的特征码并唯一区分它，然后升级相应的杀 集中存放于病毒代码库文件中，在扫描时将扫描 毒软件对其进行查杀的办法显然已经远远不能满 对象与特征代码库比较，如有吻合则判断为染上 足用户的需要。这种方法，也必然导致“杀毒永远 病毒。该技术实现简单有效，安全彻底；但查杀病 跟着病毒走”，人们将永远处于被动防御的局面。 毒滞后，并且庞大的特征码库会造成查毒速度下 本文所做的研究主要解决使PE文件能够实现对 降。 病毒的自动免疫，使得被保护的PE文件不受病 ②虚拟执行技术 毒的侵害。