第2章计算机病毒理论模型课程.ppt

预防理论模型 Fred.Cohen”四模型”理论 1 基本隔离模型 该模型的主要思想是取消信息共享，将系统隔离开来，使得计算机病毒既不能从外部入侵进来，也不可能把系统内部的病毒扩散出去。 2 分隔模型 将用户群分割为不可能互相传递信息的若干封闭子集。由于信息处理流的控制，使得这些子集可被看作是系统被分割成的相互独立的子系统，使得计算机病毒只能感染整个系统中的某个子系统，而不会在子系统之间进行相互传播。 3 流模型 对共享的信息流通过的距离设定一个阀值，使得一定量的信息处理只能在一定的区域内流动，若该信息的使用超过设定的阀值，则可能存在某种危险。 4 限制解释模型 即限制兼容，采用固定的解释模式，就有可能不被计算机病毒感染。 类IPM模型 把计算机程序或磁盘文件类比为不断生长变化的植物。 把计算机系统比作一个由许多植物组成的田园。 把计算机病毒看成是侵害植物的害虫。 把计算机信息系统周围的环境看作农业事物处理机构。 农业上的IPM Integrated Pest Management 模型实质上是一种综合管理方法。它的基本思想是：一个害虫管理系统是与周围坏境和害虫种类的动态变化有关的。它以尽可能温和的方式利用所有适用技术和措施治理害虫，使它们的种类维持在不足以引起经济损失的水平之下。 * 停机问题（halting problem）是目前逻辑数学的焦点，和第三次数学危机的解决方案。其本质问题是: 给定一个图灵机 T，和一个任意语言集合 S, 是否 T 会最终停机于每一个S中的每个字符s。 通俗的说，停机问题就是判断任意一个程序是否会在有限的时间之内结束运行的问题。如果这个问题可以在有限的时间之内解决，可以有一个程序判断其本身是否会停机并做出相反的行为。这时候显然不管停机问题的结果是什么都不会符合要求。所以这是一个不可解的问题。 每个图灵机都是一个字符串，相当于一个整数，因此所有图灵机的集合是可数无穷的, 我们可以把所有图灵机编号, M1, M2, ...., 它们所计算的数记为 r1, r2, .... 因为实数是不可数无穷, 所以实数的个数远远多于图灵机的个数，因此一定存在不可计算的数. 简单地说, 我们没有足够多的图灵机来计算所有的数! 计算机病毒理论模型 本章学习目标 掌握计算机病毒的抽象描述 掌握基于图灵机的计算机病毒模型 掌握基于递归函数的计算机病毒模型 掌握网络蠕虫传播模型 掌握计算机病毒预防理论模型 虚拟案例 一个文本编辑程序被病毒感染了。每当使用文本编辑程序时，它总是先进行感染工作并执行编辑任务，其间，它将搜索合适文件以进行感染。每一个新被感染的程序都将执行原有的任务，并且也搜索合适的程序进行感染。这种过程反复进行。当这些被感染的程序跨系统传播，被销售，或者送给其他人时，将产生病毒扩散的新机会。最终，在1990年1月1日以后，被感染的程序终止了先前的活动。现在，每当这样的一个程序执行时，它将删除所有文件。 计算机病毒伪代码 main: Call injure; … Call submain; … Call infect; injure: If condition then whatever damage is to be done and halt; infect: If condition then infect files; 案例病毒的伪代码 main: Call injure; Call submain; Call infect; injure: If date Jan. 1,1990 then While file ! 0 File get-random-file; Delete file; Halt; infect: If true then File get-random-executable-file; Rename main routine submain; Prepend self to file; 精简后的伪代码 压缩或变型 main: Call injure; Decompress compressed part of program; Call submain; Call infect; injure: If false then halt; infect: If executable ! 0 then File get-random-executable-file; Rename main routine submain; Compress file; Prepend self to file; 病毒伪