网络环境下的计算机病毒及其防范技术.docVIP

网络环境下的计算机病毒及其防范技术 　　【摘要】 随着计算机技术的迅猛发展，计算机病毒层出不穷，严重破坏了人们日常生活的网络环境。因此，就目前的形势看，研究计算机病毒的新特点，研究新的防范措施对于保障网络安全、构建和谐计算机环境有着非常现实的意义。本文对当前计算机病毒的特征作了介绍，列举了网络环境下常用的病毒的检测技术，并提出了新的防范技术。 　　【关键字】 计算机 病毒 防范 　　一、引言 　　计算机病毒是指插入计算机程序的、具有破坏性的、以破坏或者盗取用户数据为目的并且能够自我复制的一组指令或代码。而网络环境下的计算机病毒是通过网络对计算机数据或者网络安全构成危害，因此，我们通常称这种病毒为“网络病毒”[1]。随着计算机技术的发展，网络病毒的危害也日趋严重，因此，研究新型计算机病毒的特点以找到相应的防范技术，确保网络安全具有非常现实的意义。 　　二、网络环境下计算机病毒的新特征 　　1、传播途径多、极易扩散。目前，很多网络病毒通过与internet和intranet相结合，捕捉计算机漏洞，或者以邮件、网页等形式进行传播，能够在极短的时间内散播到世界范围内。例如，曾经破坏性很强的“震荡波”病毒通过捕捉计算机漏洞利用网络进行传播，在八天时间内，全世界范围内就有一千八百万台计算机被这种病毒攻击；mydoom蠕虫病毒可在半分钟之内发出一百封带病毒的邮件，美国中央控制中心曾经在四十五分钟之内就收到了接近四千封病毒邮件[2]。 　　2、危害性更大。当前的网络病毒相比以往的普通病毒，具有更强的破坏性。这些网络病毒通常融合了其他技术，集蠕虫、木马、黑客等技术于一体，综合破坏性更强。 　　3、变种多且速度快。随着高级语言的发展，现在的计算机网络病毒的制作比以往更容易，不少病毒都是利用了高级语言，它们的可读性强，非常容易被修改，从而出现了很多变种。例如“赛波”或者“灰鸽子”病毒，每天都可以形成一百多个变种。 　　4、隐蔽性强。现在的网络病毒的隐蔽性更强，很难彻底将它们从计算机清除干净。随着病毒技术的提升，很多用VBScript编写的病毒只在内存空间有停留，在硬盘中根本就找不到它们的代码，使得普通的特征码匹配方法根本找不到这些病毒。有的病毒为了更好地隐藏，它们会伪装成人们感兴趣的外表[3]。整个计算机网络中，如果有一台计算机没有彻底清除这种病毒，那么，整个网络就会被病毒再次攻击。 　　5、目的性更强。以往的计算机病毒制作者很多都是由于自身爱好，为了更好地展示自身技术而制作，并没有其他不良目的，现代的网络病毒制作者则带着经济因素对病毒进行研制。 　　三、网络环境下计算机病毒的检测技术 　　3.1特征代码法 　　特征代码法的基本原理是对已知病毒的代码进行分析，并建成一个资料库，也就是病毒库，在进行检测时把目标程序与病毒库中的代码进行逐一比较，如果存在相同的代码，就可以确定目标程序被病毒感染，这种方法可以说是检测已知病毒最简单的方法。 　　3.2软件模拟法 　　目前的多态病毒，病毒密码在每次感染之前都会变更，因此，用以上方法无法检测该病毒。此时，可以应用软件模拟法。该方法可以用软件的方法来对病毒程序的运行进行分析，后期演变成在虚拟机上的查毒。目前新的病毒检测工具都融入了该方法，初始检测时使用特征代码法检测，一旦发现有多态病毒的可能，就开始转换为软件模拟法继续检测，对病毒进行监测，当病毒密码破解以后，则转换为特征代码法继续识别病毒[4]。 　　3.3比较法 　　1、长度与内容比较法。一旦有文件感染病毒，其长度与内容都会发生变化，把未被感染病毒的文件与目标文件相比较，如果长度或者内容发生了变化，可以确定病毒的存在。 　　2、内存比较法。这种比较法针对的是驻留在内存的病毒。病毒感染内存以后，必定会占用一定的内存空间，因此，可以用内存比较法，将目标内存空间与正常内存空间进行比较，如不一致，则可确定内存被感染。 　　3、中断比较法。很多病毒为了实现自身隐蔽传播与破坏的目的，通常会更改或者盗用系统中断向量，迫使其指向病毒部分。利用此特点，可以使目标中断向量与正常的相比较，从而发现是否存在病毒。 　　3.4校验和法 　　该方法是通过计算未感染病毒文件的校验和，并写入该文件或者别的文件中，在该文件的使用过程中，定期计算当前校验和，并检查与保存的校验和是否一致，从而判断该文件是否感染病毒。该方法对于已知和未知病毒都可以检测，但是不能判断其类型[5]。 　　3.5感染实验法 　　该检测原理利用了病毒的感染特征。当系统运行存在异常，而检测工具又检测不出来时，就可以用到此方法。通过运行目标系统中的程序与确定无病毒程序，比较和观察病毒的长度与校验和，如若不一致，就可以确定系统感染了病毒。 　　四、网络环境下的计算机病毒防