浅论计算机病毒及其检测.docVIP

浅论计算机病毒及其检测 ; 摘 要 本文通过对计算机病毒的原理与特征进行简要梳理,从计算机病毒的发展历史到其病毒的特征及其危害性,作一个完整性的认识,从而建立起计算机安全的概念,并提出预防计算机病毒的办法。 ; 关键词 计算机病毒 特征 危害性 检测 ; 中图分类号:TP393.08文献标识码:A ; 随着计算机技术的发展,计算机已经深入到社会的各个方面,无论是学习还是工作,无论是国家建设还是军事国防,它的战略地位和作用已被人们充分认识。但是,计算机技术发展的同时也带来了一系列社会问题与安全威胁,特别是计算机病毒的出现,不管是对个人还是对企业,或者是对国家都造成了很大的危害。并且计算机病毒的品种和数量与日俱增,形式不断变化,破坏性也进一步加强,而对于一般的计算机管理人员和一般用户对计算机病毒没有清楚的认识,一方面导致在使用计算机的时候具有很大的心理负担,严重干扰了他们日常的工作和学习,另一方面又使使用者陷入不利的位置,无法避免计算机病毒的侵害。因此,对计算机病毒原理的了解和认识,掌握计算机病毒的工作原理、特征以及检测与防治对使用者而言已经迫在眉睫。 ; 1 计算机病毒的基本概念 ; 图1 病毒的静态结构图2 病毒的动态结构 ; 计算机病毒这个术语最早由L.M.Aleman引入,而以形式化的定义来对计算机病毒进行概括的则是F.Cohen。计算机病毒在F.Cohen的形式化定义里很难以自然语言进行描述,但他同时也指出,计算机病毒是“一个程序,它能够通过把自身(或自己的一个变体)包含在其他程序中来进行传染。通过这种传染性质,一个病毒能够传播到整个的计算机系统或网络(通过用户的授权感染他们的程序)。每个被病毒传染的程序表现得像一个病毒,因此传染不断扩散。”①而实质上,随着计算机技术的发展和对计算机病毒的研究,我们可以把计算机病毒定义为一种在计算机运行过程能把自身精确复制和有修改的复制到其他程序体内的一种程序,它的本质是一种非授权的程序加载,剽窃系统软硬件资源作为其生存、繁殖和扩散的保障。一般情况下,计算机病毒主要由以下三部分组成:病毒引导模块、病毒传染模块、病毒激发与表现模块,如图1、2所示:② ; 正是通过病毒内部的这三个模块,由引导模块把病毒导入系统,而由传染模块向计算机的其他部件进行传染,再由激发模块激活计算机病毒对计算机实施干扰或破坏,从而使计算机不能正常工作,导致系统瘫痪,信息丧失。 ; 计算机病毒按传染对象及其载体可分为操作系统型病毒及文件型病毒。操作系统型病毒在系统引导时先于正常系统的引导,将其病毒程序导入系统中,从而传染至软盘引导扇区、硬盘主引导扇区和硬盘DOS分区引导扇区。当病毒截得一定的中断向量时,由激发模块激发病毒,从而向内向外进行传染,在满足一定条件时,便向载体计算机进行破坏。而文件型病毒一般是对系统中的可执行文件进行感染,这种病毒的依附有其自主性,它可以选择可执行文件的首部、中部或者尾部进行依附,就目前的病毒来看,一般是首部或尾部。在病毒依附于可执行文件之后,一旦可执行文件运行,病毒便能首先获得系统的控制权,以此完成自身病毒的传染和对系统的破坏,当激发模块完成病毒的传染和对计算机的破坏之后,继而修改可执行文件。 ; 2 计算机病毒的特征 ; 计算机病毒的感染与运行产生对计算机破坏的作用是由计算机病毒的特征所决定的。我们从下面这个典型的计算机病毒的伪码序列就可看出它的基本特征:(见图3) ; 以上的伪码序列我们可以清楚的观察出计算机病毒具有传染性、破坏性以及伪装性。 ; 传染性是计算机病毒的显着特色,也是衡量一个程序是不是计算机病毒的重要标志,它具有很强的再生机制,只要一接触便会被传染,无论是否是可执行程序,而传染上之后,计算机病毒一般会隐藏在可执行文件中,或者是首部或者尾部,只要一运行,便又迅速传染其他文件。 ; 破坏性是计算机病毒被设计出来的主要目的,更是它的主要特征。当计算机系统感染病毒之后,病毒便会根据设计者的指示,或者破坏系统资源,或者破坏系统中的数据,又或者干扰计算机的正常运行以窃取用户的作息,甚至破坏整个系统,使计算机系统的运行遭到全面的摧毁。概括起来,计算机的攻击和破坏主要集中在三个方面:③(1)感染和破坏计算机硬盘或软盘的引导扇区,改写Flash BIOS芯片中的系统程序;(2)感染系统文件和可执行文件;(3)删除或更改软盘和硬盘中的文件。 ; 伪装性是计算机病毒寄生于计算机的某一个合法程序与系统,悄悄隐藏起来,在用户不察觉的情况下对计算机其他文件进行传染,在完成自己传染和对计算机系统的破坏后,又把控制权交回宿主程序,继续完成宿主程序的功能。在很多情况下,它会覆盖多种文件或程序,以此隐藏它们的恶意功能,这就是它们的伪装性。 ; 当然,计算机病毒还有其他的特征,如非授权可执行性、潜伏性、