信息安全基礎(chǔ)InformationSecurityFundamentals7.3病毒的檢測(cè)與防范計(jì)算機(jī)病毒防治本節(jié)內(nèi)容病毒引起的異常情況病毒查殺的工作原理病毒的預(yù)防措施1.病毒引起的異常情況計(jì)算機(jī)系統(tǒng)運(yùn)行速度明顯降低系統(tǒng)容易死機(jī)文件改變、破壞磁盤空間迅速減少內(nèi)存不足系統(tǒng)異常頻繁重啟動(dòng)頻繁產(chǎn)生錯(cuò)誤信息2.病毒查殺的工作原理計(jì)算機(jī)病毒程序的構(gòu)成感染標(biāo)志：病毒在感染前，需要先通過識(shí)別感染標(biāo)志判斷計(jì)算機(jī)系統(tǒng)是否感染。若沒有感染，則將病毒程序的主體設(shè)法引導(dǎo)安裝在計(jì)算機(jī)系統(tǒng)，為其感染模塊和破壞表現(xiàn)模塊的引入、運(yùn)行和實(shí)施做好準(zhǔn)備。引導(dǎo)模塊：實(shí)現(xiàn)將病毒程序引入計(jì)算機(jī)內(nèi)存，并使得傳染和表現(xiàn)模塊處于活動(dòng)狀態(tài)。引導(dǎo)模塊需要提供自我保護(hù)功能，避免在內(nèi)存中的自身代碼不被覆蓋和清除。感染模塊：（1）感染條件判斷子模塊：依據(jù)引導(dǎo)模塊設(shè)置的傳染條件，判斷當(dāng)前系統(tǒng)環(huán)境是否滿足傳染條件。（2）傳染功能實(shí)現(xiàn)子模塊：如果傳染條件滿足，則啟動(dòng)傳染功能，將病毒程序附加在其他宿主程序上。破壞模塊：包括兩部分，一是激發(fā)控制，當(dāng)病毒滿足條件就發(fā)作；另一個(gè)就是破壞操作，不同病毒有不同的操作方法，典型的惡性病毒是瘋狂拷貝、刪除文件。特征代碼法特征代碼法是現(xiàn)在的大多數(shù)反病毒軟件的靜態(tài)掃描所采用的方法，是檢測(cè)已知病毒最簡(jiǎn)單、開銷最小的方法。當(dāng)殺毒軟件公司收集到一種新的病毒時(shí)，就會(huì)從這個(gè)病毒程序中截取一小段獨(dú)一無二而且足以表示這種病毒的二進(jìn)制代碼，來當(dāng)作掃描程序辨認(rèn)此病毒的依據(jù)。這種獨(dú)一無二的二進(jìn)制代碼就是所謂的病毒特征碼。將病毒的特征碼存放于病毒代碼庫(kù)文件中，在掃描病毒的時(shí)候?qū)呙鑼?duì)象與特征代碼庫(kù)比較，如果吻合，則判斷為感染上病毒。特征代碼法實(shí)現(xiàn)起來簡(jiǎn)單，對(duì)于查殺傳統(tǒng)的文件型病毒特別有效，而且由于已知特征代碼，清除病毒十分安全和徹底。2.病毒查殺的工作原理特征代碼法的特點(diǎn)優(yōu)點(diǎn)：檢測(cè)準(zhǔn)確、可識(shí)別病毒的名稱、誤報(bào)警率低、依據(jù)檢測(cè)結(jié)果可做殺毒處理。缺點(diǎn)：速度慢。檢索病毒時(shí)，必須對(duì)每種病毒特征代碼逐一檢查，隨著病毒種類的增多，特征代碼也增多，檢索時(shí)間就會(huì)變長(zhǎng)。不能檢查多形性病毒。不能對(duì)付隱蔽性病毒。隱蔽性病毒如果先進(jìn)駐內(nèi)存，然后運(yùn)行病毒檢測(cè)工具，隱蔽性病毒就能先于檢測(cè)工具將被查文件中的病毒代碼剝?nèi)?，檢測(cè)工具只是在檢查一個(gè)虛假的“好文件”，而不會(huì)報(bào)警，被隱蔽性病毒所蒙騙。不能檢查未知病毒。對(duì)于從未見過的新病毒，病毒特征代碼法自然無法知道其特征代碼，因而無法檢測(cè)這些新病毒。2.病毒查殺的工作原理校驗(yàn)和法病毒在感染程序時(shí)，大多都會(huì)使被感染的程序大小增加或者日期改變，檢驗(yàn)和法就是根據(jù)病毒的這種行為來進(jìn)行判斷的。首先把硬盤中的某些文件（如計(jì)算磁盤中的實(shí)際文件或系統(tǒng)扇區(qū)的CRC校驗(yàn)和）的資料匯總并記錄下來。在以后的檢測(cè)過程中，重復(fù)此項(xiàng)動(dòng)作并與前次記錄進(jìn)行比較，借此來判斷這些文件是否被病毒感染。2.病毒查殺的工作原理校驗(yàn)和法的特點(diǎn)優(yōu)點(diǎn)：方法簡(jiǎn)單，能發(fā)現(xiàn)未知病毒，被查文件的細(xì)微變化也能被發(fā)現(xiàn)。缺點(diǎn)：由于病毒感染并非文件改變的唯一原因，文件的改變常常是正常程序引起的，如常見的正常操作（如版本更新、修改參數(shù)等），所以檢驗(yàn)和法誤報(bào)率高。效率較低。不能識(shí)別病毒名稱。不能對(duì)付隱蔽型病毒。2.病毒查殺的工作原理行為監(jiān)測(cè)法病毒感染文件時(shí)，常常有一些不同于正常程序的行為。利用病毒的特有行為和特性監(jiān)測(cè)病毒的方法稱為行為監(jiān)測(cè)法。通過對(duì)病毒多年的觀察、研究，發(fā)現(xiàn)有一些行為是病毒的共同行為，而且比較特殊，而在正常程序中這些行為比較罕見。當(dāng)程序運(yùn)行時(shí)，監(jiān)視其行為，如果發(fā)現(xiàn)了病毒行為，立即報(bào)警。行為監(jiān)測(cè)法就是引入一些人工智能技術(shù)，通過分析檢查對(duì)象的邏輯結(jié)構(gòu)，將其分為多個(gè)模塊，分別引入虛擬機(jī)中執(zhí)行并監(jiān)測(cè)，從而查出使用特定觸發(fā)條件的病毒。行為監(jiān)測(cè)法的優(yōu)點(diǎn)在于：不僅可以發(fā)現(xiàn)已知病毒，而且可以相當(dāng)準(zhǔn)確地預(yù)報(bào)未知的多數(shù)病毒。行為監(jiān)測(cè)法的缺點(diǎn)在于：可能誤報(bào)警，不能識(shí)別病毒名稱，實(shí)現(xiàn)起來有一定的難度。2.病毒查殺的工作原理虛擬機(jī)技術(shù)多態(tài)性病毒代碼實(shí)施密碼化，而且每次所使用的密鑰不同，把感染的病毒代碼相互比較，也無法找出相同的可能作為特征的穩(wěn)定的代碼。對(duì)于這種病毒，特征代碼法失效。雖然行為監(jiān)測(cè)法可以檢測(cè)多態(tài)性病毒，但是在檢測(cè)出病毒后，因?yàn)椴恢啦《镜姆N類，難于進(jìn)行殺毒處理。為了檢測(cè)多態(tài)性病毒和一些未知病毒，可以應(yīng)用新的檢測(cè)方法——虛擬機(jī)技術(shù)（軟件模擬法）?！疤摂M機(jī)技術(shù)”即是在計(jì)算機(jī)中創(chuàng)造一個(gè)虛擬系統(tǒng)，通過生成現(xiàn)有操作系統(tǒng)的全新虛擬鏡像，其具有真實(shí)系統(tǒng)完全一樣的功能。將病毒在虛擬環(huán)境中激活，從而觀察病毒的執(zhí)行過程，根據(jù)其行為特征，從而判斷是否為病毒?！疤摂M機(jī)技術(shù)”主要對(duì)加殼和加密的病毒非常有效，因?yàn)檫@兩類病毒在執(zhí)行時(shí)最終還是要自身脫殼和解密，這樣殺毒軟件就可以在其“現(xiàn)出原形”之后通過特征碼查毒法對(duì)其進(jìn)行查殺。2.病毒查殺的工作原理虛擬機(jī)技術(shù)虛擬機(jī)技術(shù)是一種軟件分析器，用軟件方法來模擬和分析程序的運(yùn)行。虛擬機(jī)技術(shù)一般結(jié)合特征代碼法和行為監(jiān)測(cè)法一起使用。在反病毒軟件中引入虛擬機(jī)是由于綜合分析了大多數(shù)已知病毒的共性，并基本可以認(rèn)為在今后一段時(shí)間內(nèi)的病毒大多會(huì)沿襲這些共性。由此可見，虛擬機(jī)技術(shù)是離不開傳統(tǒng)病毒特征碼技術(shù)的。