林清風(fēng)

摘 要： 隨著網(wǎng)絡(luò)的快速興起，計算機領(lǐng)域有了全新的前景。但是，隨之而來的還有各種讓人防不勝防的病毒，本文主要就計算機病毒為研究對象，分析病毒的傳播以及防范病毒的措施。

關(guān)鍵詞： 計算機；病毒；防范

何為病毒，對于病毒，我們所了解的只是破壞計算機環(huán)境的軟件。為了深刻地理解計算機病毒，最重要的步驟之一，就是要了解病毒執(zhí)行所需要的特定執(zhí)行環(huán)境。理論上，對于任何給定的符號序列，我們都可以定義一個環(huán)境，該序列號可以在其中進行自我復(fù)制。在實際操作中，我們必須能夠找到這樣的環(huán)境，在此環(huán)境中符號序列可以執(zhí)行，并證明它的確利用自身代碼進行自我復(fù)制，并且遞歸的復(fù)制下去。

只有當(dāng)惡意代碼所依賴的各種條件與可能的環(huán)境相匹配的時候，病毒代碼才能夠成功地滲透系統(tǒng)。完美的惡意代碼常見環(huán)境是很難用二維的形式畫出來的。

大部分計算機病毒是以可執(zhí)行的、二進制的形式（又稱作編譯過的形式）進行傳播的。例如：引導(dǎo)區(qū)病毒將自己的代碼復(fù)制到一個或幾個扇區(qū)中，并接管計算機的引導(dǎo)順序。在最早有記錄的計算機病毒事件中，Apple II上的Elk Cloner 就是一個引導(dǎo)區(qū)病毒。Elk cloner修改了加載的操作系統(tǒng)，加入了一個和自己關(guān)聯(lián)的鉤子（hook），就這樣Elk Cloner攔截了磁盤的訪問，利用其自身代碼的拷貝覆蓋新插入的磁盤的系統(tǒng)引導(dǎo)扇區(qū)來感染新插入的磁盤。Brain是最早知道的PC上的計算機病毒。還有另外一種形式的病毒是CPU依賴型病毒，當(dāng)某一特定的處理器對其之前版本并不是100%的向下兼容，而且對之前版本的特性并不是很好的支持或是完全不支持的時候，便會發(fā)生這種情況。

有些病毒只是從磁盤上找一個文件，然后簡單的用自己的拷貝改寫該文件。當(dāng)然，這是一種非常初級的而技術(shù)，不過確實是最為簡單的方法。如果這種簡單的病毒重寫磁盤上所有文件的話，可能造成很大的破壞。

重寫病毒是不能從系統(tǒng)中徹底刪掉的，只能刪掉被感染的文件，然后再從備份介質(zhì)恢復(fù)。一般來說，重寫病毒不是非常成功的威脅，因為病毒造成的威脅明顯太容易被發(fā)現(xiàn)了。然而，這種病毒效果如果基于網(wǎng)絡(luò)的傳播技術(shù)結(jié)合起來，可能產(chǎn)生很大的威脅，比如：VBS/LoveLetter.A@mm通過群發(fā)郵件把病毒發(fā)送到其他系統(tǒng)中，當(dāng)該病毒執(zhí)行時，它會用自己的拷貝重寫本地所有下面擴展名的文件：

.vbs，.vbe，.js，.css，.wsh，.sct，.gta，.jpg，.jpeg，.wav，.txt，.gif，.doc，.htm，.html，.xls，.ini，.bat，.com，.avi，.mpg，.mpeg，.cpp，.c，.h，.swd，.psd，.wri，.mp3，.and，.mp2等。

重寫技術(shù)的另一種罕見形式是不改變文件頂部的代碼，而是在宿主文件中隨機找一個位置把自己寫進去。顯然，這種病毒不太可能獲得控制權(quán)，它通常會導(dǎo)致宿主在執(zhí)行到病毒代碼之前就崩潰了。這種病毒的例子是俄羅斯的Omud。

現(xiàn)在的反病毒掃描程序會為了提高性能而減少磁盤I/O，因此如果可能的話，只查找已知的位置。掃描器在查找隨機重寫病毒時有一定的問題，因為掃描器必須搜索宿主程序的全部內(nèi)容，這種操作的I/O開銷太大了。

有些比較簡單的而病毒并不主動駐留在內(nèi)存中，最先感染IBM PC的文件感染類型病毒Virdem和Vienna就是這樣，通常，直接感染型病毒的傳播速度比較慢，傳播范圍也比較窄。

直接感染型病毒隨著宿主程序一起裝入內(nèi)存中。在取得系統(tǒng)控制權(quán)后，他們以搜索新文件的方式搜索可能感染的對象。很多常見的計算機病毒都使用直接感染方式的傳播引擎，這種病毒在各個平臺都很容易構(gòu)造，無論是二進制還是腳本形式。歷史上曾經(jīng)有過這樣的例子。Borland公司在DOS環(huán)境下開發(fā)的Quattro spreadsheet 系統(tǒng)的第一個版本是全部使用Hungary匯編語言開發(fā)的。在系統(tǒng)的開發(fā)過程中發(fā)生了意見非常有趣的事情。有時候，系統(tǒng)命名在執(zhí)行一個循環(huán)，可是系統(tǒng)的實際流程和控制流程的期望值剛好相反。代碼本身并沒有什么錯誤，因此通過閱讀代碼的方式根本不可能解釋發(fā)生這種現(xiàn)象的原因。最后發(fā)現(xiàn)產(chǎn)生這個錯誤的原因是因為一個時鐘程序偶爾會改變系統(tǒng)的執(zhí)行流程，原因是時鐘程序改變了方向標記，而有時又忘記恢復(fù)這個標記，結(jié)果，時鐘程序五一地破壞了spreadsheets系統(tǒng)的內(nèi)容，當(dāng)然它也會對其他程序造成破壞。這個具有破壞性的時鐘程序就是一個TSR程序。

病毒采用各種方式入侵電腦程序和服務(wù)器程序，大部分電腦書籍對病毒檢測的討論都停留在相當(dāng)淺的層次上，就連一些比較新的書都把防毒掃描器描述為“在文件和內(nèi)存中檢索病毒特征字節(jié)序列的普通程序”。這種說法所描述的當(dāng)然是最流行的計算機病毒檢測方法之一——這種方法也很有效，但當(dāng)今最先進的防毒軟件使用了更多出色的方法檢測僅用第一代掃描器無法對付的復(fù)雜病毒。例如：字符串掃描、通配符掃描、不匹配字節(jié)數(shù)、通用檢測法、書簽、首位掃描、入口點固定點掃描等等。

隨著時代的進步第二代掃描器也隨之來臨，第二代掃描器采用近似精確識別法（nearly exact identification）和精確識別法（exact identification），有助于提高對計算機病毒和惡意程序的檢測精度。第二代掃描器同樣包括很多種方式，例如：智能掃描、骨架掃描法、近似精確識別法和精確識別法等。

掃描技術(shù)的多樣性清楚地表明：給予對一只病毒的識別能力來檢測病毒是多么困難。因此，看來采取更為通用的方法——如給予文件和可執(zhí)行對象的完整性來檢測和預(yù)防病毒對其內(nèi)容的篡改——可以更好的解決病毒檢測這個問題。

手工啟動型完整性掃描工具需要使用一個校驗和數(shù)據(jù)庫，該數(shù)據(jù)庫要么在受保護的系統(tǒng)中生成的，要么是一個遠程在線數(shù)據(jù)庫。完整性檢查工具每次檢查系統(tǒng)中是否有新生成對象，或者是否有任何對象的校驗值發(fā)生變化，都用到該數(shù)據(jù)庫。通過檢驗出新的或發(fā)生了變化的對象，顯然最容易發(fā)現(xiàn)病毒感染及系統(tǒng)受到的其他侵害。然而，這種方法也有很多缺點，例如：（1）虛警；（2）要有干凈的初始化狀態(tài)，而實際上不一定會有這么一個狀態(tài)；（3）速度。完整性檢查通常很慢；（4）特殊對象。工作需要懂得一些特殊對象；（5）必須有對象發(fā)生改變等等。

還有一些方案試圖基于應(yīng)用程序的行為來阻斷病毒傳染。最早的反病毒軟件之一FluShot就是屬于這一類病毒防護方案。如果一個應(yīng)用程序以寫入模式打開了 可執(zhí)行文件，則阻斷工具就會顯示一條警告，要求用戶授權(quán)寫操作。不幸的是這種低級別時間可能會引起太多的警告，因而阻斷工具受用戶歡迎的程度常常還不如完整性檢測工具。而且，不同類型的計算機病毒的行為可能差異很大，因而可能導(dǎo)致感染的行為模式數(shù)量有無窮多種。

由于Windows NT的內(nèi)存管理器會回收未使用分界面，而內(nèi)存中頁面只有當(dāng)被訪問的時候才會被讀取，因此內(nèi)存掃描的速度大體上取決于內(nèi)存的大小，一臺計算機的內(nèi)存越大則內(nèi)存掃描器的速度就會越快——如果計算機擁有的物理內(nèi)存非常有限，則頁面錯誤數(shù)量將會大很多。

每當(dāng)SCANPROC.EXE對所有運行中的進程掃描時，這些進程的內(nèi)存會明顯提高。對于病毒的防范也更加規(guī)范。 （作者單位：齊齊哈爾工程學(xué)院）

參考文獻：

[1] Peter Szor，“The New 32-bit Medusa，”Virus Bulletin ，December 2013，pp.8-10.