何敏

摘要：隨著新科技的逐漸發(fā)展，互聯(lián)網(wǎng)技術(shù)在當(dāng)今社會(huì)所占據(jù)的地位越來越重要。但是正如任何事物都有其兩面性，互聯(lián)網(wǎng)技術(shù)的發(fā)展也有其缺點(diǎn)和短板。其中，計(jì)算機(jī)病毒就是一種困擾著互聯(lián)網(wǎng)技術(shù)發(fā)展的一大問題。何謂計(jì)算機(jī)病毒，簡單來說就是一類人為制造的專門用以攻擊和破壞計(jì)算機(jī)系統(tǒng)的軟件，并且具有很強(qiáng)自我復(fù)制的能力，可以在傳染之后迅速散播，從而給互聯(lián)網(wǎng)技術(shù)的發(fā)展帶來障礙。本文主要分析幾點(diǎn)常用計(jì)算機(jī)病毒檢測技術(shù)，希望可以降低計(jì)算機(jī)病毒率的上升。

關(guān)鍵詞：病毒；代碼；掃描；加密

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）08-0039-02

1計(jì)算機(jī)病毒的檢測技術(shù)

1.1特征代碼掃描法

現(xiàn)今經(jīng)常使用的計(jì)算機(jī)病毒掃描軟件通常有兩部分組成，一部分是掃描程序，掃描程序是通過計(jì)算機(jī)病毒代碼庫進(jìn)行掃描，而另一各部分就是病毒的代碼庫，特別選擇的是一些常見以及危害性大的計(jì)算機(jī)病毒的代碼。對于計(jì)算機(jī)病毒掃描程序的工作方式就是計(jì)算機(jī)中的病毒，而識(shí)別所要依據(jù)的標(biāo)準(zhǔn)就是病毒代碼庫中的病毒種類數(shù)量。因而從這個(gè)層面來說，計(jì)算機(jī)病毒代碼庫中代碼種類越多，數(shù)量越龐大，掃描程序可以識(shí)別的病毒種類也越多，可以為計(jì)算機(jī)排除的安全隱患也越多。所以，計(jì)算機(jī)病毒掃描程序的關(guān)鍵就是選擇合適的病毒代碼串。對于選擇合適的計(jì)算機(jī)病毒代碼串的原則有五項(xiàng)可供參考：1）首先代碼串一般不包括數(shù)據(jù)區(qū)域，這是因?yàn)椴《緮?shù)據(jù)區(qū)的多變和不易琢磨造成的。2）針對不同的病毒代碼，長度差別較大。短的可能只有百來字節(jié)，而長度長的可能達(dá)到10K字節(jié)。可是，如果任意選擇病毒本身的其中一段作為病毒特征代碼串，這樣這種不具備任何特征性質(zhì)的代碼串就不會(huì)具有特定的性質(zhì)，因而在不同的環(huán)境中會(huì)產(chǎn)生不同的反應(yīng)，結(jié)果導(dǎo)致不能成功勝任檢測相應(yīng)病毒的工作。這樣看來，病毒庫的特征代碼串準(zhǔn)確選擇對于檢驗(yàn)相應(yīng)病毒的作用就顯得尤為重要和關(guān)鍵。3）注意在病毒的監(jiān)測工作中，不要總是改變病毒特征代碼串，要注意保持病毒的唯一性，以不變應(yīng)萬變。因而應(yīng)避免過長的病毒特征代碼的長度過長，減少在建設(shè)空間和時(shí)間上的開銷。4）注意特征碼的一項(xiàng)重要功能一定是可以準(zhǔn)確無誤的分析出正常程序和病毒程序，不能混淆兩者，導(dǎo)致計(jì)算機(jī)運(yùn)作的混亂。5）為了可以正確選擇出最具有代表性的病毒代碼串，使其的工作效率達(dá)到最高，應(yīng)該嚴(yán)謹(jǐn)細(xì)致的分析程序。

1.2特征字掃描法

上文中所提到的利用病毒特征代碼串的方法是常見的一種病毒甄別方法，在此基礎(chǔ)上，計(jì)算機(jī)病毒特征字掃描法是技術(shù)上一種全新的進(jìn)步。相較于傳統(tǒng)的病毒特征代碼串的病毒檢測方法，特征字檢測法的優(yōu)勢更為突出和鮮明：誤警報(bào)少，檢測病毒速度快。因?yàn)樘卣髯謾z測病毒的方法的技術(shù)依據(jù)是只需要抽取病毒體中的少量關(guān)鍵字特征即可，簡化了工作環(huán)節(jié)和減少了工作數(shù)量。特征字掃描法的工作界面僅僅是操作少量的字節(jié)，不需要像病毒特征代碼串的掃描方法一樣進(jìn)行串的匹配，這樣簡化的工作步驟就直接加快了工作的進(jìn)度，提高了工作的效率。特別是在處理一些程序較為復(fù)雜和數(shù)據(jù)頗為龐大的應(yīng)用時(shí)，這種特征字掃描法的優(yōu)勢就顯得尤為明顯和突出。

1.3啟發(fā)式病毒掃描檢測技術(shù)

所謂啟發(fā)式技術(shù)是計(jì)算機(jī)病毒檢測的全新手段，啟發(fā)式技術(shù)的核心是借助于殺毒軟件的內(nèi)部記憶功能，確定和存入不同的病毒類型，開啟的工作程序就是在計(jì)算機(jī)遭受同樣或者類似的病毒侵襲的時(shí)候，可以十分快速地捕捉到病毒的敏感信號(hào)，及時(shí)進(jìn)行計(jì)算機(jī)應(yīng)用程序的識(shí)別和處理，果斷給予使用者以警告，從而避免了病毒對于計(jì)算機(jī)的傷害。啟發(fā)式技術(shù)的一大功能性特點(diǎn)就是當(dāng)啟發(fā)式技術(shù)運(yùn)行來檢測和查殺計(jì)算機(jī)內(nèi)的病毒的同時(shí)，還可以保證計(jì)算機(jī)系統(tǒng)的正常運(yùn)行和工作。啟發(fā)式技術(shù)的工作流程是全方位立體式的對計(jì)算機(jī)內(nèi)的所有程序進(jìn)行實(shí)時(shí)的檢測和處理，一旦發(fā)現(xiàn)病毒就要立時(shí)進(jìn)行查殺和處理。但是在啟發(fā)式掃描技術(shù)的工作過程中，錯(cuò)誤率較高，時(shí)而會(huì)出現(xiàn)虛假的警報(bào)。這是因?yàn)閱l(fā)式技術(shù)所能分辨的病毒類型和特點(diǎn)不夠確切和完整，所以在模棱兩可的情況下，為了保險(xiǎn)起見，一律劃歸到病毒的處理行列。

1.4數(shù)據(jù)加密

眾所周知，數(shù)據(jù)安全是互聯(lián)網(wǎng)時(shí)代的一大重要議題，同時(shí)也是當(dāng)今世界計(jì)算機(jī)用戶最為關(guān)心的問題之一。而對于書籍?dāng)?shù)據(jù)安全的保證措施之一就是機(jī)密，這種技術(shù)手段所發(fā)揮的功能就是當(dāng)數(shù)據(jù)不幸被攻擊者截獲之后，可以保證數(shù)據(jù)的安全和不被破譯。當(dāng)今社會(huì)的信息泄露和竊聽問題是全世界所關(guān)注的焦點(diǎn)，信息的保護(hù)工作就顯得尤為突出和重要。現(xiàn)在廣泛使用的解決信息竊聽問題的技術(shù)手段之一就是重點(diǎn)加密傳輸信息。但這項(xiàng)工作開展的先決條件是穩(wěn)定和靈活的管理方案和密鑰交換。想要密鑰管理方案發(fā)揮其真正的功能，要保證方案可以靈活適應(yīng)感知節(jié)點(diǎn)的資源有限的這一特點(diǎn)。結(jié)合這一特點(diǎn)的發(fā)揮，可以更方便的安排和部署，保證整個(gè)網(wǎng)絡(luò)的安全和不被破壞。隨著現(xiàn)在加密技術(shù)的越來越發(fā)達(dá)，加密技術(shù)的越來越先進(jìn)，設(shè)計(jì)出既滿足高效要求又能更好保障安全的方案就是現(xiàn)在加密技術(shù)的核心研究方向。

1.5完整性檢驗(yàn)

需要注意的是，在計(jì)算機(jī)病毒的檢測技術(shù)中，關(guān)鍵的是完整檢驗(yàn)處病毒的特征和要點(diǎn)，這里的完整是不僅針對已知的病毒源更要注意未知的病毒源。利用完整性檢驗(yàn)的手段，可以更好修復(fù)被病毒侵襲的計(jì)算機(jī)系統(tǒng)。針對完整性檢驗(yàn)的工作程序是首先充分了解計(jì)算機(jī)文件或者引導(dǎo)扇區(qū)的內(nèi)容，在充分了解的前提下，開展針對那些被篡改的進(jìn)行修復(fù)工作，并且會(huì)用還原的信息覆蓋住被更改的信息內(nèi)容。

1.6虛擬機(jī)技術(shù)

在對抗各色計(jì)算機(jī)病毒的技術(shù)中，較為高端和先進(jìn)的技術(shù)當(dāng)屬虛擬機(jī)技術(shù)。虛擬機(jī)技術(shù)在國際上的反病毒領(lǐng)域內(nèi)頗負(fù)盛名，屬于國際反病毒領(lǐng)域的前沿和尖端技術(shù)。虛擬機(jī)技術(shù)的顯著特點(diǎn)就是更加接近于人工分析，智能化水平很高，因而技術(shù)運(yùn)行時(shí)定位病毒和查殺病毒的準(zhǔn)確性也隨之大幅度提高。當(dāng)計(jì)算機(jī)病毒檢測的應(yīng)用程序發(fā)現(xiàn)可疑樣本時(shí)，計(jì)算機(jī)會(huì)謹(jǐn)慎考慮其所具有的風(fēng)險(xiǎn)性，所以不會(huì)立即運(yùn)行這個(gè)程序，而是分析其程序組成，緊接著做的一步就是跟蹤這個(gè)可疑程序的執(zhí)行步驟，仔細(xì)查看其是否帶有傳染性模塊，是否還兼具破壞性模塊。帶有傳染性模塊的病毒稱之為病毒，而針對那些都帶有破壞性模塊的程序，就是極其危險(xiǎn)的惡性病毒了。這是病毒檢測的步驟和要求。

對虛擬機(jī)技術(shù)而言，利用程序代碼建立一個(gè)虛擬的系統(tǒng)運(yùn)行環(huán)境，其中含有虛擬內(nèi)存空間、CPU的各個(gè)寄存器，也有時(shí)包括硬件的端口虛擬。在這種虛擬的系統(tǒng)運(yùn)行環(huán)境下，可以假設(shè)很多病毒入侵的情景，然后借助調(diào)試程序?qū)⒊绦驑颖菊{(diào)入，把操作程序運(yùn)行的每條命令都放在虛擬的環(huán)境下完后。這種完全虛擬的環(huán)境更便于我們的操作和控制，特別是可以控制程序的執(zhí)行，通過變化內(nèi)存、寄存器以及端口的方式。但是正如任何事物都有其兩面性，在虛擬機(jī)技術(shù)追求病毒檢測高準(zhǔn)確性的同時(shí)，虛擬機(jī)的劣勢也凸顯了出來，就是虛擬機(jī)技術(shù)的運(yùn)行速度過慢。由于虛擬機(jī)技術(shù)的運(yùn)行步驟的復(fù)雜，導(dǎo)致虛擬機(jī)技術(shù)的運(yùn)行時(shí)間比一般程序運(yùn)行的時(shí)間慢幾十倍甚至上百倍，而且還有一個(gè)關(guān)鍵問題需要考慮的是，現(xiàn)實(shí)中不可能虛擬出一切執(zhí)行程序的代碼，這要是虛擬機(jī)技術(shù)的局限所在。

1.7主動(dòng)內(nèi)核技術(shù)

隨著技術(shù)的不斷進(jìn)步，病毒的版本也在不斷升級(jí)和更新，防御和干擾體系更為頑固。但是之前在檢測病毒的技術(shù)中，不論是采用防病毒卡還是自升級(jí)的軟件反病毒產(chǎn)品[1]，都是一些被動(dòng)防御病毒的技術(shù)。被動(dòng)防御理念最大的問題就是其操作環(huán)境是當(dāng)病毒已經(jīng)入侵了計(jì)算機(jī)系統(tǒng)之后才開展的反病毒程序，已經(jīng)使計(jì)算機(jī)遭受到了病毒的侵害才被動(dòng)采取應(yīng)對措施，不免有些亡羊補(bǔ)牢的意味。這類技術(shù)手段無法避免計(jì)算機(jī)所受到的侵害，即使最終消滅了病毒，也會(huì)給計(jì)算機(jī)系統(tǒng)本身帶來安全隱患，這都是應(yīng)該注意的問題。因而，主動(dòng)內(nèi)核技術(shù)在這種環(huán)境下應(yīng)運(yùn)而生。主動(dòng)內(nèi)核技術(shù)，顧名思義就是采用主動(dòng)干擾病毒的技術(shù)手段，可以保證在病毒突破計(jì)算機(jī)系統(tǒng)的瞬間，保護(hù)計(jì)算機(jī)免受傷害。這種主動(dòng)追擊病毒的理念一直是計(jì)算機(jī)病毒檢測工作研究者們的想要達(dá)到的目標(biāo)。主動(dòng)內(nèi)核技術(shù)的優(yōu)點(diǎn)是不會(huì)在查殺病毒的同時(shí)傷及到計(jì)算機(jī)系統(tǒng)，并且還可以有效的對想要入侵計(jì)算機(jī)系統(tǒng)的病毒給予有力打擊和徹底攔截[2]。主動(dòng)內(nèi)核技術(shù)的優(yōu)勢就在于和以往的計(jì)算機(jī)病毒檢測技術(shù)相比，擁有主動(dòng)的話語權(quán)，不會(huì)像傳統(tǒng)的計(jì)算機(jī)病毒檢測技術(shù)一樣，本身并不具有防護(hù)能力，只會(huì)在病毒侵害里計(jì)算機(jī)系統(tǒng)之后做一些善后工作，來治療病毒感染的計(jì)算機(jī)系統(tǒng)。這種被動(dòng)防御的計(jì)算機(jī)病毒檢測技術(shù)的清除病毒的力度不夠大，還是會(huì)給計(jì)算機(jī)的本身系統(tǒng)帶來安全隱患。

其實(shí)綜上所述，主動(dòng)內(nèi)核技術(shù)的真正核心理念，或者精髓所在，就是針對計(jì)算進(jìn)系統(tǒng)的操作內(nèi)核，給計(jì)算機(jī)操作系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)打一個(gè)補(bǔ)丁，這個(gè)補(bǔ)丁的打法不是被動(dòng)而是主動(dòng)的，之后病毒檢測技術(shù)的運(yùn)行就圍繞這個(gè)補(bǔ)丁開展。用這個(gè)補(bǔ)丁對于計(jì)算機(jī)系統(tǒng)的漏洞進(jìn)行修補(bǔ)，并且從安全和穩(wěn)定的雙重角度去管理和檢查整個(gè)計(jì)算機(jī)的系統(tǒng)或者網(wǎng)絡(luò)。

1.8網(wǎng)絡(luò)備份存儲(chǔ)管理系統(tǒng)

眾所周知，為了避免由于計(jì)算機(jī)系統(tǒng)被病毒感染而造成計(jì)算機(jī)系統(tǒng)的重要信息丟失這一嚴(yán)重后果，所以傳統(tǒng)意義上來講，利用備份已經(jīng)完成的數(shù)據(jù)文件這一方法來規(guī)避風(fēng)險(xiǎn)。所謂網(wǎng)絡(luò)備份存儲(chǔ)管理系統(tǒng)，是指利用存儲(chǔ)設(shè)備和硬件設(shè)施[3]，然后借助于存儲(chǔ)管理軟件的幫助，進(jìn)行數(shù)據(jù)文件和信息的統(tǒng)一收集和管理。支撐起網(wǎng)絡(luò)備份存儲(chǔ)管理系統(tǒng)的核心技術(shù)是備份管理軟件這一功能的完成，在備份的前提下開展計(jì)算機(jī)系統(tǒng)的繼續(xù)運(yùn)行，是安全無虞的。并且需要注意的是，計(jì)算機(jī)病毒檢測技術(shù)中的網(wǎng)絡(luò)備份存儲(chǔ)管理系統(tǒng)的運(yùn)行，可以在原有計(jì)算機(jī)的數(shù)據(jù)文件被破壞后可以借助備份的數(shù)據(jù)文件進(jìn)行替換和覆蓋，不影響計(jì)算機(jī)系統(tǒng)的正常運(yùn)行和穩(wěn)定操作，從而可以最大程度的最好的實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)備份與恢復(fù)的智能化管理和高效性的服務(wù)。

2總結(jié)

綜上所述，現(xiàn)今計(jì)算機(jī)病毒的技術(shù)主要采用的是隱藏技術(shù)，就是指在計(jì)算機(jī)病毒在靜態(tài)保存和動(dòng)態(tài)運(yùn)作的時(shí)候，采取一些為了躲避計(jì)算機(jī)系統(tǒng)或其他應(yīng)用程序的檢測的技術(shù)和方法，就為了可以更好地隱藏自己使其不被發(fā)現(xiàn)。隱藏技術(shù)是計(jì)算機(jī)病毒現(xiàn)今采用最為高端和廣泛的一種核心技術(shù)，因而針對這種計(jì)算機(jī)病毒的隱藏技術(shù)，本文提出一系列行之有效的檢測手段和思想作為后續(xù)計(jì)算機(jī)病毒檢測技術(shù)的參考。

參考文獻(xiàn)：

[1] 張勇，張衛(wèi)民，歐慶于，等.基于主動(dòng)學(xué)習(xí)的計(jì)算機(jī)病毒檢測方法研究[J].計(jì)算機(jī)與數(shù)字工程，2011，39（11）：89-93，105.

[2] 韋蕓，章劍林，徐慧劍，等.免疫原理在計(jì)算機(jī)病毒檢測中的應(yīng)用[J].計(jì)算機(jī)應(yīng)用與軟件，2008，25（9）：52-53，108.

[3] 萬百宏.計(jì)算機(jī)病毒檢測技術(shù)研究與實(shí)現(xiàn)[J].信息技術(shù)與信息化，2015（3）：114-115，123.