计算机病毒及反病毒技术

欧阳艾嘉,许卫明,许小东

(嘉兴学院 数理与信息工程学院,浙江 嘉兴 314001)

计算机病毒及反病毒技术

欧阳艾嘉,许卫明,许小东

(嘉兴学院 数理与信息工程学院,浙江 嘉兴 314001)

当前计算机病毒已经渗透到信息社会的各个领域，它给信息安全带来了巨大的破坏和潜在的威胁。文章从计算机病毒的定义入手，提出了计算机病毒的判定条件，分析计算机病毒的本质及特征，并对计算机病毒进行了分类，预测了病毒变化的总体趋势，最后介绍了计算机病毒的主要防范技术。

计算机病毒；特征；类型；防范技术

计算机病毒对计算机软硬件系统及网络造成了各种各样的损害，除了一些常见的损害，例如修改系统信息、删除程序或数据、阻塞网络以外，它们还造成一些非破坏性的影响，例如消耗计算机大量的存储空间及时间[1]。

1 计算机病毒的定义及其特征

计算机病毒的定义及其判定条件在文中我们采用Cohen有关计算机病毒的定义:“病毒是通过修改其它程序，使其包含病毒程序自身或某种变异从而传染其它程序的一种计算机程序[2-3]”。能够复制本身，而且具有传递性是计算机病毒程序的根本特征。这使计算机病毒和其它正常的程序有所不同。因此自我复制的特征就成为了判断一个程序是否是病毒的首要条件，也可以称它为充分条件。如果只拥有破坏能力而又不会传染的程序就很难被称之为病毒。也就是说只要有了传染能力，不管这个病毒有没有明显的破坏行为，都可以将它称之为病毒。根据前面的内容，我们可以归纳出判断计算机病毒的条件：一个程序，在执行的过程当中它会复制自己本身，而且这种复制是在不被用户所期望或者用户根本不知情的情况下发生的，我们可以将这个作为判定病毒的关键条件。在这里，“复制”既可以定义为形式上的简单复制，也可以将其定义成代码功能等价的“复制”。这个条件很明确，它可以实现不需要人为干预来检测未知病毒[4]。

计算机病毒是能够通过修改某些其他程序从而达到感染该程序的目的的一种程序。 修改操作通常可能包括复制病毒程序本身，然后再去传播和感染其它的合法程序。一般情况下，典型的病毒进入计算机系统之后它会驻留其中进行潜伏而不会马上发作，感染病毒后的计算机和其信息系统进行交互时，病毒的副本就会进入新的系统，因而病毒就通过可信用户的存储器（主存和辅存）或者网络传播开来。

通过对形形色色的计算机病毒的本质特征进行研究，发现计算机病毒通常具有以下特征：程序性、非法性、传染性、潜伏性、主动性、针对性、变异性和不可预见性。

2 病毒类型与其变化的总体趋势

计算机病毒的分类方法有很多种，这里主要按传染的对象、连接的方式、攻击的目标和破坏的程度分类介绍。（1）引导型病毒：这种病毒主要是传染磁盘的引导区，启动系统时它们就会优先取得系统的控制权，接着驻留内存之后再引导系统，并且伺机感染其它硬盘或软盘的引导区。（2）文件型病毒：通常情况下只传染磁盘上的可执行文件，当用户运行染毒的可执行文件时，病毒首先被运行，计算机病毒驻留内存伺机传染其他程序或者文件。除了这两种常见的病毒，还有混合型病毒，它们兼具以上两种病毒的特点。

按连接的方式分类：（1）外壳型病毒：这种病毒通常是将自身粘附在合法程序的开头或者结尾，这就等于给合法程序加了个外壳，这个外壳包围在主程序的周围，对原来的代码不作任何修改。这种计算机病毒最为常见，很容易编写，也很容易发现。（2）源码型病毒：这种病毒通常攻击高级语言编写的程序，它会把自己插入到计算机系统的源代码中，通过编译之后成为合法程序的一部分，就会导致刚刚生成的可执行程序直接带毒。（3）嵌入型病毒：该病毒通常是将自身嵌入到已有程序中，代替合法程序中的部分模块以及堆栈区的病毒程序，一般情况下，它只会攻击那些特定程序，这种病毒很难编写、也很难发现和消除。（4）操作系统型病毒：这种病毒是用其自身的程序试图加入或替换部分操作系统进行工作，因而具有很强的破坏力，它可以使整个操作系统瘫痪。

按攻击的操作系统分类：（1）攻击DOS操作系统的病毒：这种病毒出现得最早、数量最多，变异各异。（2）攻击Windows操作系统的病毒：由于Windows已经基本上取代DOS，从而Windows成为病毒攻击的重点对象。（3）攻击OS/2操作系统的病毒：这种病毒非常简单，对OS/2操作系统来说是一个不祥之兆。（4）攻击UNIX操作系统的病毒：目前UNIX系统应用在各行各业，UNIX病毒的出现，对信息安全来说也是一个严重的挑战[5]。

按破坏的情况分类：（1）良性病毒：是指病毒不对计算机数据进行破坏，但会造成计算机程序工作异常。有时病毒还会出来表现一番，例如：“小球（pingpang）”病毒、“台湾一号”和“维也纳”等。（2）恶性病毒：是指那些对计算机系统进行恶意攻击的病毒，有的甚至会破坏计算机硬件，造成整个计算机瘫痪，例如“米开朗基罗”[6]。此外，还有极恶性病毒和灾难性病毒。计算机病毒变化的总体趋势是:编制病毒愈来愈易，病毒变种愈来愈多;互联网技术的发展使得病毒的传播速度愈来愈快，潜伏期愈来愈短;漏洞病毒出现得愈来愈快;病毒和黑客愈来愈贪婪;病毒和黑客更加聪明，骗术更高明;病毒的复杂程度和危害程度越来越大[7]。

3 计算机反病毒技术

如果计算机病毒破坏了没有副本的文件，就无法医治。多态性计算机病毒和隐形计算机病毒让人很难检测。我们在跟计算机病毒的对抗中，如果能够采用有效的预防措施，就能使计算机系统不受病毒感染，或者使它的损失降到最低。计算机反病毒技术，就是根据系统特征，建立合理而有效的计算机病毒防范体系和制度，及时捕获计算机病毒侵入，并采取有效的手段和措施阻止病毒的传播和破坏，使受影响的计算机系统和数据得以迅速恢复[8]。计算机病毒是一种具有自我复制能力的计算机程序，它不仅能够破坏数据的完整性与正确性，还能影响计算机软件和硬件的正常工作，从而使计算机甚至是计算机网络整体瘫痪，这给人们的经济发展和社会生活带来了巨大的损失。

软件反病毒技术是第一类反病毒技术。我们知道：计算机病毒是一种具有寄生性的程序，正因为如此，计算机病毒就会潜伏在主存、辅存以及CMOS当中，如果病毒被激活它会马上驻留内存；针对病毒的寄生特性采用定时、自动或者手工方式对那些已经染毒的存储空间进行查毒和杀毒的技术称为软件反病毒技术。从目前来看，被人们使用比较广泛的检查病毒的方法有：搜索法、计算机病毒特征字识别法、行为识别法等。软件反病毒技术的优点是：使用方法简单方便可靠，不需要额外的硬件投资，升级快速而且方便，不局限于任何操作系统。它的缺点是：对病毒没有预警功能，这是一种“事后诸葛亮”的类型。

实时反病毒技术是第二类反病毒技术。实时反病毒概念最根本的优点是解决了用户对病毒的“未知性”，也就是说解决了“不确定性”的问题。所以实时反病毒技术的优点是可以及时有效地向管理员报警，从而提醒管理员在病毒大肆传播之前采取积极有效的措施来对电脑进行防护。实时监测不是“马后炮”，而是具有前瞻性的。和“事后诸葛亮”型的反病毒技术相比，实时监测型技术的安全性更高，性能更好。

CPU反病毒技术是第三类反病者技术。由于计算机设计者对网络通道设计得过于“开放”，会导致黑客和病毒能够轻而易举地攻击计算机，给计算机带来了很多风险，使信息安全具有更大的威胁。俄罗斯科学院院士——鲍利斯-巴巴扬科学家开发出了一种能够清除任何计算机病毒的反病毒微处理器（CPU），这种CPU具有识别计算机病毒的特殊功能，它会把那些感染了病毒的程序“软禁”起来并采取措施阻止其进一步传播，这种反病毒技术基本上就是把病毒隔离起来，让病毒失去传播的机会。

主动内核技术是第四类反病毒技术。主动内核技术实际上就是将已经开发的各种网络防病毒技术从源程序级嵌入到网络系统或操作系统的内核中，实现操作系统与网络防病毒产品的无缝连接。纵观反病毒技术的历史发展，从防病毒保护卡到自适应的升级防毒产品，再到动态和实时的反病毒技术，所销售的一直都是被动式的防御理念。该理念最大的不足在于将防治病毒的核心建立在病毒侵入网络系统或操作系统以后，作为上层应用软件的反病毒产品，才能帮助借助于网络系统或操作系统所提供的功能来被动地防治病毒。这种做法恰好就给计算机系统的可靠性和安全性造成了很大的影响。反病毒厂家追求的目标就是能够在网络系统和操作系统的内核中加入反病毒功能，从而使反病毒成为计算机系统内部的底层模块，而不是计算机系统外部的一个应用软件。

总之，随着计算机网络的发展，计算机应用在社会的各个领域，计算机病毒与反病毒技术也在不断拓展。因此，计算机病毒攻击与防御手段是不断发展的，要在计算成本机病毒对抗中保持领先地位，必须根据发展趋势，在关键技术环节上实施跟踪研究。

[1]左志宏,舒敏,周明天.计算机病毒的计算复杂度问题[J].计算机科学,2005,32(7):102－104.

[2]Cohen F.Models of practical defenses against computer viruses[J].Computer&Security,1989,8(2):149－160.

[3]田畅,郑少仁.计算机病毒计算模型的研究[J].计算机学报,2001,24(2):158－163.

[4]张岳公,范希骏,李大兴.计算机病毒入侵检测技术探讨[J].微电子学与计算机,2005,22(11):33－38.

[5]艾天予.计算机病毒的攻防技术探析[J].江西通信科技,2010(2):36－40.

[6]黄咏梅.浅谈计算机病毒及防治策略[J].内蒙古科技与经济,2010,216(14):69－72.

[7]赵杰,杨玉新.计算机病毒[J].云南大学学报：自然科学版,2006,28(S1):102－105.

[8]闫丽娟.计算机病毒的防范[J].信息与电脑：理论版,2010(5):13－15.

TP309

A

1674-1102(2011)03-0025-03

2011-03-30

欧阳艾嘉(1975-),男,湖南娄底人,嘉兴学院数理与信息工程学院教师,硕士，主要研究方向为智能算法、信息安全。

[责任编辑：曹怀火]