计算机病毒解析与防范技术研究

计算机病毒解析与防范技术研究
摘要
伴随着计算机系统的不断发展，目前计算机病毒已成为系统以及网络安全的巨大威胁。

因此要对计算机病毒常见类型以及基础常识进行把握，在这样的前提下如果遭遇病毒不会变的束手无策。

基于此，本文对计算机病毒的定义、传播方式以及受到感染之后的现象进行详细分析，并分析了计算机病毒的传播方式，主要包括基于网络的病毒传播模式、计算机常见病毒、几个经典的计算机病毒传播模型，进一步研究了计算机病毒防御方法，包括基于主机的检测方案、基于网络的检测策略、创建一套完善的病毒防护机制、对防治技术进行不断完善，同时对病毒检测手段进行升级，最后对病毒防范措施进行详细分析，除了漏洞扫描以及防火墙等技术之外，还包括反病毒、计算机病毒免疫技术，以便最大限度地减少计算机病毒造成的危害。

关键词：计算机病毒；计算机病毒传播途径；预防计算机病毒
Abstract
With the continuous development of computer systems, computer viruses have become a great threat to system and network security. Therefore, we should grasp the common types of computer viruses and basic common sense, under such a premise, if encounter viruses will not change at a loss. Based on this, this paper makes a detailed analysis of the definition, mode of transmission and the phenomena after infection of computer viruses, and analyses the mode of transmission of computer viruses, mainly including network-based virus transmission mode, common computer viruses, several classical computer virus transmission models, and further studies the methods of computer virus defense, including host-based detection. Measuring scheme, network-based detection strategy, establishing a set of perfect virus protection mechanism, improving prevention and control technology, and upgrading virus detection means. Finally, the virus prevention measures are analyzed in detail. In addition to vulnerability scanning and firewall technologies, anti-virus and computer virus immune technologies are also included in order to minimize the number of computers. The harm caused by virus..
KEY WORDS: Computer viruses; Computer virus transmission route; Prevention of computer viruses
目录
摘要 (I)
Abstract (II)
1 计算机病毒的概念及危害 (1)
1.1计算机病毒的概念 (1)
1.2计算机病毒的特征 (1)
1.3计算机病毒的危害 (2)
2计算机常见病毒分析与病毒传播 (3)
2.1计算机常见病毒 (3)
2.1.1系统病毒 (3)
2.1.2木马病毒 (3)
2.1.3脚本病毒 (4)
2.2基于网络的病毒传播模式 (4)
2.2.1通过电子邮件进行传播 (4)
2.2.2通过扫描系统漏洞传播 (5)
2.2.3通过无线电的方式传播 (5)
2.3几个经典的计算机病毒传播模型 (6)
2.3.1 SIS模型 (6)
2.3.2 SIR模型 (7)
2.4案例分析 (8)
2.4.1感染式蠕虫 (8)
2.4.2勒索病毒 (9)
3计算机病毒防范技术 (10)
3.1网络防火墙技术 (10)
3.2实时反病毒技术 (10)
3.3漏洞扫描技术 (11)
3.4计算机病毒免疫技术 (11)
3.5计算机病毒的检测技术 (11)
3.5.1特征代码法 (11)
3.5.2软件模拟法 (11)
3.5.3感染实验法 (11)
4 计算机病毒防御策略 (13)
4.1基于主机的检测策略 (13)
4.2基于网络的检测策略 (13)
4.3建立行之有效的计算机病毒防护体系 (14)
4.4加强工作站的防治技术 (14)
结语 (15)
参考文献 (16)
致谢 (17)
1 计算机病毒的概念及危害
1.1计算机病毒的概念
计算机病毒是程序员为了破坏计算机的功能或数据而插入的程序代码或者相关指令，这些代码或指令对计算机的正常使用可能带来影响。

计算机病毒属于最常见的可执行代码以及程序，在特征方面与生物病毒相当类似，不但能够进行大量复制，同时还可以相互感染，而且还具备再生以及活等基本特征。

计算机病毒拥有相当强大的复制能力，传播速度相当快，彻底根除难度非常大。

而且计算机病毒不许附加到很多种类的文件里面，通过传输或者复制的方式将文件在用户之间进行传递，将与该文件共享该文件。

1.2计算机病毒的特征
1.滋生性
与生物病毒非常相似，计算机病毒还能不断繁殖，即便用户进行正常操作也会不停复制。

在判断计算机病毒的时候，其关键依据在于是否具备传染以及滋生的特性。

2.破坏性
一旦计算机出现病毒，往往导致文件被恶意删除或者程序不能正常运作，最终对计算机带来不同程度的损害。

3.传染性
计算机病毒感染性意味着计算机病毒可以通过将其他程序修改为其他无毒文件来转移其或其变体。

这些文件可以是系统或程序。

4.潜伏性
潜伏期指的是通过其他媒体进行其中的一种综合能力，这也是计算机病毒的一大特性。

入侵后如果条件未达到通常病毒不会攻击系统，但是会减慢计算机的运行速度。

5.隐蔽性
计算机病毒非常隐蔽，在某些情况下可以被病毒软件检测到。

计算机病毒在电脑中常常是隐蔽的、可变的，因此针对这些病毒进行处理难度非常大。

6.可触发性
编写病毒到时候通常会为病毒专门创建相应的触发条件，比如程序运行、指定的日期或者条件等。

如果达到这些条件，计算机病毒马上会对系统发动攻击。

1.3计算机病毒的危害
如果计算机中毒，一般来说正常程序将不能有效运作。

计算机病毒将文件删除或者破坏的程度也不一样，通常如下：删除，更改，增加和移动。

计算机病毒最出众的不是破坏性，而是病毒的滋生性，如果病毒发生突变或者被复制，其蔓延速度很难进行阻止。

病毒最基础的特性为滋生性，与生物界非常相似，病毒通过感染从一个活体传播到另一个活体。

在适当的条件下，病毒可以迅速大量繁殖，受感染的生物体可以显示发病甚至死亡。

同样，计算机病毒可以通过各种方式将病毒从受感染的计算机传输到未感染的计算机，从而导致计算机出现故障或瘫痪。

很多木马病毒大多是为了盗取用户信息，从中获取利益，如网上银行账户密码、网络游戏账户密码等。

例如：2017年，一名淘宝卖家在经营中，收到一买家发来的消息说，自己要买几款衣服，但找了很多家店内都没有货了，其要的风格和他店内的类似，想让店家帮他看看有没有货。

说完，就把一个类似网购平台的页面链接发了过来，卖家点开，图片很多一直在加载中，最后显示加载失败，并提示卖家的账号下线了，害得卖家重新登陆。

如果信息被盗取无疑将给客户造成惨重损失，因此身处病毒大量存在的环境中，我们必须说用户在使用软件时有很多顾虑。

2计算机常见病毒分析与病毒传播
2.1计算机常见病毒
2.1.1系统病毒
针对系统病毒而言，最常见的前缀除了Win95、Win32以及W95之外，还包括Win95以及PE等。

这些病毒都具备很多功能，除了能够对windows系统里面的* .dll以及* .exe 文件进行感染，同时还能借助这些文件进行病毒传播，最常见的病毒如CIH。

普通用户通常对计算机病毒认知程度并不高，一旦遭遇病毒往往变得盲目无措，事实上只需了解重装系统就能有效解决这些问题，比如可以在计算机上下载防病毒软件进行实时防护以及查杀病毒。

当然建议计算机用户安装360工具针对顽固病毒进行检查并杀灭，其他反病毒软件除了小红伞、nod32以及卡巴斯基之外，还有平均以及ast超级巡逻等反病毒软件。

其中，Kabbah，Risin通常要占据大量系统资源，因此一般情况下要配置诸如东方微点以及nod32等防病毒软件。

针对防病毒软件要定期进行升级，一旦软件不能正常启动或者工作，需要更换其他类型的防病毒软件。

如果很难杀死计算机病毒，通常说明该病毒为新型计算机病毒，或者属于变种以及shell等计算机病毒，随时可以通过相关选项进行手动终止。

2.1.2木马病毒
就特洛伊木马病毒而言，它的前缀为木马，但是黑客病毒的前缀一般来说都为黑客。

前者拥有相同的特性，就是借助系统或者网络出现的漏洞在计算机系统里面隐藏，将用户个人信息进行盗取；对黑客病毒而言，主要借助远程控制的手段、通过可视化途径秘密潜入到计算机里面。

这两类病毒一般都会成双成对出现，前者主要对计算机系统进行入侵，同时对后者进行全程控制。

目前这两类病毒的整合性不断增高，比如出现频率较多的QQ 消息木马，如果使用的QQ号码为3344，就会遭遇大量与在线游戏密切相关的诸如PSW.60、LMIR等木马病毒。

此外，病毒，PSW或任何PWD的名称通常意味着病毒具有窃取密码的能力（这些字母通常缩写为英语中的“密码”）和一些黑客程序，例如黑客。

虚空。

客户端等。

完整的木马由两部分组成：客户端（控制器部分）和服务器（服务器部分）。

受害者被称为服务器，黑客攻击服务器受害者与客户端一起运行的计算机。

当特洛伊木马的服务器运行时，就会生成让用户相当困惑的名称对受害者进行传递，受害者往往难以察觉，一旦将端口开启之后就会把数据信息传送至相应的地址，这时候就可以盗取用户个人密码以及账号信息，甚至还能够借助开放端口对用户个人计算机进行大规模入侵。

2.1.3脚本病毒
脚本病毒也是比较常见的一种病毒，这种病毒的前缀为script，该病毒事实上属于通过编写脚本语言借助网页的形式进行传播，最常见的有红色代码（Script.Redlof）。

脚本病毒还具有以下前缀：VBS，JS（指示编写哪些脚本），比如常见的十四日（Js.Fortnight.c.s）以及欢乐时光（VBS.Happytime）等。

为了获得持续的机会，脚本病毒通常使用不同的方法来关注用户。

例如，消息附件的名称通常都含有双后缀，举例来说，.jpg.vbs由于在默认状态下系统将后缀隐藏，用户一般很难察觉到该文件，因此通常被认为JPG文件。

蠕虫也是最常见的一种脚本病毒，最近几年危害性非常强大的“Nimya”病毒也属于该病毒的一种类型。

前些年让全球震惊的“熊猫烧香”以及后续变种病毒也属于蠕虫。

该病毒主要通过Windows系统存在的漏洞，一旦将计算机感染之后，计算机会不停的自动拨号，同时借助文件里面的网络共享或者详细地址展开快速传播，导致用户个人关键数据被大量破坏。

通常主要借助具备监控性能的防病毒软件来控制蠕虫，同时陌生的网络邮件以及附件不要随便打开。

2.1.4宏病毒
宏病毒为最常见的一类脚本病毒，这种病毒相当特殊，因此单独列开进行计算。

这种病毒的前缀为宏，之后的前缀除了Excel97以及Word97之外，还有可能包括Excel以及Word等。

如果病毒仅仅对旧版本word文档以及WORD97进行感染，通常后面的前缀都为Word97，最常见的格式则为Macro.Word97；如果病毒仅仅对更高级别的WORD文件以及WORD97进行感染，通常后面的前缀都为Word，最常见的格式则为Macro.Word；如果病毒仅仅对旧版本EXCEL文档以及EXCEL97进行感染，通常后面的前缀都为Excel97，最常见的格式则为Macro.Excel97；如果病毒仅仅对更高级别的EXCEL文档以及EXCEL97进行感染，通常后面的前缀都为Excel，最常见的格式则为宏或者Excel。

这些病毒自身具备的功能特征通常都会被OFFICE进行感染，然后借助OFFICE模板进行大规模传播，其中最有名的病毒为梅丽莎（Macro.Melissa）。

2.2基于网络的病毒传播模式
基于网络的计算机病毒分布在多个渠道，例如：通过电子邮件，扫描系统间隙，通过无线电等。

2.2.1通过电子邮件进行传播
传播网络病毒的主要方式是在电子邮件中传播代码病毒。

如果附加到电子邮件的文件包含病毒，则打开文件附件（通常通过双击附件图标）会将病毒传输到计算机。

由于广泛的电子邮件应用程序，许多病毒制造商首选这种病毒传播模式。

有两种方法可以通过电子
邮件传播病毒。

一方面在电子邮件里面直接添加了恶意代码；其次，在URL里面恶意添加了与之有关的代码，通过电子邮件分发病毒如下：
（1）寻找目标
病毒在通讯簿，历史记录或受感染计算机的电子邮件中的硬盘里面对能够使用的邮件地址进行大范围搜索，举例来说，HTML文件在Internet文件夹里面被临时储存，这类文件里面很有可能存在详细的电邮地址。

一旦在计算机上面配置相应的电邮软件，病毒将以最快速度对详细地址进行提取。

（2）将自身拷贝并发送
病毒在搜索能利用电子邮件地址的过程中，往往对自身进行复制并对外发送，不过有的病毒隐匿性非常强，通常不会对病毒发送电子邮件，但首先会感染用户的电子邮件。

更改系统设置是电子邮件HTML最常见的默认格式，一旦用户对外发送信息，病毒将以最快速度对消息内容进行感染。

（3）激活病毒代码
如果接收端收到病毒代码，通常病毒不会主动进行运作但必须由用户激活。

因此，病毒会尽力为用户激活病毒代码。

该病毒会产生各种欺诈性标题和内容以吸引人们。

例如，病毒“我爱你”使用“笑话”这个词来打开带有病毒的电邮，随后就能对代码进行激活。

2.2.2通过扫描系统漏洞传播
蠕虫代码属于相对独立的一个程序，并未嵌入主机文件夹中。

他的转移过程是利用Web上的系统漏洞远程验证计算机，病毒利用这些漏洞进入到计算机系统里面对其进行控制，导致计算机遭到不同程度的攻击或者损害。

蠕虫主要通过下面这些方式获得系统操作权限：
（1）利用系统漏洞
蠕虫一般会借助系统程序或者漏洞进行大范围传播，举例来说，有的版本浏览器能够对EML文件进行自动浏览。

与电子邮件不同，蠕虫通常使用系统漏洞来远程控制网络主机。

换句话说，首先对目标主机进行控制，随后对自己进行复制，攻击计算机系统之后自行销毁。

（2）使用LAN进行传播
有的LAN管理者由于工作过程中疏忽或者缺乏安全意识，导致系统文件在有的计算机上可以进行远程写入。

这通常会给蠕虫带来机会。

蠕虫可以直接复制到LAN上的可写启动目录以进行共享。

有些病毒在局域网上找到能够记录的win.ini或者对注册表进行更改，这样以后重启的时候蠕虫就会自动运行。

（3）蠕虫通过服务器还能对大量存在的IIS从等服务器漏洞进行利用，来控制远程服务器。

然后蠕虫通过自由转发的方式将恶意代码传递给服务器，在这样的前提下，用户只要访问服务器都有可能被蠕虫感染。

2.2.3通过无线电的方式传播无线电能够把病毒传播至其他的电子系统内部，并可以将病毒与接收器一起直接发送到贴标机。

利物浦大学计算机科学，电气工程和电子系的研究人员在实验室环境中设计并模拟了“变色龙”病毒。

该演示发现家庭和企业接入点用于访问无线路由器的Wi-Fi 网络。

Wi-Fi 网络不仅快速传播，还消除了检测并确定哪种加密技术和密码最容易受到Wi-Fi 接入点的攻击。

它还能够模拟无线数据进行正常传输，对病毒代码进行传递，同时将病毒代码域合法信掺合起来。

一旦病毒到达网络系统，它就可以进入保护目标。

2.3几个经典的计算机病毒传播模型
2.3.1 SIS 模型
容易感染 - 脆弱 - 易受攻击 - 也就是SIS 模型。

网络里面的个体主要包括两类形态，其中之一为感染状态（I ），另一种则为易感状态（S ）。

如果病毒攻击节点并对其感染，这些节点将变成受感染之后的节点。

一旦这些节点恢复正常，有可能因此成为很容易受到感染的节点。

这次由于这些节点在恢复之后可能已经被新病毒感染，因此病毒能够在通信组里面不停长时间不停传播。

具体的传播模型可见图2.1。

图2.1 SIS 病毒传播模型
SIS 模型可用微分方程描述如下：
其中的β表示病毒的感染率，然后该增加表明易感者每单位时间转换为感染者，γ代表病毒综合治愈率，I γ指的是单位时间里面对被感染者治愈的总数。

N 代表网络里面所有的节点数量，0I 则代表病刚刚传播时主机被感染的数量。

不过SIS 模型并未将容易受到感染节点利用反病毒手段进行免疫的相关情况考虑在内。

2.3.2 SIR 模型
SIR 模型为简称，其全称则为Susceptible-Infected-Removed 模型。

在网络里面节点主要包括下面这些状态：（1）易感状态（S ），处于该状态的节点目前并没有被病毒感染，当然后续有很大几率被感染; （2）处于该状态的节点（I ）已经被病毒感染，而且其他节点也有被感染的几率。

（3）免疫状态（R ），这类节点对病毒具备一定的抵抗性，因此感染同种类型病毒的几率基本不存在。

事实上此类状态下的主机基本上已摆脱病毒传播途径，因此在有的论文里面这种状态也被叫做除去状态。

图
2.2 SIR 病毒传播模型
该模型的状态方程如下：
这里β为感染率，γ为病毒清除率，N 为网络中总的节点数。

SIS 以及SIR 模型的基础都为生物模型。

不过与生物病毒相比，计算机病毒都有自身的独特性质，使用计算机病毒的模型存在许多不一致之处。

例如，SIS 模型和SIR 模型认为封闭组中人员的状态转换过程仅与常数相关，并未考虑外部因素对病毒传播的影响，例如： 因此，除了这两种生物模型之外，还提出了几种改进的模型。

2.3.3SEIR 模型
SEIR 模型为简称，其全称则为Susceptible-Exposed-Infected-Removed 模型。

这种模型对运作基础为SIR 模型，不过相对来说增加了全新的潜伏状态，主要对拥有病毒代码但是还没有表现出病毒特性的个体进行描述。

其他状态基本上类似于SIR 。

病毒在传播过程中感染会出现延迟，换句话说，当个体接收到病毒传播的恶意代码之后不会马上被感染，此时病都会在主机里面进行潜伏，等待时机被彻底激活。

这候的感染个体可能不会呈现出被感染迹象，在该模型看来，感染节点恢复之后可能具备免疫能力，当然也有一定几率变成容易受到感染的节点。

图2.3 SEIR病毒传播模型
SEIR模型事实上属于SIR以及SIS两大模型的组合体，这种模型可以借助对结节感染杀灭病毒而得到一定的免疫力，同时还能够通过结节对其他病毒进行再次感染，在此基础上就会变成再次感染的节点。

在下文中所有病毒都被视为一组。

SIR模型相比，SEIR模型相比来说占据更大优势，主要在于这种模型对病毒复制环节进行严密核查。

通过上面状态
2.4案例分析
2.4.1感染式蠕虫
例如，删除受感染的蠕虫：
受感染的示例在主机末尾添加相应模块对病毒代码进行保存，同时对病毒代码开启的位置进行修改。

行为分析：
本地行为：对本地执行文件进行感染，并非系统里面受到感染之后的文件
需要注意的是，％System32％属于一种可变的路径，病毒主要借助系统查询对System 文件夹的具体位置进行确认。

就Windows 2000 / NT而言，该系统里面对应的安装路径默认位置为C：\ Winnt \ System32。

windows95 / 98 / me中的默认安装路径是C：\ Windows \ System。

win 7中的默认安装路径是C：\ Windows \ System32。

％Temp％= C：\ Documents and Settings \ AAAAA \ Local Settings \ Temp代表目前用户TEMP对应的缓存变量
％Windir％\ WINDODWS运行目录
％DriveLetter％\ logical drive root directory
％ProgramFiles％\ system程序默认安装目录
％HomeDrive％= C：\目前系统操作对应的分区
％Documents and Settings％\ current user documentation根目录
清算计划：
在最后一行（.ani）对应的偏移量0x04h里面，将主机最初进入点EntryOfPoint进行删除
将文件里面最后内容（.ani）进行删除
将文件里面最后内容节表（.ani）进行删除
针对SizeOfImage进行修复
校正部分的数量=原始部分的数量-1
2.4.2勒索病毒
2018年8月，全世界不少区域都遭受到GlobeImposter勒索软件的大范围攻击，攻击的过程中主要对象为远程桌面服务器。

在打破边防后进行定性分析后，黑客工具被用来渗透内部网络。

密码工具相对管理员密码进行检索，以筛选出质量较高的服务器，通过手动的模式对勒索软件进行开启，其中机密性文件全部加密。

病毒在感染过程中相关功能除了加密文件对应的扩展名RESERVE，还包括经过加密之后的Windows文件。

因为勒索软件带来的损害，用户可以通过离线方式对感染之后的服务器进行隔离，并寻求专业的技术支持，以执行协议和样本分析。

如果服务器没有受到感染，一定要对防火墙3389进行彻底关闭，这样才可以得到特定的IP地址。

同时，打开Windows防火墙并尝试关闭未使用的高风险端口（例如3389,445,139和135）。

每个服务器终端都不使用弱密码来防止勒索软件病毒感染，从而导致更大的损失。

研究人员发现了一种新的Ransomware Dharma变体，它将扩展名.id-id.email.cmb添加到加密文件中。

攻击者首先借助3389端口利用远程协议潜入至计算机内部，然后通过强制性手段获取登录密码，得到操作权限之后攻击者将在电脑上装配勒索软件，随后对计算机展开加密处理，并尝试加密网络。

与原始勒索软件相比，此变体在加密文件过程中将会增添扩展名—.id-id.email.cmb。

对文件加密的时候，将在感染之后的计算机里面设置不一样的备注：
首先为用户登录之后系统自动运作的Info.hta文件; 其次为计算机桌面上安装的FILES ENCRYPTED.txt文件。

其中的赎金票据主要说明了付款相关事项，在此基础上该变体对映射的以及未映射的驱动器以及网络共享展开加密处理，用户将失去计算机访问权限。

而且在用户登录系统的时候该变体将创建自动启动程序，加密者有权限对用户在桌面创设的新文件进行加密，当前针对这类变体还不存在彻底的解决对策。

针对勒索病毒带来的损害，用户可以在计算机上面及时安装杀毒软件，定期对病毒库进行更新。

然后对计算机里面的关键数据进行备份，切记随意将陌生的电邮以及附件打开，避免受到勒索软件的感染计算机造成巨大损害。

3计算机病毒防范技术
3.1网络防火墙技术
防火墙属于最常见的安全隔离手段，在本质上属于数据访问控制体系，在内联网和外联网之间实现安全保护系统。

它将内联网与外联网分开，并将用户限制为严格控制的保护点。

防火墙一般在通信过程中对控制标准进行强制执行，主要用来避免没有经过授权或者身份验证的其他人员进行访问，同时也可以有效避免黑客对网络进行攻击，或者对数据以及设备进行破坏。

防火墙通常部署在受保护的Intranet和Internet之间的边界。

Internet，还能够对Intranet 里面的关键数据以及服务器进行保护。

即便用户通过内网进行登录，也要借助防火墙进行过滤，以便对资源进行有效保护。

防火墙安保系统通常使用的结构为拓扑，在此基础上网络运行可得到安全保障，同时借助数据集成全面提升网络数据的安全程度。

防火墙用于Internet上的多个环境中。

这意味着防火墙在计算机的网络安全中起着重要作用。

防火墙可以确保联网计算机网络的安全性和稳定性。

这是确保计算机网络安全的必不可少的先决条件。

计算机防火墙如表4.1所示。

表4.1 计算机各类防火墙对比
3.2实时反病毒技术
由于新的计算机病毒的出现，反病毒软件很难针对病毒入侵进行全面应对，在此基础上就衍生出反病毒技术。

许多防病毒卡都插入系统板，以实时监控系统的运行，并。