您的位置:360文档中心› 《计算机病毒原理及防范技术》第8章计算机病毒理论模型(精)

《计算机病毒原理及防范技术》第8章计算机病毒理论模型(精)

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

机的概念以及基于图灵机的5种病毒模型;
然后讲解基于递归函数的病毒模型;最后讲
解3种蠕虫传播模型及其仿真。
8.1 基于图灵机的病毒模型
8.1.1 RAM模型 8.1.2 RASPM模型 8.1.3 图灵机模型 8.1.4 RASPM_ABS模型和基于此的病毒 8.1.5 操作系统模型
8.1 基于图灵机的病毒模型
毒。
8.1.4 RASPM_ABS模型和基于此的病毒 (2)病毒检测方法
如果我们只涉及一些已知病毒的问题,那么就可能简
化病毒检测问题。在此情况下,可以将已知病毒用在 检测算法上。 我们从每个已知病毒提取一系列代码,当病毒进行传 播时,它们就会在每个被感染了的文件中显示出来。 我们将这一系列代码成为序列。病毒检测程序的任务 就是在程序中搜寻这些序列。
8.1.4 RASPM_ABS模型和基于此的病毒
x1 x2
后台存储器
xn
输入带
z1 z2
程序(能够 存储在存 储器中)
控制单元
r2 r3
y1 y2
r0 r1
存储器
图8. 4包含后台存储带的随机访问存储程序计算机 (RASPM_ABS)
输入带
8.1.4 RASPM_ABS模型和基于此的病毒 基于RASPM_ABS的病毒
8.1.4 RASPM_ABS模型和基于此的病毒 2.少态型病毒和多态型病毒
当有两个程序被同样的病毒以指定传播方式感染,并
且病毒程序的代码顺序不同时,这种传播方式称为多 形态的。 当有两个程序被同样的病毒以指定传播方式感染,并 且病毒程序的代码顺相同但至少有一部分病毒代码被 使用不同的密钥加密时,这种传播方式称为少形态的。
Cohen在1984年为计算机病毒提出了一个
形式化的数学模型,这个模型使用图灵机。
实际上,Cohen的计算机病毒的形式化数学
模型与Neumann的自我复制细胞自动机是十
分相似的。
这个数学模型为解决计算机病毒问题奠定了
重要的理论基础。
8.1.1 RAM模型
随机访问计算机(Random Access
等价于任何有限逻辑数学过程的终极强大
逻辑机器。
8.1.3 图灵机模型
a1 a2
ai
an B
B
有限控制器
图8.3 基本图灵机
8.1.4 RASPM_ABS模型和基于此的病毒
包含后台存储带的随机访问存储程序计算机(The Random Access Stored Program Machine with Attached Background Storage, RASPM_ABS) RASPM_ABS有一个输入带、一个输出带以及一个后台 存储带,它们都具有无限的长度。输入带只能被用来 读取信息,输出带只能被用来写信息,而后台存储带 既可以读又可以写。可以通过读/写头来访问这些带。 当读或写信息时,相应的头会向右移动一步。在后台 存储情况下,有可能发生读/写头的直接移动。
8.1.5 操作系统模型
操作系统被定义成如下的程序系统,该程序系统
能够处理分离的程序或数据文件,并能使指定的
程序代码运行。
RASPM_ABS和实际计算机系统间的相似性:它们
8.1.2 RASPM模型
在RAM模型中,由于程序并不是存储在RAM
的存储器中,因此它不能自我修改,当然,
也不可能被计算机病毒感染。现在,来考虑
随ቤተ መጻሕፍቲ ባይዱ访问存储计算机模型(Random
Access Stored Program Machine ,
RASPM)。
8.1.2 RASPM模型
x1 x2
Machine,RAM)模型是一种带有累加器
的计算机模型,并且在该计算机中指令不
能修改自身。
RAM由一个只读输入带、一个只写输出带
以及一个程序和一台存储器所构成。
8.1.1 RAM模型
x1
x2
xn
输入带
程序(不能 够存储在 存储器中)
控制单元
r2 r3
r1
r0
存储器
y1 y2
输出带
图8. 1随机访问计算机(RAM )
计算机病毒被定义成程序的一部分,该程序附着
在某个程序上并能将自身链接到其他程序上。当
病毒所附着的程序被执行时,计算机病毒的代码
也跟着被执行。
8.1.4 RASPM_ABS模型和基于此的病毒 1.病毒的传播模型
如果病毒利用了计算机的一些典型特征或服务,那么
病毒的这种传播方式被称作专用计算机的传播方式。 如果病毒在传播时没有利用计算机的服务,那么此传 播方式被称为独立于计算机的传播方式。 PC中,引导型病毒就具有专用计算机的传播方式 感染C源文件的病毒就是具有独立计算机的传播方式
向译码程序中随机地放入哑命令(Dummy Command)。
8.1.4 RASPM_ABS模型和基于此的病毒 3.病毒检测
(1)病毒检测的一般问题
如果存在着某一能够解决病毒检测问题的算法,那么
就能通过建立图灵机来执行相应的算法。不幸的是,
即使在最简单的情况下,我们也不可能制造出这样的 图灵机。 定理:不可能制造出一个图灵机,利用该计算机,我 们能够判断RASPM_ABS中的可执行文件是否含有病
8.1.4 RASPM_ABS模型和基于此的病毒
多态型病毒的实现要比少态型病毒的实现复杂得多,
它们能改变自身的译码部分。例如,通过从准备好的
集合中任意选取译码程序。该方法也能通过在传播期 间随即产生程序指令来完成。例如,可以通过如下的 方法来实现:
改变译码程序的顺序;
处理器能够通过一个以上的指令(序列)来执行同样的操作;
计算机病毒原理及理 论
第八章 计算机病毒理论模型
Virus
第八章 计算机病毒理论模型
本章学习导读 8.1 基于图灵机的病毒模型 8.2 基于递归函数的病毒模型 8.3 蠕虫传播模型 本章小结
本章学习导读
本章主要讲解计算机病毒的各种理论模型,这
些模型有利于进一步深入理解计算机病毒、
研究计算机病毒的各种机制。首先讲解图灵
xn
输入带
程序(能够 存储在存 储器中)
控制单元
r2 r3
r1
r0
存储器
y1 y2
输出带
图8.2随机访问存储程序计算机(RASPM )
8.1.3 图灵机模型
图灵机(英语:Turing Machine,又称
确定型图灵机)是英国数学家阿兰·图灵
于1936年提出的一种抽象计算模型,其更
抽象的意义为一种数学逻辑机,可以看作
相关文档
最新文档