计算机病毒防治技术的发展研究
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
从而检测到病毒的存在。
校验 和技术 的优 点是方法简单 ,能够 根据文件的细微 变化发现 未知病 毒。缺点是必 须预先 记录文件正常状 态下的校 验和 , 会产生误 报警的情况 ;不能识别病毒 的种类 ,不能发现 隐蔽 型的病 毒。
13虚 拟机技术 .
虚拟机技术是在 系统 上虚拟一个操作 环境 ,然 后在 这个虚拟环境下运行病 毒,在病 毒现 出原形后将其清除 。在处理 加密编
向综合化和集成化。传统 的特征码技 术 、 虚拟机技术将 与 “ 沙
盒”技术相结合 ; 传统的检测技术 和消除技术将从单纯的静态 向静态和动态结合的方 向发展 ;传统的以单 机防护为主的技术
将向“ 云防护”的方 向发展。计算机病毒预防技术 、计算机病
毒检测 技术和计算 机病毒消除技术 将逐渐实现集成 ;计算机 病毒防治技术和应 用软件及操作系统将逐渐 集成 [。 3 1 计算 机病毒 防治是计 算机应 用领域中一项长期而重要 的 工作。随着 计算 机 、网络 的不 断普及发展 , 托计算 机和 网 依
来越重要。姆 ( 责编 杨晨 )
参考 文献 : 【 韩筱 卿等 . 算机病毒分析 与防范大全 I . 1 ] 计 M1 北京 :电子工业 出版
接收 T 卡返 回的该分区识别码 ,读 卡器 再向 T M M卡发出已设
定 的该分 区密钥,T M卡对该 密钥 进行验证 ,若密钥正确则向
读 卡器 返回该存储 分区数据 ,否则不返 回分 区内数 据。即对
分 区密钥以及所有数据写人 另一 T M卡中就可实 现 T 数据 M 复制 的目的。但 由于所有 T M卡都 具有唯一 的 RO M代码 ,荇 读 卡器验 证 R M代码 ,则需要通过使用模拟卡装 置才能真正 O 达到等效 替换 目的。
作者简介: 刘志 ( 9 2 ) 1 7 一 ,男,湖南,主任 ,副教授 ,硕 士,主要 研 究方向 : 勤信息化专业教学与科研 ; 后 钱鲁锋 ( 9 6 )男,山东,讲 师, 17 一 硕士,主要 研 究方向 : 后勤信息化专业教 学与科研 ; 邵宏韬 ( 9 8 ) 17 - ,男,天津 ,讲师,硕 士,主要研 究方向 :军交运输信息化。 下转第 6 O页
主动 防御技 术也可 以称 之为行为检 测技术 ,它与传统特 征码技 术不 同,是一种能 够主动检测和拦截 未知威胁 的防御 技术 。 该技术通过提取计算机病毒的共性特征, 如修改 注册表、
自我复制 、不断 连接 网络 等,综合 这些行为特 征来判断其是 否为病毒 。也就 是说 全程监 视进程 的行 为,一旦发现 “ 违规” 行为,就通知用户,或者直接终止进程 】 。
太 多的系统 资源 ,虚 拟机功能 的强大是建 立在消耗大量 的系
已经进入了实用 阶段。
22防病毒体 系向立体化发展 ,防护重点 向前端迁移 .
从以往传统的单机版杀毒,到网络版杀毒,再到云杀毒概念 的提出,反病毒技术已经由孤岛化结构向立体化结构延伸。计算
机病毒防治重点也由以杀为主向以防为主、防杀结合的方式转移,
S n e r lc mm o c m p trvr r v n in a d c nr e hn l g fvi sp e e to a d tede l p e t Oo s vea o n o u e iusp e e to n o tol c o o y o r r v n in, n h veo m n t u te dso h e h olgya ebre y n lz d. r n ft etc n o r if a ay e l K e r :c mpu e r ; i sp e e to a t e e e y wo ds o trvi us vr r v n in; ci d fns u ve
21年第0 期 01 7
■ d i1 9 9js n1 7 -1 2 2 1 70 3 o : 03 6 / i 6 11 2 0 10 1 s
计 簧 栅 病 毒 l 鼻 和I t I 丙营
防 治 技术 的发 展 研 究
刘志 ,钱 鲁锋 ,邵宏韬
摘 对病 毒防 治技 术 的发 展趋 势进行 了简要 分析 。
( . o i i o m n o e e e c i f r ai , e i 0 5, hn , L g t s m a d l g a h g nom t n in 1 8 8 C i " sc C C l T nI oBjg 0 a
2 MityTa c ntue et n T n n 0 1 1C i ) . la f Ist Sc o ,i j 0 6, h a ir r i it i a i3 n
Fra Baidu bibliotek性的D 19 型的读取数据过程进行了分析,同时根据存在的安全 S91
漏洞, 提出了密钥破解原理以及等效替换的方法。
参考文献 : 【】 1 杨振 野 I c卡技术及其应用 I . M1北京 :科 学出版社 ,2) .8 2 . () 6 —15 ( 6
( 责编 张岩)
器指定 要读 的存储 分区代 码 ; )用模 拟读 卡器按照 2 读数 据 流程 向 T M卡发 送
2病毒防治技 术发展分析
计算机病毒技术与病毒防治技术是—对矛盾体 , 在—定的程 度上存在着互为判定的作用。在彼此对抗发展的 过程中, 皂 不自严格 断定 技术永远胜过另—种技术,二者呈现螺旋式上升发展形
式。 随着计算机病毒技术的不断变化, 病毒防治技术也将不断发展。
络 开展 的工作不 断增多,计算 机病毒 防治技术 的作用将 会越
【 王爱英 智能卡技术 l . 2 】 I 北京:清华大学出版社 ,2( 11 14 (( 6 — 8 )) )
[] ls 司 DS 9 1 ut k yi 3Daa 公 l 19 l— e M i BUT TON ( 1 9 数 据 手 册 )E / DS9 1 lB OL t :/ w. xm—c o po u t iutn 0 52 1 I t /ww mai i. m/ rd cs b t .2 0 /0 hp c / o 1
通过 上述 过程可 以得到指定存储 分 区的分 区代码和分 密钥 ,然后就可以读 出存储 分区内的所有数据 。将 分 代码 、
DS9 1 T 19 型 M卡安 全存 储 分 区内的数 据 过程 为例进 行分析,
读数据流程如图 2所示 。
首先读卡器向 TM卡发 出读指定安全存储分区命令,然后
特征码技 术 的优 点在于病毒检 测准确 、快速 ,误 报警 率低 ,可 以识别 病毒 的种 类,并可 以根据检 测结果 ,进行杀毒 处理 。
但特 征码 技术也存在 以下缺 点 : 一是 并非所有 病毒都 可以提 取其 特征码 ,很多病 毒都是难 以甚至无法用特征码 进行描述 ;二是
特征 码的描述取决 于人的主 观因素,从长达数千字节 的病 毒体 中撷取十余字节 的病毒特 征码,需要对 病毒进行跟 踪、反汇 编以
●
( . 勤指挥 学 院信 息化教研 室 ,北 京 10 5 ;2 军事 交通 学院科研 部 ,天津 3 0 6 ) 1后 088 . 0 1 1
要 :文章介 绍 了特 征码 、校验 和 、虚拟机 、主 动防御 、 沙盒等 几种 常见的计 算机 病毒 防治技 术 ,并
关键 词 :计 算机病毒 ;病毒 防治 ;主动 防御 中图分类 号 :T 3 3 8 文献 标识 码 :A 文章 编号 :17— 12( 0 1 7 03 — 1 P 9. 0 61 12 2 1 )0— 0 7 0
统 资源 基础上 的,过分 强调和应用虚拟机 杀毒技 术 ,可 能会 导致整个操作系统都不能进行其它工作。
从而最大程度上将病毒消灭在产生危害之前,降低 r系统风险。
23防治技术向综 合化和 集成化发展 .
适应信息系统综 合集成 趋势 , 计算机反病毒技术将逐渐走
1 . 4主动防御技术
1 主要 的病毒 防治技 术
11特征码技术 .
近年来 , 伴随着互联网的高速发展与不断普及 , 计算机病 毒也愈加猖狂和泛滥。“ 同一病 毒或同类病 毒的某一部分代码相 同” , 这是特征 码技术 的基础 出发点。如果病 毒及其变种 、变形病毒 具有 同一性 ,则可 以通过 对 已知病 毒进行分析、查解 ,对其 同一 性 进行描述 ,形成 “ 特征码” ,并将 特征码加入病 毒库 。当打开被检测文件 时,杀毒 程序通过 比较 “ 征码”进行检查 ,如果发 特 现病 毒特征代码,便可 以判定 文件是 否感染病毒 ,感染了何种 病毒。
Ab t a t T eat l t d c st esg au e c l rt n a d v r a ma h n , cie d fn e sn o n sr c : h r c ei r u e i n t r , ai ai n , i u l c i e a t e e s , a db x a d i n o h b o t v
— —
3r 7
21年第O 期 01 7
区 ( i u k y WreS b e)以及写密钥 ( i as od o下 面以读取 t wreP sw r t
的该存储分 区识别码 ; ) 3 按照读数据流程,用模拟卡装置在泼 卡器上再次跟踪分析读卡器发出的读卡命令,当返 存储分 识别码后接收由读卡器发出的该存储分区密钥。
及其它分析,费用开销非常大 ; 三是要撷 取一个病 毒的特征码,必然要 获取该病 毒的样本,如果没有病毒样本 ,就无法进行分析、
检测 ,因此,无法检测未知病毒 『 1 J 。
12校验和技术 .
校验 和技术是一种不针对具体病 毒程序 的自身校验 技术。它针对 某个文件或 数据段进 行检验和计 算并 保存其结果 ,以后定 期或不定期地以保存 的结果对该文件或数据段进 行检验 , 出现差异 , 若 即表示该文件或数据段完整性 已遭到破坏 , 感染上了病毒 ,
Co put rVi usPr ve to c m e r e n i n Te hno o y De l pm e tR e e r h l g veo n sa c LU h‘QI L — n S I Z i AN uf g, HA0 Ho gto , e n— a
读卡命 令和指定存储 分 区
代码,然后接收 T M卡返 回
上接 第 3 7页 图 2 读 数 据流 程
【 张之津 ,李胜 广,薛艺泽 . 4 ] 智能卡安全与设计 I l M l 北京 :清华 大
学出版社 ,2 1.3 3 . 001— 1
是与传 统技 术相结合,没有抛弃已知病毒的特征知识 库。 对于虚 拟机 技术 的应用 ,许多反病毒 专家各 执一词,有 人 强调 虚拟机杀毒 技术 ,认为这项技 术可 以很好地 清除未知 病毒 。而有的专家则对此持保 留态度 ,原因是虚拟机需要 占用
卡 中安全存储 分区内数据 的访问必须通过密钥认证 。
根 据 上述 分析 结 果 ,
通 过使用模 拟读 卡器 与模
拟 卡装 置,可以分 别得 到
5结束语
本文详细叙述了T M系列卡的原理与特性,对其中具有代表
分 区识 别 码 与分 区密钥 。 具 体过程如下:
1 用模拟卡装置在读 ) 卡器上跟踪 分析读 卡器发 出的读 卡命 令,得 到读 卡
码 病毒的过程中, 虚拟机 技术是非常理想的处理方法。采用虚拟机技 术 , 可以综合分析大多数 已知病 毒的共性 , 并抓住一些病 毒
“ 经常使用 的手段”和 “ 常见 的特点” ,从而辨别病 毒文件。 目前 ,虚 拟机技 术基本上使用的是 比较简单 、易于实现 的版本,仍 然
●
收 稿 时 间 : 0 1 6 1 2 1—0 — 0
校验 和技术 的优 点是方法简单 ,能够 根据文件的细微 变化发现 未知病 毒。缺点是必 须预先 记录文件正常状 态下的校 验和 , 会产生误 报警的情况 ;不能识别病毒 的种类 ,不能发现 隐蔽 型的病 毒。
13虚 拟机技术 .
虚拟机技术是在 系统 上虚拟一个操作 环境 ,然 后在 这个虚拟环境下运行病 毒,在病 毒现 出原形后将其清除 。在处理 加密编
向综合化和集成化。传统 的特征码技 术 、 虚拟机技术将 与 “ 沙
盒”技术相结合 ; 传统的检测技术 和消除技术将从单纯的静态 向静态和动态结合的方 向发展 ;传统的以单 机防护为主的技术
将向“ 云防护”的方 向发展。计算机病毒预防技术 、计算机病
毒检测 技术和计算 机病毒消除技术 将逐渐实现集成 ;计算机 病毒防治技术和应 用软件及操作系统将逐渐 集成 [。 3 1 计算 机病毒 防治是计 算机应 用领域中一项长期而重要 的 工作。随着 计算 机 、网络 的不 断普及发展 , 托计算 机和 网 依
来越重要。姆 ( 责编 杨晨 )
参考 文献 : 【 韩筱 卿等 . 算机病毒分析 与防范大全 I . 1 ] 计 M1 北京 :电子工业 出版
接收 T 卡返 回的该分区识别码 ,读 卡器 再向 T M M卡发出已设
定 的该分 区密钥,T M卡对该 密钥 进行验证 ,若密钥正确则向
读 卡器 返回该存储 分区数据 ,否则不返 回分 区内数 据。即对
分 区密钥以及所有数据写人 另一 T M卡中就可实 现 T 数据 M 复制 的目的。但 由于所有 T M卡都 具有唯一 的 RO M代码 ,荇 读 卡器验 证 R M代码 ,则需要通过使用模拟卡装 置才能真正 O 达到等效 替换 目的。
作者简介: 刘志 ( 9 2 ) 1 7 一 ,男,湖南,主任 ,副教授 ,硕 士,主要 研 究方向 : 勤信息化专业教学与科研 ; 后 钱鲁锋 ( 9 6 )男,山东,讲 师, 17 一 硕士,主要 研 究方向 : 后勤信息化专业教 学与科研 ; 邵宏韬 ( 9 8 ) 17 - ,男,天津 ,讲师,硕 士,主要研 究方向 :军交运输信息化。 下转第 6 O页
主动 防御技 术也可 以称 之为行为检 测技术 ,它与传统特 征码技 术不 同,是一种能 够主动检测和拦截 未知威胁 的防御 技术 。 该技术通过提取计算机病毒的共性特征, 如修改 注册表、
自我复制 、不断 连接 网络 等,综合 这些行为特 征来判断其是 否为病毒 。也就 是说 全程监 视进程 的行 为,一旦发现 “ 违规” 行为,就通知用户,或者直接终止进程 】 。
太 多的系统 资源 ,虚 拟机功能 的强大是建 立在消耗大量 的系
已经进入了实用 阶段。
22防病毒体 系向立体化发展 ,防护重点 向前端迁移 .
从以往传统的单机版杀毒,到网络版杀毒,再到云杀毒概念 的提出,反病毒技术已经由孤岛化结构向立体化结构延伸。计算
机病毒防治重点也由以杀为主向以防为主、防杀结合的方式转移,
S n e r lc mm o c m p trvr r v n in a d c nr e hn l g fvi sp e e to a d tede l p e t Oo s vea o n o u e iusp e e to n o tol c o o y o r r v n in, n h veo m n t u te dso h e h olgya ebre y n lz d. r n ft etc n o r if a ay e l K e r :c mpu e r ; i sp e e to a t e e e y wo ds o trvi us vr r v n in; ci d fns u ve
21年第0 期 01 7
■ d i1 9 9js n1 7 -1 2 2 1 70 3 o : 03 6 / i 6 11 2 0 10 1 s
计 簧 栅 病 毒 l 鼻 和I t I 丙营
防 治 技术 的发 展 研 究
刘志 ,钱 鲁锋 ,邵宏韬
摘 对病 毒防 治技 术 的发 展趋 势进行 了简要 分析 。
( . o i i o m n o e e e c i f r ai , e i 0 5, hn , L g t s m a d l g a h g nom t n in 1 8 8 C i " sc C C l T nI oBjg 0 a
2 MityTa c ntue et n T n n 0 1 1C i ) . la f Ist Sc o ,i j 0 6, h a ir r i it i a i3 n
Fra Baidu bibliotek性的D 19 型的读取数据过程进行了分析,同时根据存在的安全 S91
漏洞, 提出了密钥破解原理以及等效替换的方法。
参考文献 : 【】 1 杨振 野 I c卡技术及其应用 I . M1北京 :科 学出版社 ,2) .8 2 . () 6 —15 ( 6
( 责编 张岩)
器指定 要读 的存储 分区代 码 ; )用模 拟读 卡器按照 2 读数 据 流程 向 T M卡发 送
2病毒防治技 术发展分析
计算机病毒技术与病毒防治技术是—对矛盾体 , 在—定的程 度上存在着互为判定的作用。在彼此对抗发展的 过程中, 皂 不自严格 断定 技术永远胜过另—种技术,二者呈现螺旋式上升发展形
式。 随着计算机病毒技术的不断变化, 病毒防治技术也将不断发展。
络 开展 的工作不 断增多,计算 机病毒 防治技术 的作用将 会越
【 王爱英 智能卡技术 l . 2 】 I 北京:清华大学出版社 ,2( 11 14 (( 6 — 8 )) )
[] ls 司 DS 9 1 ut k yi 3Daa 公 l 19 l— e M i BUT TON ( 1 9 数 据 手 册 )E / DS9 1 lB OL t :/ w. xm—c o po u t iutn 0 52 1 I t /ww mai i. m/ rd cs b t .2 0 /0 hp c / o 1
通过 上述 过程可 以得到指定存储 分 区的分 区代码和分 密钥 ,然后就可以读 出存储 分区内的所有数据 。将 分 代码 、
DS9 1 T 19 型 M卡安 全存 储 分 区内的数 据 过程 为例进 行分析,
读数据流程如图 2所示 。
首先读卡器向 TM卡发 出读指定安全存储分区命令,然后
特征码技 术 的优 点在于病毒检 测准确 、快速 ,误 报警 率低 ,可 以识别 病毒 的种 类,并可 以根据检 测结果 ,进行杀毒 处理 。
但特 征码 技术也存在 以下缺 点 : 一是 并非所有 病毒都 可以提 取其 特征码 ,很多病 毒都是难 以甚至无法用特征码 进行描述 ;二是
特征 码的描述取决 于人的主 观因素,从长达数千字节 的病 毒体 中撷取十余字节 的病毒特 征码,需要对 病毒进行跟 踪、反汇 编以
●
( . 勤指挥 学 院信 息化教研 室 ,北 京 10 5 ;2 军事 交通 学院科研 部 ,天津 3 0 6 ) 1后 088 . 0 1 1
要 :文章介 绍 了特 征码 、校验 和 、虚拟机 、主 动防御 、 沙盒等 几种 常见的计 算机 病毒 防治技 术 ,并
关键 词 :计 算机病毒 ;病毒 防治 ;主动 防御 中图分类 号 :T 3 3 8 文献 标识 码 :A 文章 编号 :17— 12( 0 1 7 03 — 1 P 9. 0 61 12 2 1 )0— 0 7 0
统 资源 基础上 的,过分 强调和应用虚拟机 杀毒技 术 ,可 能会 导致整个操作系统都不能进行其它工作。
从而最大程度上将病毒消灭在产生危害之前,降低 r系统风险。
23防治技术向综 合化和 集成化发展 .
适应信息系统综 合集成 趋势 , 计算机反病毒技术将逐渐走
1 . 4主动防御技术
1 主要 的病毒 防治技 术
11特征码技术 .
近年来 , 伴随着互联网的高速发展与不断普及 , 计算机病 毒也愈加猖狂和泛滥。“ 同一病 毒或同类病 毒的某一部分代码相 同” , 这是特征 码技术 的基础 出发点。如果病 毒及其变种 、变形病毒 具有 同一性 ,则可 以通过 对 已知病 毒进行分析、查解 ,对其 同一 性 进行描述 ,形成 “ 特征码” ,并将 特征码加入病 毒库 。当打开被检测文件 时,杀毒 程序通过 比较 “ 征码”进行检查 ,如果发 特 现病 毒特征代码,便可 以判定 文件是 否感染病毒 ,感染了何种 病毒。
Ab t a t T eat l t d c st esg au e c l rt n a d v r a ma h n , cie d fn e sn o n sr c : h r c ei r u e i n t r , ai ai n , i u l c i e a t e e s , a db x a d i n o h b o t v
— —
3r 7
21年第O 期 01 7
区 ( i u k y WreS b e)以及写密钥 ( i as od o下 面以读取 t wreP sw r t
的该存储分 区识别码 ; ) 3 按照读数据流程,用模拟卡装置在泼 卡器上再次跟踪分析读卡器发出的读卡命令,当返 存储分 识别码后接收由读卡器发出的该存储分区密钥。
及其它分析,费用开销非常大 ; 三是要撷 取一个病 毒的特征码,必然要 获取该病 毒的样本,如果没有病毒样本 ,就无法进行分析、
检测 ,因此,无法检测未知病毒 『 1 J 。
12校验和技术 .
校验 和技术是一种不针对具体病 毒程序 的自身校验 技术。它针对 某个文件或 数据段进 行检验和计 算并 保存其结果 ,以后定 期或不定期地以保存 的结果对该文件或数据段进 行检验 , 出现差异 , 若 即表示该文件或数据段完整性 已遭到破坏 , 感染上了病毒 ,
Co put rVi usPr ve to c m e r e n i n Te hno o y De l pm e tR e e r h l g veo n sa c LU h‘QI L — n S I Z i AN uf g, HA0 Ho gto , e n— a
读卡命 令和指定存储 分 区
代码,然后接收 T M卡返 回
上接 第 3 7页 图 2 读 数 据流 程
【 张之津 ,李胜 广,薛艺泽 . 4 ] 智能卡安全与设计 I l M l 北京 :清华 大
学出版社 ,2 1.3 3 . 001— 1
是与传 统技 术相结合,没有抛弃已知病毒的特征知识 库。 对于虚 拟机 技术 的应用 ,许多反病毒 专家各 执一词,有 人 强调 虚拟机杀毒 技术 ,认为这项技 术可 以很好地 清除未知 病毒 。而有的专家则对此持保 留态度 ,原因是虚拟机需要 占用
卡 中安全存储 分区内数据 的访问必须通过密钥认证 。
根 据 上述 分析 结 果 ,
通 过使用模 拟读 卡器 与模
拟 卡装 置,可以分 别得 到
5结束语
本文详细叙述了T M系列卡的原理与特性,对其中具有代表
分 区识 别 码 与分 区密钥 。 具 体过程如下:
1 用模拟卡装置在读 ) 卡器上跟踪 分析读 卡器发 出的读 卡命 令,得 到读 卡
码 病毒的过程中, 虚拟机 技术是非常理想的处理方法。采用虚拟机技 术 , 可以综合分析大多数 已知病 毒的共性 , 并抓住一些病 毒
“ 经常使用 的手段”和 “ 常见 的特点” ,从而辨别病 毒文件。 目前 ,虚 拟机技 术基本上使用的是 比较简单 、易于实现 的版本,仍 然
●
收 稿 时 间 : 0 1 6 1 2 1—0 — 0