反病毒技术

浅析网络安全技术——反病毒技术

一、引言

由于Internet的普及，互联网已经成为病毒制作技术扩散、病毒传播的重要途径，病毒开发者之间已经出现了团队合作的趋势，病毒制作技术也在与黑客技术进行融合。他们对现在的病毒对抗技术提出了挑战，因此，病毒防护技术正在发生重大的变化，概括起来说，就是病毒对抗的理论在做从作品对抗到思想对抗的转变，产品形态在从独立软件产品向操作系统的补丁转变。

二、计算机病毒及其特征

1、病毒概述

“计算机病毒”最早是由美国计算机病毒研究专家F.Cohen博士提出的。“计算机病毒”有很多种定义，国外最流行的定义为：计算机病毒，是一段附着在其他程序上的可以实现自我繁殖的程序代码。在《中华人民共和国计算机信息系统安全保护条例》中的定义为：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。

世界上第一例被证实的计算机病毒是在1983年，出现了计算机病毒传播的研究报告。同时有人提出了蠕虫病毒程序的设计思想；1984年，美国人Thompson开发出了针对UNIX操作系统的病毒程序。1988年11月2日晚，美国康尔大学研究生罗特·莫里斯将计算机病毒蠕虫投放到网络中。该病毒程序迅速扩展，造成了大批计算机瘫痪，甚至欧洲联网的计算机都受到影响，直接经济损失近亿美元。

计算机病毒在中国的发展情况：在我国，80年代末，有关计算机病毒问题的研究和防范已成为计算机安全方面的重大课题。

计算机病毒按传染方式分为引导型、文件型和混合型病毒；按连接方式分为源码型、入侵型、操作系统型和外壳型病毒；按破坏性可分为良性病毒和恶性病毒.

计算机病毒具有刻意编写，人为破坏、自我复制能力、隐蔽性、潜伏性、不可预见性等特点，网络计算机病毒具有传染方式多、传染速度快、清除难度大、破坏性强等特点。

解说病毒和反病毒日益尖锐的斗争，让人们认识到反病毒技术的重要性和严峻性。近年来，互联网安全环境日益严峻。科技在发展，病毒也在不断演变，病毒的破坏力不仅给业界和用户带来无尽的烦恼，而且对国家信息安全构成了严重威胁。计算机病毒异常活跃，木马、蠕虫、黑客后门等轮番攻击互联网，从熊猫烧香、灰鸽子到艾妮、AV终结者，重大恶性病毒频繁发作，危害程度也在逐步加大，而此时的杀毒软件却显得应对乏力。如何准确地把握反计算机病毒的发展趋势，在与计算机病毒的斗争中占得上风，为信息安全保驾护航？业界专家及杀毒软件厂商在思索、在行动。

2、病毒的发展史

3、计算机病毒的危害

（1）计算机病毒造成巨大的社会经济损失。（2）影响政府职能部门正常工作的开展。（3）计算机病毒被赋予越来越多的政治意义。（4）利用计算机病毒犯罪现象越来越严重。

4、计算机病毒的特征

寄生性

隐蔽性

传染性

潜伏性

破坏性和表现性

主动通过网络和邮件系统传播

传播速度极快

变种多

具有黑客程序的功能

5、病毒对计算机造成的破坏

破坏文件分配表

删除文件

修改或破坏重要数据

减少磁盘空间

显示非正常信息和图像

系统不能正常存储

造成写错误

破坏磁盘文件目录

降低计算机工作速度

非法格式化

打印机故障

文件增长

改变系统正常运行过程

造成屏幕和键盘死锁

6、典型病毒介绍

（1）木马病毒

“特洛伊木马”简称木马（Trojan house ），是一种基于远程控制的黑客工具，木马通常寄生于用户的计算机系统中，盗窃用户信息，并通过网络发送给黑客。在黑客进行的各种攻击行为中，木马都起到了开路先锋的作用.

木马也采工用客户机/服务器作模式。它一般包括一个客户端和一个服务器端，客户端放在木马控制者的计算机中，服务器端放置在被入侵的计算机中，木马控制者通过客户端与被入侵计算机的服务器端建立远程连接。一旦连接建立，木马控制者就可以通过对被入侵计算机发送指令来传输和修改文件。

攻击者利用一种称为绑定程序的工具将服务器部分绑定到某个合法软件上，诱使用户运行合法软件。只要用户一运行该软件，木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。

通常木马的服务器部分都是可以定制的，攻击者可以定制的项目一般包括：服务器运行的IP端口号、程序启动时机、如何发出调用、如何隐身、是否加密等。另外攻击者还可以设置登录服务器的密码，确定通信方式。服务器向

攻击者通知的方式可能是发送一个E-mail，宣告自己当前已成功接管的机器。

木马病毒的危害可以读、写、存、删除文件，可以得到你的隐私、密码，甚至你在计算机上鼠标的每一下移动，他都可以尽收眼底。而且还能够控制你的鼠标和键盘去做他想做的任何事。

木马主要以网络为依托进行传播，偷取用户隐私资料是其主要目的。而且这些木马病毒多具有引诱性与欺骗性，是病毒新的危害趋势。

(2)蠕虫病毒

作为对互联网危害严重的一种计算机程序，其破坏力和传染性不容忽视。

与传统的病毒不同，蠕虫病毒以计算机为载体，以网络为攻击对象。

根据使用者情况的不同蠕虫可分为2类：面向企业用户的蠕虫和面向个人用户的蠕虫。

按其传播和攻击特征蠕虫可分为3类：漏洞蠕虫69%，邮件蠕虫27%传统蠕虫4%。

企业类蠕虫病毒需要通过加强网络管理员安全管理水平，提高安全意识，建立病毒检测系统、建立应急响应系统，将风险减少到最低、建立备份和容灾系统等方式进行防范。对于个人用户而言，威胁大的蠕虫病毒一般通过电子邮件和恶意网页传播方式。

计算机病毒将会变得网络化、功能综合化、传播途径多样化、多平台化。

三、反病毒技术

1、反病毒技术的基本原则

（1）不存在这样一种反病毒软硬件，能够防治未来产生的所有病毒。

（2）不存在这样的病毒软件，能够让未来的所有反病毒软硬件都无法检测。

（3）目前的反病毒软件和硬件以及安全产品是易耗品，必须经常进行更新、升级。

（4）病毒产生在前，反病毒手段滞后将是长期的过程。

2、用户病毒防治实用方法

（1）学习电脑知识，增强安全意识。

（2）经常对电脑内容进行备份。

（3）开机时打开实时监控，定时对电脑文件进行扫描。

（4）经常对操作系统打补丁，对反病毒软件进行升级。

（5）一旦病毒破坏导致数据丢失，通过备份进行修复或者通过专业公司进行灾难恢复。

3、目前广泛应用的反病毒技术

（1）特征码扫描法

特征码扫描法是分析出病毒的特征病毒码并集中存放于病毒代码库文件中，在扫描时将扫描对象与特征代码库比较，如有吻合则判断为染上病毒。该技术实现简单有效，安全彻底；但查杀病毒滞后，并且庞大的特征码库会造成查毒速度下降；

（2）虚拟执行技术

该技术通过虚拟执行方法查杀病毒，可以对付加密、变形、异型及病毒生产机生产的病毒，具有如下特点：

▪在查杀病毒时在机器虚拟内存中模拟出一个“指令执行虚拟机器”

▪在虚拟机环境中虚拟执行（不会被实际执行）可疑带毒文件

▪在执行过程中，从虚拟机环境内截获文件数据，如果含有可疑病毒代码，则杀毒后将其还原到原文件中，从而实现对各类可执行文件内病毒的查杀（3）文件实时监控技术

通过利用操作系统底层接口技术，对系统中的所有类型文件或指定类型的文件进行实时的行为监控，一旦有病毒传染或发作时就及时报警。从而实现了对病毒的实时、永久、自动监控。这种技术能够有效控制病毒的传播途径，但是这种技术的实现难度较大，系统资源的占用率也会有所降低。