（计算机应用技术专业论文）基于程序语义的计算机病毒检测方法.pdf

捅要 近几年计算机病毒以惊人速度蔓延，计算机安全越来越受到人们的重视，计 算机反病毒技术也发展的越来越快。当今最新最先进的计算机反病毒技术，有主 动内核技术、启发式代码扫描技术、虚拟机技术、基于免疫原理的病毒检测技术 等。这些技术各有特点，但是应用起来仍然不够成熟。现有计算机反病毒软件虽 然在对抗病毒方面发挥了巨大的作用，但是仍有不尽人意之处，尤其是对付未知 病毒缺乏足够有效的方法。 本文对w i n d o w s 操作系统下各种病毒的作用机理及当前病毒采用的各种新 技术进行了深入的研究。并提出了基于程序语义的计算机病毒检测方法。 首先，深入剖析了不同病毒代码的结构特点，总结出了不同病毒程序传染行 为模式的典型语义特征，形成了描述其典型语义特征的语义关系框架。最后，进 行了数据结构设计，模式库采用层次化的框架结构。这种存储方法完整、准确地 描述了病毒程序传染行为的典型语义特征。具有较好的继承性、可扩展性和知识 的一致性。 其次，研究了如何抽取蕴涵在程序中的语义，进而形成描述程序语义的语义 关系框架。从原程序到语义关系框架转换系统的算法和工作流程进行了详细设 计。最后，对病毒检测系统的核心一一检测引擎进行了较为详细的设计与分析。 最后，进行了病毒检测实验，结果表明该检测方法是一种较为有效的未知病 毒检测方法。 关键词：计算机病毒，病毒检测，程序语义，框架抽取 c o m p u t e rv i e sd e t e c t | o lm e t h o db a s e do np m g r a ms e m a n t i c r e e e n u yy e a r s , t h ec o m p u t e rv i r u s e s 雒州w i t i la s t o n i s 岫s p e e d c o l a l o u * 吼时竹h 镐b e e np a i dm o 他a 船耐i 叽a 1 1 da m i 州m st e c h n i q u a 他抓b p e dm o 佗 m p i d l yt o o n o w a d a y sm e 糟i e t r es o m c r e wa n dm v a n e e d 舳t i - v i r e st e c i l l l i 叩c s ，s u c h a sa c t i v ek e m e lt e e h n i q , h e u d s 6 cc o d es c a n n i n 舀v i 1 l u a lm a c h i n ea n dt h e 肿n c i p l e o fi m m u n i t ye t c t i l ea p p l i c , g t i o no ft h 嘲慨l i l l i q u c $ bn 优m a t u r ee n o u g h 州曲i f e a c ho f 廿1 e mh a si 协c h a r a c t e r i z e n 州删v 删5t 。c h n i q u ei su p d a t e d 硒n e wv i m s 印p 龃倦n s t a n t l y t h ev 椭i n ga n t i - v i r u s m 忸糟p l a y s 柚岫r t a n tf o l ct od e a l w i t he o n l p 咖v i m s e s b i ni t 甜i l lh a sn o ts a t i 捌瑚t h e 能伽r i t yt e q l i i 诧m c n t s 跏di a c l 【s e f f c c t i v em e t i i o d st 0d 1w i n iu n k n o w nv i m 辩s 嚣p e e i a l l y e a c hk m do fv i m r sa e t i o nm h a n i s m 鲫dt h ec i | r r e n tv i r u su s i n go fn e w l e c i l i l o l o 斜a 托粕a l y z e dl b o r o u g l i l yu n d 盯w i n d o w so p e r a t i n gs y 或e m a n dan e w “n j sd e t c e t i o nm e t h o dw 越p r o p c db a s e d 册p r o g r a m m a r t t i e f i r s t , m et h e s i s 舯a | y z e d 廿c o d e 岫i q u e 席a n l 珥o fd i 矗b m mv i r u s e sa n d 蛐m m e du pt h et y p j c a l 辩m n n t i cc h 砸a c 硎时i c si nt l l em o d u l eo f m f e e t i 蚰s c m 柚t i c 胛l a l i o n sf r a m e w h i c h 啪d e s c b et h e 鲫n a n t i 0c h a r a c t e n n i c s w f l , sf o 舯c d t h e 砷t l 啊1d 砌b a s eu sh i e r a r c h i e a if r a m e w o r k t h i sf r a m eo f r e r s 血s p e e i f i c a t i o no f 1 l l et y p i l $ o l n a n t i ce h a r a 删s 【i c sj n 恤em o d u l eo f i i l f b 吐i o l l n sg 卵a 据甜m e r i ti i c si i l 剐c c e 嚣i o n e 砒e n s i b i l i t m 硼i f o 加i 付o f i m o w i c d 雕 & 姗d 廿i ct l l e s i sr e s e a r c h e dh o wt oe x l r a e tp r o f a ms e m i t i ct l l a li si i l l p i i e di n 恤ep r o g r a m s e m 粕t j cr e i a t i o i l sf r a m e , w h i c hc a nd e 刚b ct i l ep r o g r a ms e n l a r a 破螂 f 。f m e d a i 留叫| n 雠dt h ew a 出f i o wo ft r a n s 甜鼬嘲f b m 也e 喊蛳i p r o c e d u r e 幻t h es e m 锄t i c 嵋h i o n sf r a m ea z i 、，明ad e c a 订e dd e l f t p 虹o n t h e nt h i s m e s 证i n t r o d u e e s t h ev 打i l sd e 忙c “o n 翱g i n e w h i c h i s t 量l e m o s t i m p o n a l l t c o m p o n e n t i n i i s 科s t e m l 峙lt i | ee x p e r h r i 明to f v h m 5d e t c 蟛t i o ni se a r r l 酣t h e 陀s u l l & t h e 职p e r i m e n t i n d i e a t e sm a tni saf e 器i b l ew a yf o ru n k n o w nv i r u sd e t c c t i o n k e yw o r d s ：c o m p i l e r 、，i n 5 ：n s1 ) e t e c t i o r ；p l o g r n ms e m a n f i c ； f r a m e w o r ke x t r n c t 青岛大学硕士学位论文 学位论文独创性声朋、学位论文知识产权权属声明 学位论文独创性声明 本人声明，所呈交的学位论文系本人在导师指导下独立完成的研究成果。文 中依法引用他人的成果，均已做出明确标注或得到许可。论文内容未包含法律意 义上已属于他人的任何形式的研究成果，也不包含本人已用于其他学位申请的论 文或成果。 本人如违反上述声明，愿意承担由此引发的切责任和后果。 论文作者签名：商月矽谷日期：矽9 7 年妇伊 学位论文知识产权权属声明 本人在导师指导下所完成的学位论文及相关的职务作品，知识产权归属学 校。学校享有以任何方式发表、复制、公开阅览、借阅以及申请专利等权利。本 人离校后发表或使用学位论文或与该论文直接相关的学术论文或成果时，署名单 位仍然为青岛大学。 本学位论文属于： 保密口，在年解密后适用于本声明。 不保密d ( 请在以上方框内打“4 ”) 论文作者签名：讨冉矽令 导师签名 i 壤p 寺 日期：沙哼年月h 日 日期：动7 年岁月竹日 i ( 本声明的版权归青岛大学所有，未经许可，任何单位及任何个人不得擅自使用) 第一章绪论 1 1 课题背景 第一章绪论 白1 9 8 1 年第一台p c 出现以来，个人计算机经历了飞速发展的过程，已经 从当初少数科学家、工程师的专利发展为与我们每个人的日常工作、生活密 切相关的工具。计算机技术的迅猛发展给人们的工作和生活带来便利的同时 也带来更多的不安全隐患。 令人惊异的是，在个人计算机发展的二十多年里，将近五分之四的时间 都在与计算机病毒相伴( 个人计算机上第一个病毒出现在1 9 8 5 年) 。 在今天，随着计算机软、硬件技术和网络的飞速发展，计算机病毒不但 没有被减少，反而有愈演愈烈的趋势，严重地威胁着网络的正常运行和重要 信息的安全。这些安全威胁给整个社会带来了巨大的经济损失，美国 r a d i c a t i 集团f 1 前发表一项调查报告表明，2 0 0 1 年病毒造成的经济损失超 过了2 8 0 亿美元，2 0 0 7 年则将超过7 5 0 亿美元。从图1 1 中我们可以看出，计 算机病毒造成的经济损失几乎成线性增长可见对于计算机病毒的研究己经 到了刻不容缓的地步。 如近几年的c i h 病毒、冲击波、震荡波等病毒( 蠕虫) 的流行，造成大量 的计算机不能正常工作，甚至丢失数据。其中c i h 的爆发造成全球六千万台 电脑受到破坏，大量重要资料无法复原，情况严重者，连计算机主板硬件也 不得不更换“1 。 在国外，甚至还把计算机病毒作为信息战争的新型武器“1 。1 9 9 1 年，在 “海湾战争”中，美军第一次将计算机病毒武器用于实战，在空袭巴格达的 战斗中，成功地利用病毒破坏了对方的指挥系统，使之瘫痪，保证了战斗 顺利进行，直至最后胜利。 因此，深入地研究病毒技术，研究更好的检测病毒的方法，研究更强的 防范和对抗病毒的技术，对于保证计算机系统的正常工作，保护重要信息的 安全，乃至对于信息社会的稳定发展都有着重要的意义。 l 青岛人学硕士学位论文 计算机病毒造成的损失 1 2 选题的意义 矩 圈1 1 计算机病毒造成的经济损失 当前的计算机病毒检测技术主要基于特征码检测法“1 ，其基本思想是提 取已知病毒样本的特征，并将此特征添加到病毒特征库中，在病毒检测时通 过搜寻病毒特征库查找是否存在相匹配的病毒特征来发现病毒。这种检测方 法的优点是对十已知病毒的检测效率较高；缺点是先有病毒，后有杀毒，反 病毒软件必须随着新病毒的不断出现而频繁更新版本，并且这种方法对于新 病毒和变种病毒无能为力特别是随着病毒技术的发展加密和变形技术的运 用，使得这种简单的特征码扫描方式失去了作用。 另一方面计算机病毒为对抗计算机反病毒技术，不断更新反检测技术， 比如隐藏技术、反跟踪技术、变形技术等。这些技术的运用都对反病毒技术 带来严重的挑战。相对而占计算机病毒技术领先于反病毒技术。况且目前很 多高级病毒不再持有以往绝大多数病毒那种“恶作剧”的目的，它可能主要 是人类在信息社会投入巨资研究出的、可扰乱破坏社会的信息、政治、经济 2 第一章绪论 秩序等、或是主宰战争目的的一种“信息战略武器”“j 。因此，如何及时快 速地检测出完全未知的新病毒是目前需要迫切解决的阀题。 为解决这一问题，本文从程序语义层的角度进行分析研究。程序的语义 简单的说就是程序的含义，即一个程序执行的结果说明了该程序的语义。蕴 涵在源代码中的语义是程序的语法和词法的隐表达。它是软件编制者的设计 意图与设计决策在软件设计过程中的体现，从程序的语义中抽取软件编制者 的设计意图是一条直接有效的途径。从这一角度出发探索未知病毒检测方法 具有十分重大的意义。 程序经语法分析后可以清楚地得出其语义的表达，理解出程序段的行为 ( 目的) ，进而建立描述程序行为的层次结构一一形成程序段间的语义关系 框架，把程序静态行为的迁移与动态行为的变化融汇于层状结构之中，这种 层状结构逐渐将程序语义显现出来，从而得出程序执行的结果或目的。 本文基于上述思想提出了基于程序语义的计算机病毒检测方法。经研究 表明该方法能达到有效检测未知病毒的目的。 1 3 主要研究工作 论文的主要工作重点是解决以下三个问题： 1 深入剖析w i n d o w s 系统下( 本文主要是研究w i n d o w s 系统下的病毒 及反病毒技术，本文所提到的病毒只要不特别说明均指w i n d o w s 系 统下的病毒) 各种病毒的作用机理及当前病毒采用的各种新技术( 尤 其加密、变形技术) ，从而总结出病毒程序的典型语义特征，形成 描述其典型语义特征的语义关系框架； 2 如何抽取蕴涵在程序中的语义。进而形成描述程序语义的语义关系 框架； 3 病毒检测引擎的设计与实现。 具体研究内容主要包括以下几个方面： 1 深入剖析当前病毒的运行机理以及病毒采用的各种新技术； 2 总结分析当前最新的反病毒技术及它们各自的优缺点： 3 青岛大学硕士学值论文 3 分析研究不同病毒传染模式的代码结构特点，总结出病毒程序传染 模式的典型语义特征，进而建立描述其典型语义特征的语义关系框 架； 4 如何抽取蕴涵在程序中的语义，进而形成描述程序语义的语义关系 框架； 5 扫描算法与检测方案的设计与实现， 1 4 论文的结构与章节安排 本文具体章节安排如下： 第一章绪论，对课题的背景、选题的意义、主要研究内容及解决的主要 问题进行了简单的介绍。 第二章计算机病毒及其本质特性分析，主要介绍了计算机病毒的产生、 定义及病毒技术的发展，最后对计算机病毒的本质特性作了深入分析。 第三章计算机反病毒技术的产生、发展和现状，首先简单介绍了反病毒 技术的产生、发展和现状，然后介绍了当前几种新型的反病毒技术，并详细 分析了它们的技术原理和优缺点。 第四章和第五章是本课题主要解决的问题。 第四章计算机病毒传染行为的典型语义特征及语义关系框架，深入分析 研究了不同病毒传染行为的代码结构特点，总结出病毒程序传染模式的典型 语义特征，进而建立描述其典型语义特征的语义关系框架，这是本课题解决 的第一个主要问题。 第五章基于程序语义的计算机病毒检测方案的设计，本章解决了本课题 的两个主要问题：一是如何抽取程序的语义关系框架，二是检测系统的核心 一一检测引擎的设计。本章对本检测方案的思想理论基础，检测方案的关键 技术作了较为详细的介绍。 4 第二二章计算机病毒及其本质特性分析 第二章计算机病毒及其本质特性分析 2 1 计算机病毒的产生和定义 最初对计算机病毒理论的构思可追溯到科幻小说。在7 0 年代美国作家霍 恩出版的p 1 的青春一书中构思了一种能够自我复制，利用通信进行传播 的计算机程序，借用生物学中的“病毒”一词，称之为“计算机病毒”。 8 0 年代c o h e n 设计出一种在运行过程中可以复制自身的破坏性程序刚， a d l e m a n 将它命名为计算机病毒“1 。随后，a d l e m a n 把病毒定义为一个具有 相同性质的程序集合，只要程序具有破坏、传染或模仿的特点，就可以认为 是计算机病毒“”。这种定义有将病毒内涵扩大的倾向，将任何具有破坏作 用的程序都认为是病毒。 9 0 年代末，g r i m e s 将计算机病毒定义为，经过存储介质和网络进行传播， 从一台计算机系统到另一台计算机系统，未经授权认证破坏计算机系统完整 性的程序或代码。1 。 1 9 9 4 年2 月i 8 日，我国正是颁布实旖了中华人民共和国计算机信息系 统安全保护条例对病毒给出了如下的定义：计算机病毒，是指编制或者在 计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能 自我复制的一组计算机指令或者程序代码“。这是一个较为严格的定义， 只把具有自我复制能力的恶意程序划分到病毒的范畴。 随着计算机和网络技术的发展，计算机病毒编写技术也越来越高超，计 算机病毒的定义正在发生着变化。虽然木马并没有传染性和复制功能，但是 目前蠕虫，病毒和木马技术相互借鉴融合，使得它们的区别日益模糊”，。 如：1 9 9 9 年爆发的m e l l i s a 这个w o r d 宏病毒既感染文件，同时又能通过网络 传播1 ；2 0 0 1 年爆发的n i m d a 蠕虫开始结合病毒技术“”：红色代码已具备了 远程控制的雏形；金山毒霸反病毒实验室于1 1 月2 7 日在国内率先捕获一个 恶性混合型病毒，命名为“安哥”( h a c k a g o b o t 0 3 删别名；“高波变种 青岛大学硕+ 学位论文 3 t ”该病毒已有多个变种) ”。该病毒具有远程控制的黑客功能和利用 。r p c 漏洞”进行高速传播的蠕虫特性因此它是一个兼据黑客木马和蠕虫 特点混合型病毒。还有“怪物”( w o r m b u g b e a r a ) 病毒也兼具蠕虫和木马 的特性“”：l o v e g a t e 病毒更是集蠕虫、后门、黑客于一身“”。 因此，通常把具有自我复制能力的恶意程序和蠕虫称为狭义的计算机病 毒，而把狭义的病毒和特洛伊木马、逻辑炸弹等其它的恶意程序统称为广义 的计算机病毒。本文所讲的计算机病毒是指广义的计算机病毒。 2 2 计算机病毒技术的发展 计算机病毒的发展是随着操作系统、计算机技术的发展而发展的。 撮初的病毒分为引导型病毒，文件型病毒和混合型病毒，主要是基于d o s 操作系统，且最初的病毒多用汇编语言编写。 2 0 世纪8 0 年代后期，巴摹斯坦的两个软件人员为了打击那些盗版软件的 使用者，设计出了一个名为“巴基斯坦智囊”的病毒“，该病毒只传染软盘 引导。这就是最早在世界上流行的一个真正的引导型病毒。此外，1 9 8 8 年至 1 9 8 9 年，我国也相继出现了能感染硬盘和软盘引导区的s t o n e d ( 石头) 病毒 ”“，该病毒体代码中有明显的标志“y o u rp cisn o ws t o n e d ! ”，“l e g a l i s e m a r i j u a n a1 ”，也称为“大麻病毒”等。该病毒感染软硬盘0 面0 道1 扇 区，并修改部分中断向量表。该病毒也属于引导型病毒。从这些例子我们可 以理解引导型病毒主要是感染硬盘或者软盘的引导扇区，修改引导扇区的内 容以达到传染或破坏的目的。 文件型病毒主要是指感染e x e 或c o m 文件( 即可执行文件) 的病毒。2 0 世纪9 0 年代初，感染文件的病毒有j e r u s a l e m ( 黑色1 3 号星期五) 、 y a n k e e o o o l e 。”、l i b e r t y 、1 5 7 5 、t r a v e l l e t ，1 4 6 5 、2 0 6 2 ”等，它们主要 就是感染c o m 和，e x e 文件。这类病毒修改了部分中断向量表，被感染的文件 明显的增加了字节数。最初的文件型病毒的代码主体没有加密，通过检查文 件长度或者特征码扫描，很容易被查出和清除。随着计算机技术的发展，又 出现了加密、多态等形式的文件型病毒。病毒最原始的加密方法是按固定的 6 第二章计算机病毒厦其本质特性分析 密钥对文件中的病毒体进行加密，病毒进入内存之后，先转解密模块将自身 解密，这种手段提高了首例发现病毒的难度，检测消除也比较麻烦，对内存 检测应以明文为样本，而对外存检测又必须以密文为样本；多态病毒( 即变 形病毒) 的特征主要是，病毒传播到目标后，病毒自身代码和结构在空间上、 时间上具有不同的变化，这样，利用特征码扫描将更加困难。 混合型病毒即引导型与文件型病毒的混合，这类病毒既感染磁盘引导 区、又感染可执行文件。常见的有f 1 i p o m i c r o n 、x g r ( n e w ee n t u r y ) 、i n v a d e r 侵入者、p l a s t i q u e 塑料炸弹、e m p e r o r 、3 0 7 2 ( 秋天的水) 、a l f a 3 0 7 2 2 、 g h o s t o n e h a l f 3 5 4 4 ( 幽灵) 、n a t a s ( 幽灵王) 、t p v o 3 7 8 3 “”等，如果只解 除了文件上的病毒，而没解除硬盘主引导区的病毒，系统引导时又将病毒调 入内存，会重新感染文件。如果只解除了主引导区的病毒，而可执行文件上 的病毒没解除，一旦执行带毒的文件时，就又将硬盘主引导区感染。 9 0 年代初期开始出现多态病毒。这种病毒通常采取加密、反跟踪等自我 保护技术，放入宿主程序中的大部分病毒代码都是可变的，每种病毒可以演 变出6 万至4 0 0 0 亿个型态，像幽灵一样无处不在”，也正是由于多态性病毒 的这一特点，使利用特征码法检测病毒的传统反病毒产品无法检测出此类病 毒。如保加利亚的“d a r ka v e n g e r ”是较为著名的例子，它的多态变换引擎 可以使程序代码本身发生变化，并保持原有功能。 此外自1 9 9 5 年至今，出现了近万种w o r d ( m a c r o 宏) 病毒，并以迅猛的势 头发展，己形成了病毒的另一大派系。它利用系统自带的宏编写语言如w o r d b a s ic 编写。因宏语言编写方便，而且功能强大，可以采用完全程序化的方 式对文本、数据表进行完整的控制，甚至可以调用操作系统的任意功能，包 括格式化硬盘。再加上i n t e r n e t 网上用w o r d 格式文件进行大量的交流，宏病 毒会潜伏在这些w o r d 文件里被人们在i n t e r n e t 网上传来传去，宏病毒造成 了很大的影响。典型的宏病毒如：t a i w a nn o 1w o r d 宏病毒。 随着操作系统的发展和计算机技术的进步，病毒技术也随之发展。出现 了_ in d o w s 病毒，脚本病毒，蠕虫病毒，木马型病毒等一系列新型的病毒。 w i n d o w s 病毒可以说也是文件型病毒，但不同于传统d o s 下文件型病毒的 7 青岛大学硕士学位论文 是这种病毒感染的w i n d o w s 下的可执行文件一一p e 格式文件“。例如2 0 0 1 年 爆发的f u m o v e 病毒，它可以感染w i n d o w s9 x 和w i n d o w sn t4 0 操作系统， 感染所有w i n 3 2 类型的文件( p e 文件) ，如w i n d o w s 和p r o g r a mf i l e s 目录及其 子目录中的扩展名为e x e 、s c r 和，o c x 的文件。该病毒搜索所有具有写访问 的网络共享文件夹并感染那里的所有的文件。该病毒同时能够修补n t 环境的 完整性检测，以便能够感染系统文件。w i n 3 2 f u n l o v e 4 0 9 9 将它的代码复制 到宿主文件的最后一个扇区的结尾，然后，它修改p e 文件头信息以显示新的 扇区大小，使扇区的特征适应病毒的需要，同时病毒修改原文件入口点的程 序代码以便执行病毒代码。尽管该病毒对数据没有直接的破坏性，但是在k t 下，w i n 3 2 f u n l o v e 4 0 9 9 病毒还是对n t o s k r n l e x e 文件做了一个小的修改 ( p a t c h ) ，使得文件的许可请求总是返回允许访问( a c c e s sa l i o w e d ) ，这意 味着被感染机器的安全己受到了极大地威胁。只要是在被修改的机器上，所 有的用户都拥有了对每一个文件的完全控制访问权即使是在系统中可能拥 有最低权限的g u e s t ，也能读取或修改所有文件，包括通常只有管理员才能 访问的文件。这样对系统的安全造成了极大的威胁。 脚本病毒和蠕虫病毒是基于i n t e r n e t 的广泛应用而传播的。脚本病毒 顾名思义，是利用脚本语言编写的，当今i n t e r n e t 浏览器对脚本语言( 如 v b s c r i p t ，j a v a s c r i p t ) 的支持为脚本病毒的传播提供了生存空间和传播渠 道。”。脚本语言是由w s h ( w i n d o w ss c r i p t i n gh o s t ，即脚本宿主) 来解释执 行的。w h s 是内嵌于3 2 位w i n d o w s 平台且独立于语言的脚本语言环境，它为脚 本语言提供了直接控制操作系统的能力，其脚本可以通过w s h 提供的内置对 象任意访问注册表、环境变量和网络设置等。如脚本病毒“h a p p y t i m e 欢乐 时光”是一种传染能力非常强的病毒，该病毒利用体内y b s c r i p t 代码在本地 的司执行性容器( w i n d o w ss c r i p th o s t ) 中运行消耗计算机的系统资源， 对计算机进行感染和破坏。“。 i n t e r n e t 蠕虫是无须计算机使用者干预即可运行的独立程序，它通过 不停的获得网络中存在漏洞的计算机上豹部分或全部控制权来进行传播。蠕 虫与普通病毒的塌大不同在于它不需要人为干预，且能够自主不断地复制和 b 第二章计算机病毒及其本质特性分析 传播。例如2 0 0 4 年爆发的“震荡波( w o r m s a s s e r ) ”，该病毒利用微软公布 的l s a s s 漏洞进行传播，中招后的系统将开启上百个线程去攻击其他网上的 用户，造成机器运行缓慢、网络堵塞，并让系统不停的进行倒计时重启1 。 木马( t r o j a nh o r s e ) 是聪藏在合法程序中的未授权程序，这个隐藏的 程序完成用户不知道的功能。术马是一个用以远程控制的c s 程序，其目的 是不需要管理员的准许就可获得系统使用权。早期的木马不同于蠕虫和传统 的病毒，它并没有传染性和复制功能。但是现在病毒、蠕虫和木马技术相互 借鉴，出现了很多混合型( 兼具病毒、蠕虫、木马的特性) 病毒，也使得木 马具有了很好的传播性，传统病毒也具有了远程控制的特点”混合型病毒 如：n i m d a 蠕虫结合了病毒技术”“；红色代码已具各了远程控制的雏形；“安 哥”( h a c k a g o b o t 0 3 甜) 是一个兼据黑客木马和蠕虫特点混合型病毒；快 乐耳朵( t r o j a n h a p p y e a r a ) 本马病毒同时具有木马和病毒的特性； l o v e g a t e 病毒更是集蠕虫后门、黑客于一身。 随着i n t e r n e t 的开放性以及方便地信息共享和交流能力的进一步增强， 计算机病毒编写者的水平也越来越高，病毒可以利用的系统和网络的脆弱性 也越来越多，从而不时有更新的，破坏性更强的病毒产生。 计算机病毒的检测技术总是落后于新的病毒的出现，c o h e n 和a d e l m a n 提 出了“恶意代码通用检测方法的不可判定性”的著名论断。同时这也是我们 在研究如何解决计算机病毒问题时首先必须面对的事实。 2 3 计算机病毒程序的基本结构模式 计 算 机 癌 蠢 程 序 病毒破坏表现模块 激活传染条件的判断部 传染功能的实施部分 触发条件的判断部分 破坏表现功能的实施部 圈2 1 计算机病毒结构的基本模式 9 青岛大学硕士学位论文 尽管目前出现的计算机病毒数量、种类繁杂多样，但是通过对病毒程序 代码的分析、比较和归纳，它们的程序结构都存在着许多共同之处，具有很 大的相似性。绝大多数病毒程序，都是由引导模块( 亦称安装模块) 、传染 模块和破坏表现模块这3 个基本的功能模块所组成。其中，传染模块又由激 活传染条件的判断部分和传染功能的实施部分组成；破坏表现模块由病毒触 发条件判断部分和破坏表现功能的实旌部分组成。计算机病毒程序结构的基 本模式如图2 1 示。 并非任何一种病毒程序都全部具备如图2 1 所示的3 个基本功能模块。 例如文件类型的v i e n n a 病毒只有传染模块和破坏表现模块而没有引导模块。 这类病毒利用操作系统的加载机制取得的瞬间动态执行传染和破坏表现模 块，瞬时轰炸打了就跑。而引导类型的b r a i n 病毒则只有引导模块、传染 模块而无表现模块，这正是某些病毒不具备“表现性”的原因所在。但是， 没有表现性却增强了这类病毒的隐蔽性。 病毒程序的这几个基本模块即有“分工”，又有“合作”，它们相互依靠、 彼此协调。引导模块可以是传染模块和破坏表现模块的基础；破坏表现模块 又依赖传染模块，扩大攻击的范围；而传染模块则是病毒程序的核心。 计算机病毒程序工作的一般流程用类c 语言描述如下： * 9 i 导功能模块 ( 将病毒程序寄生于宿主程序中； 加载计算机程序； 病毒程序随其宿主程序的运行进入系统；) ( 传染功能模块；) ( 破坏功能模块；) m a i n ( ) 调用引导功能模块； a id o 寻找感染对象： i f ( 传染条件不满足) l o 第二章计算机病毒及其本质特性分析 g o t oa ：) w m l e ( 满足传染条件) ； 调用传染功能模块； w h i l e ( 满足破坏条件) ( 激括病毒程序； 调用破坏功能模块；) 运行宿主原程序； i f 不关机 g o t oa ： 关机： ) 计算机病毒程序工作的n - s 图如图2 2 示。 将病毒程序寄生到宿主程序中 加载计算机程序 含有病毒的宿主程序进入计算机系统 ja 寻找感染对象 直到满足传染条件 调用传染功能模块 当满足破坏条件时 激话病毒程序 调用破坏功能槿垭 运行宿主源程序 ：! 兰竺 俸扣l p n t oa 圈2 , 2 计算机病毒程序机理流程n s 框图 24 计算机病毒的本质特性分析 24 1 病毒的基本机制 计算机病毒是一种特殊的程序，其最大的特点是具有感染力。病毒程序 青岛大学硕士学位论文 一般有感染模块、触发模块破坏模块、主控模块组成，相应为感染( 传染) 机制、触发机制、和破坏机制三种“。但并不是所有的病毒都具各这三种机 制，如巴基斯坦病毒就没有破坏模块。 1 ，感染模块 该模块的作用是将病毒代码传染到其他对象上去，负责实现感染机制。 感染模块担负着计算机病毒的扩散传染任务，它是判断一个程序是否是计算 机病毒的首要条件。一般病毒在对目标程序传染前判断感染条件如是否有 感染标记或文件类型是否符合传染标准等。具体步骤为： ( 1 ) 寻找一个可执行文件； ( 2 ) 检查该文件中是否有感染标记； ( 3 ) 如果没有感染标记，则进行感染，将病毒代码放入宿主程序。 2 触发模块 触发模块根据预定条件满足与否，控制病毒的感染或破坏动作。病毒的 触发条件有多种形式，主要有：日期和时间触发、键盘触发、启动触发、磁 盘访问触发和中断触发、其他触发方式。病毒触发模块的主要功能为： ( 1 ) 检查预定触发条件是否满足； ( 2 ) 如果满足返回真值； ( 3 ) 如果不满足，返回假值。 3 破坏模块 破坏模块负责实施病毒的破坏动作。其内部是实现病毒编写者预定破坏 动作的代码。这些破坏动作可能是破坏文件、数据也可能是破坏计算机的 空问效率和时间效率或使计算机运行崩溃。有些病毒的该模块并没有明显的 恶意破坏行为，仅在被感染的系统设备上表现出特定的现象，该模块有时又 被称为表现模块。在结构上。破坏模块般分为两部分，一部分判断破坏的 条件，另一部分执行破坏的功能。 4 主控模块 主控模块在总体上控制病毒的运行，染毒程序运行时，首先运行的是病 毒的主控模块，其基本动作为： 1 2 第二二章计算机病毒及其本质特性分析 ( 1 ) 调用感染模块， ( 2 ) 调用触发模块， ( 3 ) 如果返回真值， “) 如果返回假值， 进行感染； 接受其返回值： 执行破坏模块； 执行后续程序。 2 4 2 计算机病毒的传染机制 病毒程序的感染( 传染) 机制、触发机制和破坏机制这三种基本机制中 传染机制反映了病毒程序最本质的特征离开传染机制，就不能称其为病毒 d 计算机病毒传染过程与生物学病毒的传染过程非常相似，它寄生在宿主 程序中，进入计算机，并借助操作系统和宿主程序的运行，复制自身，大量 繁殖。计算机病毒感染的一般过程为： ( 1 ) 当计算机运行染毒的宿主程序时病毒夺取控制权。 ( 2 ) 寻找感染的突破口。 ( 3 ) 将病毒程序嵌入感染目标中。 本节以二进制文件型病毒详细介绍病毒程序的传染机制。二进制文件病 毒把自己依附到一个程序文件( 宿主) 上，并用不同的技术感染其它的文件。 有几种感染执行文件的基本技术；伙伴，链接，覆盖，插入，头部附加，尾 部附加“”等。 伙伴病毒 伙伴痛毒并不直接修改宿主文件，而是使得操作系统在执行程序时先执 行病毒文件。有时，这是通过修改宿主文件的文件名，然后把文件名赋给病 毒文件来实现的。或者，病毒创建一个与宿主文件同名的c o r n 文件放在同一 个目录下。操作系统在调用一个可执行文件时，会先寻找c o r n 文件再寻找e x e 文件。例如，在同一目录下存在n o t e p a d c o m 和n o t e p a d e x e 文件，当用“n o t e p a d ” 启动程序时，n o t e p a d t o m 会先被执行。如图2 3 示： 青岛大学硕士学位论文 病毒 习 图2 3 伙伴病毒 链接病毒 链接病毒通过修改文件系统的底层数据结构，使得文件名不再指向原本 的文件，而是指向病毒的c o p y 。如图2 , 4 示： 图2 4 链接病毒 覆盖病毒 覆盖病毒把自己放在程序文件的开头，直接覆盖掉宿主程序的代码，所 以宿主程序被破坏。当运行这个文件时，不再有原来的功能，而只会感染其 它程序。这样的病毒很容易被发现，所以实际中这样的病毒很少能传播开来。 如图2 5 示： e i 三要磊雾磊l 磊三；再；翮囡为痫毒体 塞塞妻壁墨签淘塑兰苎竺苎些塑坌l 豳为痫霉体 圈2 5 覆盖病毒 插入病毒 程序文件中有时存在一些没有用到的区域，插入病毒能够找到这些区 域，并把自己的代码插入这些空隙。c i h 病毒就是属于这种类型。如图2 6 示 图2 6 插入病毒 圈为病毒体 头部添加病毒 头部添加病毒把自己添加到宿主文件的头部，当宿主程序运行时，先执 1 4 第二章计算机病毒及其本质特性分析 行病毒代码，再执行宿主程序代码。如图2 7 示： 图2 7 头部添加病 尾部添加病毒 尾部添加病毒在宿主程序头部添加一条j u m p 指令，指向宿主程序的尾 部，并把病毒体代码添加到宿主程序的尾部。病毒体执行完后，再跳转到宿 主程序的开头。如图2 8 示： 图2 8 尾部添加病毒 2 5 新一代计算机病毒的特点及发展趋势 当前流行病毒开始体现出与以往病毒截然不同的特征和发展方向，更加 呈现综合性的特点，功能越来越强太。它可以感染引导区、可执行文件，更 主要的是与网络结合，通过电子邮件、局域网、聊天软件，甚至浏览网页等 多种途径传播，同时还兼有黑客后门功能，进行密码猜测，实施远程控制， 并且终止反病毒软件和防火墙的运行，更令人防不胜防的是病毒常常利用操 作系统的漏洞进行感染和破坏，这就连相当规模的杀毒公司也无可奈何只 有依靠操作系统的发行公司不断推出各种各样的“补丁”程序来解决。 此外，病毒的欺骗性也有所增强，常利用邮件、q q 、手机信使服务和 b b s 等通讯方式发送舍有病毒的网址，以各种吸引人的话题和内容诱骗用户 上当。这些病毒往往同时具有两个以上的传播方法和攻击手段，一经爆发即 在网络上快速传播，难咀遏制，加之与黑客技术的融合，潜在的威胁和损失 更大。 通过分析对照，我们不难发现近来流行病毒的特点和新一代病毒的发展 趋势： 1 多种方式传播，传播速度极快 】5 青岛大学硕士学位论文 现在的计算机病毒一般都有两种以上的传播方式t 可以通过文件感染， 也可以与网络更加紧密结合，利用一切可以利用的方式，如邮件、局域网、 远程管理、即时通信工具( 如i c o ) 等进行传播，甚至可以利用后门进行传 播。“尼姆选”让人们真正见识到局域网的方便快捷在病毒传播上的作用。“尼 姆选”不仅能透过局域网向其他计算机写入大量具有迷惑性的带毒文件，还 会让已中毒的计算机完全共享所有资源，造成交叉感染，一旦在局域网中有 一台计算机染上丁“尼姆达”病毒，那么这种攻击将会无穷无尽。由于病毒 主要通过网络传播，因此，一种新病毒出现后，可以迅速通过国际互联网传 播到世界各地。如“爱虫”病毒在一、两天内迅速传播到世界的主要计算机 网络，并造成欧美国家的计算机网络瘫痪。 2 利用微软漏洞主动传播 “红色代码”、“尼姆达”、“坏透了”都是通过利用微软漏洞而进行主动 传播的使没有给i e 打“补丁”的用户自动运行该病毒，即使没有点击，只 是浏览或预览染毒邮件。正因为如此，这几种病毒才得以如此广泛流传。 3 更广泛的混合性特征 所有的病毒都具有混合性特征，集文件感染、蠕虫、木马、黑客程序的 特点于一身，破坏性大大增强。还有部分病毒是双体结构，运行后分成两部 分，一个负责远程传播( 包括e m a i l 和局域网传播) ，另一个负责本地传播， 各司其职，大大增强了病毒的感染性。这些病毒往往难以防范。 4 病毒与黑客技术的融合 利用黑客技术的某些特征制造的病毒其杀伤力更大。包括“红色代码”、 “尼姆达”等都是与黑客技术相结合，从而能远程调用染毒计算机上的数据， 使病毒的危害剧增。 计算机病毒的远程肩动也是今后病毒发展的一个重要方向，远程启动本 来是网络管理的一种有效手段，也被w i n d o w n t 系统所支持，一旦病毒成功 利用了这一点将使计算机病毒的感染更加可怕。 5 欺骗性增强 由于病毒的感染速度已经极快，所以许多病毒不再追求隐藏性，而是更 1 6 第二章计算机病毒及其本质特性分析 加注重欺骗性，只要用户一不小心，就会被病毒感染，而一旦有人感染，病 毒就会大规模爆发。 6 病毒出现频度高，病毒生成工具多，病毒的变种多 目前，很多病毒使用高级语言编写，如“l o v c l e t t e r ”是脚本语言病毒， “美丽杀”是宏病毒。它们容易编写，并且很容易被修改，从而生成很多病 毒变种。“爱虫”病毒在十几天中，出现三十多种变种。“美丽杀”病毒也生 成三四种交种，并且此后很多宏病毒都模仿了“美丽杀”的感染机理。这些 变种的主要感染和破坏的机理与母本病毒一致，只是某些代码作了改变。更 令人担心的是人们很容易就可以在网上获得病毒的各种生产工具，只要修改 一下下载的病毒孵化器便可成批地生产新的病毒。因此新病毒的出现频度超 出以往的任何时候。国防瘸毒中心估计：2 0 0 3 年一年出现近2 万种病毒。令 人防不胜防。当然很多病毒都是同一些病毒的变种，或是病毒生产机生产的 同一家族病毒。 7 难于控制和彻底根治，容易引起多次疫情 新一代病毒一旦在网络中传播、蔓延，就很难控制，往往准备采取防护 措施的时候，可能已经遭受病毒的侵袭。除非关闭网路服务，但是这样做很 难被人接受，因为关闭网络服务可能会蒙受更大的损失。 由于网络联通的普遍性和病毒感染的暴发性，病毒很难被彻底根治。整 个网络上，只要有一台计算机没有清除，或重新感染，病毒就会迅速蔓延到 整个网络，再次造成危害。“美丽杀”病毒最早在1 9 9 9 年3 月份爆发，人们花 了很多精力和财力控制住了它，但是，2 0 0 3 年在美国它又死灰复燃，再一次 形成疫情，造成破坏。之所以出现这种情况：一是由于人们放松了警惕性， 新投入使用的系统未安装防病毒系统；再者是使用了保存旧的染毒文档，激 活了病毒，以至再次流行。 26 本章小结 本章论述了计算机病毒的产生和定义，并对计算机病毒技术的发展、病 毒程序的基本结构模式及其作用的基本机制、新一代病毒的特点及发展趋势 1 7 青岛大学硕士学位论文 作了详细的介绍。我们可以看出随着计算机和网络技术的发展，计算机病毒 技术也日新月异，病毒可以利用的系统和网络的脆弱性也越来越多。从而不 时有更新的，破坏性更强的病毒技术产生。这也给反病毒技术带来了更严峻 的挑战。最后以二进制文件型病毒为例重点介绍了病毒的传染机制。 第三章计算机反病毒技术的产生、发展和现状 第三章计算机反病毒技术的产生、发展和现状 3 1 反病毒技术的产生与发展 自1 9 8 7 年1 0 月第一例计算机病毒b r a i n 诞生以来，计算机病毒的种类 不断增加，并迅速蔓延到全世界，对计算机安全构成了巨大的威胁。计算机 反病毒技术也就应运而生，并随着计算机病毒技术的发展而发展“。 2 0 世纪8 0 年代中期，计算机病毒刚刚开始流行，病毒种类虽然不多， 但危害性很大，一个简单的病毒就能在短时间内传播到世界各个国家和地 区。计算机安全专家仓促应战，编制了一批早期的病毒消除软件。消除病毒 是病毒传染的逆过程。以磁盘病毒为例，磁盘病毒将病毒原体寄生在磁盘的 引导区或其它部位，通过磁盘的读写和复制进行传播。磁盘病毒的消除正是 找出病毒在磁盘上的寄生部位，把病毒清除、恢复磁盘原状的过程，所以病 毒消除软件成为对付病毒的有效工具。早期的病毒消除程序是一对一的，即 一种病毒清除程序消除一种病毒。2 0 世纪8 0 年代末，计算机病毒的数量开 始急剧膨胀，达到上千种之多，运行上千种病毒消除软件来对抗计算机病毒 显然不太现实，并且计算机新病毒的数量仍然在不断增长。 另外，还发现病毒消除软件本身也会染上