（计算机应用技术专业论文）基于程序行为模糊模式识别的病毒检测研究.pdf

基于程序行为模糊模式识别的病毒检测研究 摘要 近几年来随着计算机技术及网络技术的发展和普及，使得计算机病毒也以惊 人的速度蔓延开来，计算机安全越来越受到人们的重视，也不断促进着计算机反 病毒技术的发展。当今最新最先进的计算机反病毒技术，有主动内核技术、启发 式代码扫描技术、虚拟机技术、基于免疫原理的病毒检测技术等。这些技术各有 特点，但应用起来仍然不够成熟。现有计算机反病毒软件虽然在对抗病毒方面发 挥了巨大的作用，但是仍有不尽人意之处，尤其是对付未知病毒缺乏足够有效的 方法。对安全、高效的病毒检测方法的研究不仅具有重要的科研学术价值，而且 对国家的信息安全、金融机构的信息化建设和国民经济的发展也具有重大的意 义。 论文主要对w i n d o w s 操作系统下各种病毒的作用机理及当前典型病毒所采 用的各种新技术进行了深入探讨，提出一种新的基于程序行为的未知病毒检测方 案，为实现对未知病毒的有效检测进行有益的探索。 首先，分析当前信息安全的现状、着重分析了病毒的传播与发展；介绍了已 经出现的各种主要反病毒技术模型、关键技术和主要特点。并着重分析了基于程 序行为的病毒检测技术。 其次，深入研究当前常见病毒程序的典型程序行为，总结出了不同病毒程序 传染和发作的典型行为特征；深入研究基于系统调用的检测方法，并对将其应用 在病毒检测系统作了可行性分析。在此基础上，提出了一种新的病毒行为模式库 的建立方法，构造病毒程序特征行为的数据结构；同时，提出了一种新的模糊模 式识别的算法，用于系统对未知病毒的检测。 最后，对病毒检测系统的核心检测引擎进行了较为详细的设计与分析， 从算法执行和系统的工作流程进行了详细设计，实现了一个未知病毒检测系统， 并导入病毒程序进行实验。结果表明该检测方法是一种较为有效的未知病毒检测 方法。 关键词：计算机病毒；程序行为；模式识别；系统调用 f u z z yp a t t e r nr e c o g n i t i o nm e t h o df o rv i r u sd e t e c t i o n b a s e do ns e q u e n c e so fs y s t e mc a l l s a b s t r a c t a l o n gw i t ht h eg r e a td e v e l o p m e n ta n dp o p u l a r i z a t i o no ft h ec o m p u t e rn e t w o r k t e c h n o l o g yr e c e n t l y , t h ec o m p u t e rv i r u s e ss p r e a d w i t ha s t o n i s h i n gs p e e d t h e c o m p u t e rs e c u r i t yg a i nm o r ea t t e n t i o no ft h ep u b l i ct h a ta c c e l e r a t et h ed e v e l o p m e n to f t h ea n t i - v i r u st e c h n i q u e n o w a d a y st h e r ea r es o m en e wa n da d v a n c e da n t i v i r u s t e c h n i q u e s ，s u c ha sa c t i v ek e m e lt e c h n i q u e ，h e u r i s t i cc o d es c a n n i n g ，v i r t u a lm a c h i n e a n dt h ep r i n c i p l eo fi m m u n i t ye t c h o w e v e rt h e i rp e r f o r m a n c e sa r en o tm a t u r ee n o u g h a l t h o u g ht h ee x i s t i n ga n t i v i r u ss o f t w a r ep l a y sas i g n i f i c a n tr o l et od e a lw i t ht h e c o m p u t e rv i r u s ，t h e ys t i l ld o n tr e a c ht h eg r e a ts a t i s f a c t i o n ，e s p e c i a l l yt od e t e c t i n gt h e u n k n o w nv i r u s t h er e s e a r c ho fae f f e c t i v ea n ds e c u r ed e t e c t i o no ft h ev i r u sw o u l db e v e r yv a l u a b l e ，n o to n l yt oa c a d e m i cs t u d y ，b u ta l s ot ot h ei n f o r m a t i o ns e c u r i t yo ft h e c o b n t r y , t h ei n f o r m a t i o nc o n s t r u c t i o no ff i n a n c i a lo r g a n i z a t i o n sa n dt h ed e v e l o p m e n t o fo u rn a t i o n a le c o n o m y e a c hk i n do ft h ev i r u sa c t i o nm e c h a n i s ma n dt h ec u r r e n tc o m p u t e rv i r u sn e w t e c h n i q u e sa r ea n a l y z e dt h o r o u g h l yu n d e rt h ew i n d o w so p e r a t i o ns y s t e m a n da n e wv i r u sd e t e c t i o ns y s t e mt ot h eu n k n o w nv i r u si sp r o p o s e da n dr e a l i z e d w h i c hi sa b e n e f i c i a la t t e m p t f i r s t l y , t h ec u r r e n ts i t u a t i o no ft h ec o m p u t e rs e c u r i t yi n c l u d i n gt h es t r u c t u r ea n d t h ef u n c t i o nm e c h a n i s mo ft h ev i r u si sa n a l y z e d a d d i t i o n a l l y , e a c hk i n do ft h e a n t i - v i r u st e c h n i q u ei n c l u d i n gt h ec o r ea n dt h em a i nc h a r a c t e r i s t i c t h ea n t i v i r u s t e c h n i q u ei sp a i dm o r ea t t e n t i o ni nt h i sp a _ p e r s e c o n d l y , t h em o d eo fd i f f e r e n ti n f e c t i n gb e h a v i o ro ft h ec o m p u t e rv i r u sa r e c o n c l u d e dt h o r o u g h l ya f t e rs t u d y i n gt h ec u r r e n tv i r u sp r o g r a m b a s i n go nt h ed e e p l y c o n s i d e r a t i o no ft h es y s t e mc a l la n dt h ea n a l y s i so nt h ep o s s i b i l i t yo ft h e i ra p p l i c a t i o n t ot h ev i r u sd e t e c t i o n ，an e wc o n s t r u c t i o no ft h ep a t t e r nd a t a b a s ei sf o r m e d an e w f u z z yp a t t e r nr e c o g n i t i o nm e t h o di sf o r m e dt od e t e c tt h eu n k n o w n v i r u s a tl a s t ，t h ee n g i n eo ft h es y s t e mw h i c hi st h ec o r ed e p a r t m e n to ft h es y s t e r ni s d e s i g n e da n da n a l y z e d n em a i np r o c e d u r ea n dt h ep e r f o r m a n c eo ft h ea l g o r i t h mi s s t u d y i n gb e f o r et h ev i r u sd e t e c t i o ni sr e a l i z e d a n dt h e n ，s o m et y p i c a lv i r u sp r o g r a m i si m p o r t e dt ot h es y s t e ma n dt h er e s u l to ft h ee x p e r i m e n ti n d i c a t et h a ti ti saf e a s i b l e w a yf o rd e t e c t i n gt h eu n k n o w nv i r u s k e yw o r d ：c o m p u t e rv i r u s ；p r o g r a mb e h a v i o r ；p a t t e r nr e c o g n i t i o n ；s y s t e mc a l l 学位论文独创性声明、学位论文知识产权权属声明 学位论文独创性声明、学位论文知识产权权属声明 学位论文独创性声明 本人声明，所呈交的学位论文系本人在导师指导下独立完成的研究成果。文 中依法引用他人的成果，均已做出明确标注或得到许可。论文内容未包含法律意 义上已属于他人的任何形式的研究成果，也不包含本人已用于其他学位申请的论 文或成果。 本人如违反上述声明，愿意承担由此引发的一切责任和后果。 论文作者签名： 霸袒弓 只期：3 宫年月眨日 学位论文知识产权权属声明 本人在导师指导下所完成的学位论文及相关的职务作品，知识产权归属学 校。学校享有以任何方式发表、复制、公开阅览、借阅以及申请专利等权利。本 人离校后发表或使用学位论文或与该论文直接相关的学术论文或成果时，署名单 位仍然为青岛大学。 本学位论文属于： 保密口，在年解密后适用于本声明。 不保密d ( 请在以上方框内打“一) 论文作者签名： 留怛寺日期：z o 孑年箩月f 2 日 聊躲仍秒 日期聊年川乙日 ( 本声明的版权归青岛大学所有，未经许可，任何单位及任何个人不得擅自使用) 第一章绪论 1 1 引言 第一章绪论 自1 9 8 1 年第一台p c 机出现以来，个人计算机经历了飞速发展的过程，已经从 当初少数科学家、工程师的专利发展为与我们每个人的同常工作、生活密切相关 的工具。计算机技术的迅猛发展给人们的工作和生活带来便利的同时也带来许多 不安全隐患。令人惊异的是，在个人计算机发展的二十多年里，将近有五分之四 的时间都在与计算机病毒相伴。 2 0 世纪9 0 年代以来，计算机网络技术得到了飞速发展，信息的处理和传递突 破了时间和地域的限制，网络化与全球化成为不可抗拒的世界潮流，互联网已进 入社会生活的各个领域和环节，并愈来愈成为人们关注的焦点。但是随着互联网 的广泛应用，计算机病毒问题越来越引起人们的注意，并且呈现不断增长趋势。 随着互联网的普及，大量计算机病毒借助网络爆发，并且愈演愈烈。病毒在1 9 9 1 年还不足l 力种，到了2 0 0 1 年病毒就己经超过了4 万种，而在2 0 0 3 年病毒数量则达 到了8 万种。计算机病毒不仅在数量上猛增，带来的各种损失也是与日俱增。如 1 9 9 8 年爆发于中国台湾的c i h 病毒，致使全球六千万台电脑受到破坏，大量重要 资料无法复原，情况严重者，连计算机主板硬件也不得不更换，在全球造成2 0 0 0 万至8 0 0 0 力美元的损失，而在2 0 0 3 年爆发的冲击波病毒估计在全球造成的损失在 2 0 亿n l o o 亿，受感染的计算机不计其数。近几年流行的震荡波等病毒( 蠕虫) ， 更导致大量的计算机不能正常工作，给社会造成了难以估量的损失。美国 r a d i c a t i 集团日前发表一项调查报告表明n 1 ，2 0 0 1 年病毒造成的经济损失超过了 2 8 0 亿美元，2 0 0 7 年则将超过7 5 0 亿美元。图1 1 是1 9 9 9 年至2 0 0 6 年间计算机病毒 给我们造成的损失情况，从中可以看出，计算机病毒造成的经济损失几乎成线性 增长的态势，严重的阻碍了社会的发展和人类的全面进步，可见对于计算机病毒 的研究己经到了刻不容缓的地步。 此外，国外有些国家甚至还把计算机病毒作为信息战争的新型武器心1 。1 9 9 1 年，在“海湾战争”中，美军第一次将计算机病毒武器用于实战，在空袭巴格达 的战斗中，成功地利用病毒破坏了对方的指挥系统，使之瘫痪，保证了战斗顺 利进行。 因此，深入地研究病毒技术，研究更好的检测病毒的方法，研究更强的防范 和对抗病毒的技术，对于保证计算机系统的正常工作，保护重要信息的安全，乃 至对于信息社会的稳定发展都有着重要的意义口】。 青岛人。z 硕十学位论文 计算机病毒造成的损失 纽 图1 1 计算机病毒造成的经济损失 1 2 论文选题的意义 近几年来计算机病毒正以惊人的速度蔓延开来，对计算机系统的安全构成 了严重的威胁。早期的反病毒软件利用病毒的特征码这一静态特征来识别和检 测隐藏在系统中的病毒，起到了一定的效果。 病毒的特征码检测法h 1 主要是分析病毒样本，这种方法虽然检测比较准确， 易于实现，但也存在着很大的局限性，需要经常性的更新病毒特征码数据库， 严重的占用了系统资源。随着新病毒的丛出不穷，传统病毒特征码检测法的弊 端也渐渐的突现了出来。一方面，特征值病毒检测法只能检测到已知的病毒， 而对于新出现的未知病毒则无能为力；在另一方面，计算机许多病毒还在不停 的衍生出新的变种，许多病毒还采用了自动变形技术来逃避特征码检测技术的 检测，因为多态型病毒在程序字面上没有固定的特征码，可以轻易的逃过特征 值检测法的检测。 与此同时，计算机病毒为对抗计算机反病毒技术，不断更新反检测技术， 比如隐藏技术、反跟踪技术、变形技术等。这些技术的运用都为反病毒技术带 来严峻的挑战。更令人头疼的是只要出现了一项新的计算机技术，利用这项新 技术编制的新计算机病毒就一定会随之产生。 第一章绪论 随着计算机病毒技术的发展，计算机反病毒技术也随之发展起来，反病毒 技术已由最初的病毒特征代码分析发展到了现在的软件模拟检测等技术，但是 由于这些病毒检测技术对于大多数新病毒总是不能及时地作出检测，总是滞后 于新病毒的出现，在新病毒出现的初期并不能有效的进行检测和防治，结果给 广大计算机用户带来了巨大的损失。况且目前很多高级病毒不再持有以往绝大 多数病毒那种“恶作剧”的目的，它可能是人类在信息社会投入巨资研究出的、 主要目的在于扰乱社会的信息、政治、经济秩序等，或是主宰战争目的的一种 “信息战略武器”陌，。因此，如何及时快速地检测出未知的新病毒，防忠于未 然是目前迫切需要解决的问题。 1 3 论文的主要研究问题 为了解决这些问题，本文将通过对病毒程序行为的研究，提出一种基于病毒 程序行为的未知病毒检测方法。研究当前常见病毒程序行为的主要特征，通过 分析其对于系统a p i 函数的调用和程序语义建立病毒程序的行为模式库。并提 出可行的匹配算法，使之能有效地对未知的病毒进行检测。 程序特征码只是属于低级的特征层次，不能够完全反映出程序执行的真实 目的。如果能从更抽象的层次去提取病毒特征就可能解决这个问题。本文从病 毒程序行为特征方面考虑，如果能够量化的表示出各种程序的抽象行为特征， 就能了解该程序到底要做什么。 病毒的检测不是一个简单二值问题。由于现在计算机系统之中还有很多正 常程序与病毒程序有很大的相似性，他们对系统的调用部分和病毒程序是相同 的，所以并不能十分绝对的把病毒检测看作一个简单的是与不是的问题。本文 将尝试用模糊模式识别理论睛1 ，再根据程序行为构建模糊集，进行病毒程序行 为的模式模式识别，更加审慎的对计算机病毒进行检测。 通过研究当前常见病毒程序行为的主要特征，分析其对系统a p i 函数的调 用和程序的语义，建立病毒程序的行为模式库。提出一种可行的算法，使之能 有效地对未知的病毒进行检测。论文将围绕以下几个方面内容展开： 1 对病毒的典型行为进行研究，找出其中的典型特征。 2 研究各病毒程序运行时对系统功能的调用，包括病毒程序的传播模块， 破坏模块等各主要模块对系统功能的调用。 3 研究程序的语义，主要是对病毒程序语义的研究和对程序语义的有效抽 取。 论文要解决的主要问题是怎样构造出完善的病毒行为模式库，并对病毒程 序进行有效的识别，以此提出一个基于程序行为的未知病毒检测系统。其中要 青岛人学硕十学何论文 着重解决以下几个问题： 1 找出各类典型病毒的程序行为特征。将其通过系统函数调用序列或程序 语义流图量化表示。 2 通过程序语义流和系统调用序列构造行为模式特征库，使病毒程序的抽 象行为能被合理表示并存储。 3 提出一合适的行为模匹配算法，使其能尽量降低系统的误报率，构造一 基于行为模式库匹配的未知病毒检测器 1 4 论文的结构安排 本文的具体结构安排如下： 第一章为绪论，对论文研究的背景，论文选题的意义，主要研究的内容和 要解决的主要问题进行阐述。 第二章为计算机病毒概述，给出计算机病毒的经典定义和法律上的定义， 简述计算机病毒的起源和发展，对典型计算机病毒的作用机制进行分析和讨论， 并介绍了计算机病毒的一般分类。 第三章为计算机反病毒技术的研究，指出了当前计算机反病毒技术的研究 现状，并简要总结了目前比较流行的计算机反病毒技术及其特点，并介绍了计 算机反病毒技术的发展趋势。 第四章为基于程序行为的病毒检测方法设计，给出了本文系统设计的基本 思想和系统框架模型，讨论了基于程序行为检测方法的发展背景和现状，介绍 基于程序行为的检测的原理，并列举了几种经典的行为模式匹配算法并分析了 他们的优缺点。 第五章为一种基于程序行为的模糊模式识别的病毒检测方法实现，提出了 病毒程序行为的描述方法和行为模式库的构造方法，并结合模糊模式理论设计 病毒检测引擎。本章对本检测方案的思想理论基础，检测方案的关键技术作了 较为详细的介绍。 第六章是实验与分析，交待了试验的环境、流程并对实验的结果进行分析 总结。 第二章计算机病毒概述 第二章计算机病毒概述 2 1 计算机病毒的定义 计算机病毒是恶意的计算机程序。病毒通过各种传播媒介( u 盘，网络) 不断 扩散，一旦发作就给正常系统产生“不良”影响。 f r e dc o h e n 博士定义【刀计算机病毒是一种程序，它用修改其它程序的方法将 自身的精确拷贝或者演化版本植入其它程序，从而感染其它程序。 f r e dc o h e n 博士在1 9 8 8 年又著文哺1 强调病毒不是利用操作系统运作和缺陷 的程序，病毒是j 下常的用户程序，它们仅使用了那些每天都被使用的j 下常操作。 f r e dc o h e n 的定义被后来的研究著作中频频引用，具有相当的学术权威性。 1 9 9 4 年2 月1 8 同，我国j 下式颁布实施了中华人民共和国计算机信息系统 安全保护条例，其中第二十八条阻1 中明确指出：“计算机病毒，是指编制或者在 计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我 复制的一组计算机指令或者程序代码”，这个定义具有相当的法律权威性。通过 这个定义可以看出，计算机病毒不仅包括平时所说的病毒，还应包括蠕虫( w o r m ) 等恶意程序。 对于本文中所提到的计算机病毒，涵盖了通常意义的病毒，以及蠕虫、木马 等恶意程序，它们的共同特征有：自我复制能力、感染性、潜伏性、触发性、破 坏性。 2 2计算机病毒的产生与发展 早在1 9 4 9 年，电脑的先驱者冯诺伊曼在他的一篇文章复杂自动装置的 理论及组织的行为中就提出了一种会自我繁殖的程序的可能，但没引起注意。 十年之后，在贝尔实验室中，这个概念在一个电子游戏中形成了，这个电子游戏 叫“c o r ew a r 。 这个游戏分成好几种，麦耀莱所写的叫“达尔文，包含了“物竞天择，适 者生存”的意思。另外有个叫爬行者( c r e e p e r ) 的程序，每一次把它读出时，它 便自己复制一个副本，从一部电脑爬到另一部和它相连的电脑，很快的电脑中原 有资料便被这些爬行者挤掉了。爬行者的唯一生存目的是繁殖。 上面的程序虽然还没有明确的命名为病毒，但是很明显它们已经具有了病毒 的某些特征。 1 9 8 3 年，k e nt h o m p s o n 是当年一项杰出电脑奖得主，在颁奖典礼上，他作 了一个演讲，不但公开的证实了电脑病毒的存在，而且还告诉所有听众怎样去写 青岛人学硕十学何论文 自己的病毒程序。 1 9 8 3 年1 1 月3r ，f r e dc o h e n 博士研制出一种在运行过程中可以复制自身 的破坏性程序l e na d l e m a n ，将它命名为计算机病( c o m p u t e rv i r u s ) 并在每周一 次的计算机安全讨论会上j 下式提出，8 小时后专家们在v a x l l 7 5 0 计算机系统上 运行，第一个病毒实验成功，从而在实验中验证了计算机病毒的存在。 1 9 8 8 年，美国研究生莫罩斯利用当时大型机主流操作系统u n i x 的一个小漏 洞编写了一个小小的程序，这个程序像蠕虫一样在网上四处蠕动，不停地自我复 制，短短几天内就耗尽了网络的所有资源，给人们带来严重的恐慌和重大损失。 “莫里斯蠕虫”，现在已被认定是计算机病毒发展史上最具影响力的事件。 8 0 年代后期，随着微机的普及，计算机病毒的发展步伐大大加快。1 9 8 6 年， 巴基斯坦的两个软件人员为了搞清楚自己编制的软件究竟都跑到了谁的手里，于 是炮制了一个p a k i s t a n 病毒，这可能是最早广泛流行的计算机病毒。从此，以 p c 为主要传播对象的计算机病毒开始疯狂传播、大肆泛滥。 软件技术的进一步发展的同时给病毒的发展提供了空间。如1 9 9 0 年产生的 首例多态性病毒“c h a m e l e o n ，这种病毒采用了最新的加密技术，病毒代码也会 根据不同的条件而变化，继而出现了第一个“病毒自动生成工具“v i r u s p r o d u c t i o nf a c t o r y ，病毒的编写成为更普遍的现实而不再是技术高手的专利， 一个会使用软件的人都可以简单的书写自己的病毒。 1 9 9 1 年1 月保加利亚人编写的风传世界的d i r - 11 病毒，突破了病毒的经典 定义。 1 9 9 5 年基于w i n d o w s 平台的宏病毒出现，使病毒从感染可执行文件发展到 感染数据文件。1 9 9 8 年出现的c i h 病毒是第一个能够直接攻击某些主板上的 f l a s hr o m 中b i o s 信息的文件型病毒。它是至今为止出现的危害最大，影响最 大的病毒之一。 1 9 9 9 年出现了第一个在英特网上大规模传播的病毒“h a p p y 9 9 ，成为危害 最大的十个病毒之一，更为重要的是它是一个真正意义上的“现代化”的蠕虫， 它使用电子邮件进行自动传播。这是病毒技术历史上的又一个里程碑，计算机病 毒进入了网络病毒时代，邮件病毒逐渐成为病毒的主流形式。 总之，在病毒发展史上，病毒的出现是有规律的，在一般情况下，一种新的 病毒技术出现后，将会促使病毒迅速传播，同时也会促使反病毒技术的发展以抑 制其流行，新的反病毒技术的出现又加快产生新的病毒。操作系统进行升级时， 病毒也会调整为新的方式，产生新的病毒技术。总之，病毒的发展可分为以下几 个阶段1 0 1 ： ( 1 ) 萌芽、滋生阶段 这一阶段大约从1 9 8 6 年至1 9 8 9 年，这一期间出现的病毒可以成为传统的病 第二章计算机病毒概述 毒，是计算机病毒的萌芽和滋生时期。由于当时应用软件少，而且大多是单机运 行坏境，因此病毒没有大量流行，种类也很有限，病毒的清除工作相对比较容易。 ( 2 ) 综合发展阶段 这个阶段大约为1 9 8 9 年至1 9 9 2 年，是计算机病毒由简单发展到复杂、由单 纯走向成熟的阶段。计算机局域网开始应用与普及，许多单机应用软件开始转向 网络环境，由于人们对于网络系统尚未有安全防护意识，缺乏在网络环境下病毒 防御的准备与对策，使计算机病毒迎来了一次流行高峰。 ( 3 ) 成熟发展阶段 这个阶段大约为1 9 9 2 年至1 9 9 5 年，这一阶段的典型病毒都具有“多态性” 或者“自我变形 能力。所谓“多态性或“自我变形”，是指这种病毒在每次 传染目标时，嵌入宿主程序中的病毒程序大部分都是可变的，对于这一特点，传 统的利用特征代码检测病毒的产品不能检测出此类病毒。 ( 4 ) i n t e r n e t 阶段 从1 9 9 5 年至今，随着网络的普及，大量的病毒开始利用网络进行传播，它 们虽然只是上几代病毒的改进，但是借助网络的优势，病毒的扩散更快、隐蔽性 更强、危害更大n h1 2 1 。 2 3 计算机病毒的基本特征 1 非法性 计算机病毒都是在未获得计算机用户的允许下“悄悄”进行的，而病毒所进 行的操作，绝大多数都违背用户意愿和利益，它会将自己隐藏在合法的程序或数 据中，当用户运行正常合法程序时，病毒伺机窃取系统的控制权，在合法程序执 行以前得以抢先运行。从这种意义上来讲，计算机病毒具有“非法性 。 2 隐藏性 隐藏性是计算机病毒最基本的特征，计算机病毒是“非法 程序，不可能正 大光明地运行，换句话说，如果计算机病毒不具备隐藏性，也就失去了“生命力”， 另一方面，经过伪装的病毒还可能被用户当作正常的程序去运行，达到感染和破 坏的目的，这也是病毒触发的一种手段。 3 潜伏性 计算机病毒具有依附于其他媒体而寄生的能力，我们把这种媒体称为计算机 病毒的宿主。依靠病毒的寄生能力，病毒传染到合法程序和正常系统后，不会立 即发作，而是悄悄潜伏下来，然后在用户无法察觉的情况下进行传染。这样，病 毒的潜伏性越好，它在系统中存在的时间也就越长，病毒传染的范围也越广，其 危害性也越大。 青岛人学硕+ 学化论文 4 可触发性 计算机病毒一般都有一个或者几个触发条件。满足其触发条件就会使之进行 传染或者激活病毒的表现部分或破坏部分。触发的实质是一种条件的控制，病毒 程序可以依据设计者的要求，在一定条件下实施攻击。 5 表现性和破坏性 无论何种病毒，一旦侵入系统都会对操作系统的运行造成不同程度的影响。 病毒程序的表现轻则降低系统工作效率，重则导致系统崩溃或数据丢失。病 毒程序的表现性或破坏性体现了病毒设计者的真j 下意图。 6 传染性 传染性是计算机病毒最重要的特征，是判断一段程序代码是否为计算机病毒 的依据n 引。由于目前计算机网络同益发达，计算机病毒可以在极短的时间内通过 像i n t e m e t 这样的网络传遍世界，同时使被传染的计算机程序和网络成为病毒的 生存环境及新的传染源。是否具有传染性是判别一个程序是否为病毒的最重要条 件。 7 针对性 一种计算机病毒( 版本) 并不能感染所有的计算机系统或计算机程序。有的病 毒是感染a p p l e 公司的m a c i n t o s h 机器的，有的病毒是感染i b mp c 机的，有的 病毒感染u n i x 或l i n u x ，有的病毒感染w i n d o w s 等等。 8 变异性 计算机病毒在发展和演化过程中可以产生变种。虽然这些变种可能在其执行 逻辑上不会有很大的变化，但是其在代码形态上却是大大的不同，这为病毒检测 带来了更大的难度。 9 不可预见性 从对病毒的检测方面来看，病毒还有不可预见性。不同种类病毒的代码千差 万别，但有些操作是共有的( 如驻留内存，修改中断) 。 2 4 计算机病毒程序的基本结构 计算机病毒是一种特殊程序，其最大特点是具有感染能力。病毒的感染动作 受到触发机制的控制，病毒触发机制还控制了病毒的破坏动作。总之病毒程序一 般由主控模块、感染模块、触发模块和破坏模块组成n 利。图2 1 所示为病毒程序 的各模块结构模式。 第j 二章计算机病毒概述 计 算 机 病 十 母 程 序 病毒土控模块 激活传染条仆的判断部j 传染功能的实施部分 破坏表现功能的实施部分 图2 1 计算机病毒结构的基本模式 并非任何一种病毒程序都全部具备如图2 1 所示的4 个基本功能模块。例如 文件类型病毒v i e n n a 只有传染模块和破坏表现模块而没有主控模块。但以上结 构已经涵盖了大多数的典型病毒。 病毒程序的这几个基本模块即有“分工”，又有“合作”，它们相互依靠、彼 此协调。主控模块可以是传染模块和破坏表现模块的基础；破坏表现模块又依赖 传染模块，扩大攻击的范围；而传染模块则是病毒程序的核心。 图2 2 所示的为计算机病毒程序工作的n - s 图。 2 4 1 主控模块 将病毒程序寄生到宿土程序中 加载计算机样序 含有病毒的宿土程序进入计算机系统 a 寻找感染对象 直剑满足传染条件 调j f j 传染功能模块 当满足破坏条件时 激活病毒程序 调心破坏功能模块 运行宿土源程序 、= _ 兰三量：一一彳 停机 g o t o a 图2 2 计算机病毒程序机理流程n s 框图 主控模块在总体上控制病毒的运行，染毒程序运行时，首先运行的就是病毒 的主控模块，其基本动作为： ( 1 ) 调用感染模块，进行感染； 釜一 青岛人学硕卜学位论文 ( 2 ) 调用触发模块，接受其返回值； ( 3 ) 如果返i u l 真值，执行破坏模块； ( 4 ) 如果返世l 假值，执行后续程序。 实际上，病毒的主控模块除了上述基本动作外，一般还要做下述动作： 1 调查运行环境。如：确定内存容量、现行区段、磁盘设置、显示器类型等 参数。 2 常驻内存的病毒要做包括请求内存区、传送病毒代码、修改中断向量表 等动作，这些动作都是由主控模块进行的。 3 病毒在遇到意外情况时，必须能够流畅的运行，不应死锁。 2 4 2 传染模块 传染机制反映了病毒程序最本质的特征，离开传染机制，就不能称其为病毒。 该模块的作用是将病毒代码传染到其他对象上去，实现感染性。传染模块担负着 计算机病毒的扩散传染任务，它是判断一个程序是否是病毒的首要条件。一般病 毒在对目标程序传染前要判断其感染条件，看是否有感染标记或文件类型是否符 合传染标准等。具体步骤为： ( 1 ) 寻找一个可执行文件； ( 2 ) 检查该文件中是否有感染标记： ( 3 ) 如果没有感染标记，则进行感染，将病毒代码放入宿主程序。 如果不考虑病毒的启动过程( 立即感染式病毒在此时就进行感染了) ，病毒 要感染，首先必须处于激活状态。病毒要想被激活，必须处于能激活状态；病毒 要处于能激活状态，必须取得过系统控制权；病毒要取得系统控制权，必须执行 过病毒代码；病毒代码要被执行，病毒必须要有启动的机会。因此，我们只要使 病毒没有被执行的机会，那么病毒就不可能传染了。 病毒传染还有一个必要条件，那就是必须要有传染目标病毒宿主。 2 4 3 触发模块 触发模块根据预定条件满足与否，控制病毒的感染或破坏动作。病毒的触发 条件有多种形式，主要有：同期和时间触发、键盘触发、启动触发、磁盘访问触 发和中断触发等触发方式。病毒触发模块的主要功能为： ( 1 ) 检查预定触发条件是否满足； ( 2 ) 如果满足，返回真值； ( 3 ) 如果不满足，返回假值。 过于苛刻的触发条件，可能会使病毒有好的潜伏性，但也导致该病毒不易传 第二章计算机病毒概述 播，杀伤力降低。过于宽松的触发条件则导致频繁感染与破坏，容易暴露，使用 户做反病毒处理，也不能产生大的杀伤力。 2 4 4 破坏模块 破坏模块负责实施病毒的破坏动作。其内部是实现病毒编写者预定破坏动作 的代码。这些破坏动作可能是破坏文件、数据，也可能是破坏计算机的空间效率 和时间效率或使计算机运行崩溃。有些病毒并没有明显的恶意破坏行为，仅在被 感染的系统设备上表现出特定的现象，所以有时又被称为表现模块。在结构上， 破坏模块一般分为两部分，一部分判断破坏的条件，另一部分执行破坏的功能。 2 5 计算机病毒的一般分类及其作用机理 1 按照传染原理分类 引导区病毒n 剐 病毒隐藏在硬盘或软盘的引导区，当计算机从感染了引导区病毒的硬盘或软 盘启动，或是当计算机从受感染的软盘里读取数据时，引导区病毒就将自己拷贝 到计算机内存中来感染其他磁盘的引导区，或是通过网络传播到其他计算机上。 文件型病毒 病毒寄生在其他文件中，常常通过对它们的编码加密或是使用其它技术来将 主程序的可执行命令代替过去作为它自己的运行命令。之后还会把控制权还给主 程序，为的是计算机系统显得正常。当病毒运行的时候，它可以执行大量的操作， 但通常它进行自我复制，并且附着在系统的其他可执行文件上，同时在上面留下 标记，使以后不再感染己经带毒的文件。 宏病毒 宏病毒是一种特殊的文件型病毒。宏病毒是在一些软件开发商开始在他们的 产品中引入宏语言，并允许这些产品生成载有宏的数据文件之后出现的。例如、 微软的o f f i c e 系列产品包括很多的微软v b a 程序语言，这些语言使得m i c r o s o f t w o r d 和m i c r o s o f te x c e l 可以自动操作模板和文件的生成。 蠕虫病毒 蠕虫是一种通过间接方式而不是直接复制自己来传播的恶意软件。通过拦截 e - m a i l 系统等方式向世界各地发送自己的复制品。蠕虫程序与病毒一样具有破 坏性，传播速度比病毒还要快n 副。蠕虫的制作者经常利用用户的心理诱使用户下 载并运行蠕虫。 2 按照链接方法分类 青岛人学硕十学位论文 操作系统型病毒 这种病毒用它自身部分加入或耿代部分操作系统进行工作，主要针对引导扇 区( b o o ts e c t o r ) ，有的还可以攻击文件分配表( f a t ) ，具有很强的破坏力，可以 导致整个系统的瘫痪。比如b o u n c i n gb a l l 病毒、s t o n e d 病毒、p a k i s t a nb r a i n 病毒等就是这类病毒。 外壳性病毒 这类计算机病毒在实施传染的时候不改变宿主程序，而是将病毒的自身依附 于宿主的头部或者尾部。属于这类病毒的有j e r u s a l e m 病毒d b a s e 病毒，c h i n e s e b o m b 病毒等。 嵌入式病毒 这种病毒是将自身嵌入到现有程序中，把计算机病毒的主体程序与其攻击的 对象以插入的方式链接。这种计算机病毒一旦侵入程序体后也较难消除。如果同 时采用多态性病毒技术，超级病毒技术和隐蔽性病毒技术，将给当前的反病毒技 术带来严峻的挑战。 源码型病毒 该类病毒攻击高级语言编写的程序，该病毒在高级语言所编写的程序编译前 插入到原程序中，经编译成为合法程序的一部分。比如传染汇编语言程序的 w i n 3 2 w i n u x 病毒，传染c 语言和p a s c a l 语言的s r e v i r 病毒，以及传染其它高 级语言和脚本语言的病毒。 3 按照操作系统分类 攻击m a c i n t o s h 系统的病毒 这类病毒出现在苹果的机器上，比如m a c m a g 病毒，c r a b s 病毒，h y p e r c a r d 病毒等。 攻击d o s 系统的病毒 这类病毒出现最早、最多，变种也最多。虽然d o s 技术在1 9 9 5 年后基本上 处于停止状态，但是由于w i n d o w s 对d o s 系统的兼容，这种病毒仍然在继续产生 和传播。 攻击w i n d o w s 系统的病毒 1 9 9 5 年以后，w i n d o w s 操作系统取代d o s 系统成为主流的操作系统，自1 9 9 5 年1 月出现首例w i n d o w s 9 5 病毒( w i n 9 5 b o z a 病毒) 以来，攻击w i n d o w s 系统的 病毒就同益增多，现在计算机病毒的攻击事件主要就是发生在w i n d o w s 系统上。 并且造成巨大危害的绝大多数病毒都是w i n d o w s 病毒n 引。 攻击u n i x l i n u x 系统的病毒 最初由于u n i x l i n u x 系统在使用比较有限，针对这类操作系统的病毒也比 较少，但是随着u n i x 系统特别是l i n u x 系统的广泛应用，这类系统也不再是安 第- 二章计算机病毒概述 全的乐土。随着l i n u x 系统的更加广泛的应用，针对这类操作系统的病毒将会不 断的增加。 以上是常见的病毒类型，因为病毒技术的复杂性，实际上还有很多其它类型 的病毒n 7 2 ，但基本上是以上技术的组合或扩展。 青岛人学硕十学何论文 第三章计算机反病毒技术的研究 3 1 计算机反病毒技术的产生与发展 随着计算机病毒的种类不断增加，并迅速蔓延到全世界，它对计算机安全构 成了巨大的威胁。计算机反病毒技术也就应运而生，并随着计算机病毒技术的发 展而发展u 9 1 。 2 0 世纪8 0 年代中期，计算机病毒刚刚丌始流行，病毒种类虽然不多，但危 害性很大，一个简单的病毒就能在短时问内传播到世界各个国家和地区。计算机 安全专家仓促应战，编制了一批早期的病毒消除软件。这时的消除病毒是病毒传 染的逆过程。 另外，还发现病毒消除软件本身也会染上病毒。于是反病毒技术界就设想能 否研制出一种既能对抗新病毒，又不怕病毒感染的新型反病毒产品。计算机反病 毒卡的出现，正是符合这种要求的反病毒硬件产品。防病毒卡的核心实质是把计 算机反病毒软件固化在r o m 中。从2 0 世纪8 0 年代末9 0 年代初，防病毒卡与 病毒消除软件并行使用，各司其职，互为补充，成为反病毒工作的重要工具啪】。 随着计算机病毒的不断变化和病毒技术的不断更新，防病毒卡也逐渐失去存 在的价值，衰落出市场，与此对应的是各种反病毒软件开始r 益风行起来。经过 十几年的发展，逐步经历了好几代反病毒技术。 第一代反病毒技术是采取单纯的病毒特征代码分析，将病毒从带毒文件中清 除掉。这种方式可以准确地清除病毒，可靠性很高。后来病毒技术发展了，特别 是加密和变形技术的运用，使得这种简单的静态扫描方式失去了作用。随之而来 的反病毒技术也发展了一步。 第二代反病毒技术是采用静态广谱特征扫描方法检测病毒，这种方式可以更 多地检测出变形病毒，但另一方面误报率也较高，尤其是用这种不严格的特征判 定方式去清除病毒带来的风险性很大，容易造成文件和数据的破坏。所以说静态 防病毒技术也是有难以克服的缺陷。 第三代反病毒技术的主要特点是将静态扫描技术和动态仿真跟踪技术结合 起来，将查找病毒和清除病毒合二为一，形成一个整体解决方案，能够全面实现 防、查、杀等反病毒所必备的各种手段，以驻留内存方式防止病毒的入侵，凡是 检测到的病毒都能清除，不会破坏文件和数据。但是随着病毒数量的增加和新型 病毒技术的发展，静态扫描技术将会使反毒软件速度降低，驻留内存防毒模块也 容易产生误报。 第四代反病毒则基于多位c r c 校验和扫描机理，综合了启发式智能代码分 第二章计算机反病毒技术的研究 析技术、动态数据还原技术( 能查出隐蔽性极强的压缩加密文件中的病毒) 、内 存解密技术、自身免疫技术( 防止自身染毒，防止自身被病毒强行关闭) 等先进 的计算机反病毒技术。它是一种已经形成且仍在不断发展完善的反病毒整体解决 方案，较好地改变了以前防毒技术顾此失彼、此消彼长的状态。 纵观计算机反病毒技术的产生和发展的整个过程，可以看出计算机病毒技术 的发展，推动了反病毒技术的发展，新的反病毒技术的出现，又迫使计算机病毒 再次更新其技术。两者相互激励，螺旋式上升，不断提高各自的技术水平。时至 今日，病毒与反病毒的斗争仍在继续。 从目前来看，计算机反病毒技术仍然滞后于病毒技术，当前的计算机病毒厂 商在计算机病毒的检测消除方面，都是发现一个新病毒后，立即分析它的运行机 制，感染原理，编制程序进行查杀，最后加入到反病毒软件中，或放在网上供用 户下载。不仅杀毒软件滞后于病毒，而且由于多态性病毒的出现，更增加了这种 分析的难度，这也是当前反病毒领域的瓶颈所在。因此，对未知病毒检测技术的 研究是反病毒技术领域研究的热点和难点。 3 2 传统的计算机病毒检测方法 本节将介绍一些传统的计算机反病毒技术及它们的技术原理和优缺点。虽然 这些技术有待进一步完善，但是它们出现的技术背景和具体技术思想，都可以为 我们研究和设计反病毒系统提供很好的借鉴。常见的检测病毒方法有：校验和法、 特征代码法、软件模拟法，启发式检测法。这些方法依据的原理不同，实现时所 需开销不同，检测范围不同，总之各有所长。下面对各种方法作一讨论。 3 2 1校验和法 将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件 中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出 的校