（计算机科学与技术专业论文）计算机病毒检测技术研究与实现.pdf

国防科学技术大学研究生院学位论文 捅姜 l f 随着计算机病毒越来越猖獗，计算机安全越来越受到人们的重视，计算机 反病毒技术也发展得越来越快。当今最新最先进的计算机反病毒技术，有实时 扫描技术、启发式代码扫描技术、虚拟机技术和主动内核技术等。这些技术各 有特点，但是应用起来仍然不够成熟。现有计算机反病毒软件虽然在对抗病毒 方面发挥了巨大咆作用，但是仍有不尽人意之处，尤其是对付未知病毒缺乏足 够有效的方法。j ， 本文透彻分析了计算机病毒的本质特征和传播手段，提出了一些未知病毒 检测方法。在综合研究了p e 文件格式和操作系统r i n g0 代码执行技术的基础 上，作者提出了一种检测w i n d o w s 平台下文件型病毒的方案，并给出了具体实 现，得到了比较好的测试结果。该方案具有不需要计算机病毒特征库、实时检 测和可防范未知病毒等技术特点。 本文还研究了入侵检测技术和程序演化技术等信息安全领域内的其他技 术，它们可以为计算机病毒检测和防范提供很好的借鉴。作者总结了两种基本 的入侵检测方法，并提出了入侵检测技术所需解决的一些问题；总结了各种程 序演化技术，阐述了这项技术应用在值：垦塞全领域的原理，并说明了几个实例， 最后指出了它在实际应用中存在的问题。 关键词：计算机反病毒技术病毒检测 。，、7 r in g0 特权级入侵检测程序演化 、7 墨堕型堂垫查奎堂翌壅生堕堂垡笙奎 a b s t r a c t w i t hc o m p u t e rv i r u s e sb e i n gm o r ea n dm o r er a m p a n t ，c o m p u t e rs e c u r i t y h a sb e e nd a idm o r ea t t e n t i o n a n da n t i v i r u st e c h n i q u e sa r ed e v e l o p e d m o r er a p i d l yt o o n o w a d a y st h e r ea r es o m en e wa n da d v a n c e da n t i v i r u s t e c h n i q u e s ， s u c ha sr e a l t i m e s c a n n i n g ， h e u r is t icc o d e s c a n n i n g ， v i r t u a lj 】a c h i n ea n da c t iv ek e r 力e lt e c h n iq u ee t c t h ea p p l ic a t i o no f t h e s e t e c h n i q u e s isn o tm a t u r ee n o u g he v e ni fe a c ho ft h e mh a s i t s c h a r a c t e r is t ic s n e wa n t i v i r u st e c h n i q u e is u p d a t e d a sn e wv i r u s a p p e a r sc o n s t a n t l y t h ee x is t i n ga n t i v i r u ss o f t w a r ep l a y sa ni m p o r t a n t r 0 1et od e a lw i t hc o m d u t e rv i r u s e s b u ti ts t i l lh a sn o ts a t is f i e dt h e s e c u r it vr e a u i r e m e n t sa n d1 a c k se f f e c t i v em e t h o d st od e a lw it hu n k n o w n v i r u s e se s p e c i a l l y t h ee s s e n t j a lc h a r a c t e r i s t jc sa n d p r o p a g a t j n gp r i n c i p l e so f c o m p u t e r v i r u s e sa r ea n a l y z e d t h o r o u g h l y i nt h ist h e s is a n ds o m e d e t e c t i o nm e t h o d st ou n k n o w nv i r u s e sa r ep r e s e n t e d a f t e rs t u d y i n gt h e f o r mo fp ef i le sa n dt h ee x e c u t i o nt e c h n i q u eo fr i n goc o d e sino p e r a t i n g s y s t e ms y n t h e t i c a l ly ， as c h e m et od e t e c tv i r u s e so ff i le t y p e u n d e r w i n d o w s p l a t f o r m h a sb e e n p u t f o r w a r d t h e i m p l e m e n t a t i o n a n d d e r f o r m a n c ea r ea 1s om e n t i o n e dh e r ei nd e t a il t h iss c h e m ed o e sn o tn e e d t h ec h a r a c t e r is t icd a t a b a s eo f c o m p u t e rv i r u s e s ，a n d c a nt a k e p r e c a u t io n sa g a in s t s o m eu n k n o w nv ir u s e sinr e a lt i m e t h ei n t r u s i o nd e t e c t i o nt e c h n i q u ea n dp r o g r a me v o l u ti o n t e c h n i q u e t h a tc a np r o v i d er e f e r e n c ef o rt h ed e t e c t i o na n dc le a n i n go fv i r us e s h a v ea l s o b e e ns t u d i e d t h e r ea r et w ok i n d so fi n t r u s i o nd e t e c t i o n s y s t e m su s e d i n c o m p u t e rs y s t e m sa n d l a n s t o d a y s 0 m e d i f f ic u l t c h a l l e n g e si ni n t r u s i o nd e t e c t i o ns y s te m sa r ep o i n t e do u t t h ep r o g r a m e v o l u t io nt e c h n i q u e a 门di t s a p p l i c a t i o nj ni n f o rj i 】a t i o n s e c u r i t ya r e s u m m a r iz e d1 a t e r a n ds o m ep r o b l e m sint h ep r a c t i c a la p p l ic a t i o no ft h is t e c h n io u ea r ei n d ic a t e da t1 a s t k e y w or d s ：c o m p u t e ra n t i v jr u st e c h n i q u e ， v ir u s d e t e c t i o n ， r in g0 p r iv ii e g e ， jn tr u s io nd e t e c t i o n ， p r o g r a me v o iu t i o n 第l i 页 国防科学技术大学研究生院学位论文 第一章绪论 1 1 课题背景 ， 计算机病毒一直是计算机用户和安全专家的心腹大患，虽然计算机反病毒 技术不断更新和发展，但是仍然不能改变被动滞后的局面，计算机用户必须不 断应付计算机病毒的出现。互联网的普及，更加剧了计算机病毒的泛滥。 2 0 0 1 年是计算机病毒危害特别严重的一年，不但新病毒层出不穷，还出现 了“红色代码”、“尼姆达”等几个影响广、破坏大的病毒，爆发了严重的病 毒疫情。“红色代码”和“尼姆达”两个病毒及其变种影响范围之广，破坏力 之大几乎可以和1 9 9 9 年的c i h 病毒相提并论。这两款病毒还采用了以前的病 毒从未使用过的一些技术，创造了病毒史上的几个第一： 1 ) 红色代码病毒第一次直接利用了w i n n t 和w i n 2 0 0 0 的系统漏洞进行传 播： 2 ) 尼姆达病毒吸取了几款病毒的特点，同时具备f u n l o v e 、网络蠕虫病毒 等病毒的传播方式； 3 ) 尼姆达病毒感染计算机以后，立即修改计算机的共享方式：这样的行为 使尼姆达病毒成为第一个同时具有木马特征的病毒； 4 ) 红色代码病毒同时攻击w i n d o w sn t 2 0 0 0 系列服务器系统和w i n d o w s 9 5 9 8 个人计算机系统，然后利用这些感染的计算机不停向外发送信息，致使 网络阻塞，破坏力巨大；这也是以往的病毒所没有的。 从最新几款病毒的特点和它们采用的最新技术，我们可以看出，随着网络 的目益普及，计算机病毒的传播和攻击方式也在发生变化。我们可以从中分析 出计算机病毒具有如下的发展趋势： 一) 病毒传播方式不再以存储介质为主要的传播载体，网络成为计算机病 毒传播的主要载体。 网络成为计算机病毒传播的最主要载体包含两个方面的含义。一方面计算 机病毒的传播被动地利用了网络：c i h 病毒是一款传统病毒，但是，它也可依 附在其他程序上面通过网络进行传播。另一方面计算机病毒主动利用网络进行 传播：比如f u n l o v e 病毒、尼姆达病毒这些病毒直接利用了网络特征，甚至可 以说如果没有网络，这些病毒完全没有发挥余地。 二) 传统病毒日益减少，网络蠕虫成为最主要和破坏力最大的病毒类型。 随着网络应用的日益广泛，计算机病毒减少了对传统传播介质的关注，网 络蠕虫成为病毒设计者的首选。除了网络具有传播广、速度快的优点以外，蠕 虫的一些特征也促使病毒制造者特别中意这种病毒类型：1 ) 蠕虫病毒主要利 用系统漏洞进行传播，在控制系统的同时，为系统打开后门，因此，病毒制造 者特别是有黑客趋向的病毒制造者会特别中意这种病毒；2 ) 蠕虫病毒编写简 单，不需要经过复杂的学习；传统病毒c i h 体现了病毒制造者对操作系统内核 第1 页 国防科学技术大学研究生院学位论文 的深入了解，而以欢乐时光( h a p p y t j m e ) 病毒为代表的一些蠕虫病毒使用简单 的脚本语言编写而成。只要仔细研究一下这些蠕虫病毒的源代码，就可以很容 易地编写一个相似的病毒出来。同时，由于其编码的简单性，甚至可以编写出 专门的病毒生产机，批量生成变种病毒。尽管这些病毒变种在技术上没有太多 创新，但是单纯使用特征码扫描的防病毒软件并不能识别这些极其相似的病 毒； 三) 病毒与木马技术相结合，出现带有明显病毒特征的木马或者带木马特 征的病毒。 单纯的病毒危害比较直接，那就是简单的破坏。而术马的危害性更大，黑 客们可以通过木马远程地控制计算机和获取计算机资源。现在，我们似乎已经 看到这两种技术的结合品，那就是尼姆达病毒。尼姆达病毒没有木马的最直接 的特征，但是，感染尼姆达病毒的计算机会留下后门。随着计算机病毒知识的 广泛传播，制造木马的黑客们会加紧对计算机病毒技术的研究，米加大术马的 传播速度和破坏效果。也许在不久以后就会出现木马与病毒的结合体。 四) 技术的遗传与结合。 计算机病毒技术的发展，也就是计算机最新技术的发展。当一种最新的技 术或者计算机系统出现时，病毒总能找到这些技术的薄弱环节进行利用和攻 击。同时，病毒制造者们还不断吸取已经发现的病毒技术，试图将这些技术融 合在一起，制造更具有破坏力的新病毒。尼姆达病毒就体现了这种趋势。尼姆 达病毒在传播方式上，同时利用了几种病毒的传播方式：1 ) f u n l o v e 病毒的 享传播方式；这是尼姆达病毒传播的主要方式之一，利用病毒的 i 拙功能，找 出网络上完全共享的资源，进入这些资源后，把计算机的磁盘改为共享方式， 继续寻找类似资源；2 ) 利用邮件病毒的特点查找邮件通讯录上的邮件地址人 肆进行传播；3 ) 利用系统软件漏洞进行传播。尼姆达病毒既采用了几种曾绎 让我们大为恼火的病毒传播方式，也展现了利用系统漏洞传播这一新的传播方 式。 五) 传播方式多样化。 除了传播手段的多样化，吸引用户“上当”的方式也多种多样。“库尔尼 科娃病毒”利用球迷们对球星的喜爱来将病毒激活；丽“裸妻病毒”则是利用 了人们的好奇心。后来出现的“投票病毒”利用的是人们对政治事件的兴趣， “求职信病毒”更是变本加厉，随机从几个语句中选择来引诱用户打开邮仆。 六) 跨操作系统的病毒。 随着1 jn u x 的普及，能运行在 血月份，已经发现可以同时感染 w 3 2 w i n u x 病毒。 in u x 平台下的病毒会越来越多。i m 在玄年 w i n d o w s 操作系统和l in u x 操作系统的 七) 手机病毒、信息家电病毒的出现。 手机病毒流传已久，只是没有大规模爆发。随着w a p 和信息家电的普及， 于帆和信息家i 【l 将逐步复杂和智能化，于机、信息家i u 和互联网的结合也会| 二l 益紧密，病毒制造者也会将兴趣和攻击目标逐步向手机和信息家电转移。在理 论上说，信息产品越复杂，和网络联系越紧密，这些信息产品的软件部分j 】：放 的程度也会越高，利用软件缺陷制造和传播病毒的几率也就越大。 第2 页 国防科学技术大学研究生院学位论文 综上所述，我们可以发现，网络的发展在一定程度上促使病毒的发展，丽 日新月异的技术，更加给病毒提供了存在空间。计算机病毒的传播和攻击方式 的变化，也促使我们不断调整防范计算机病毒的策略，提升和完善计算机反病 毒技术，以对抗计算机病毒的危害。 1 2 1 主要研究工作 1 2 主要研究工作和贡献 在硕士论文期间，作者在分析计算机病毒本质特征的基础上，在计算机病 毒检测的理论研究和实现技米方面都做了大量的工作。其中包括： l 、对计算机网络反病毒技术的产生、发展和现状进行了广泛的分析与研 究。 作者搜寻和查阅了大量文献，对计算机反病毒技术的产生和发展有了一个 初步的了解。对计算机反病毒技术产生、发展和现状的研究分析表明，计算机 病毒的产生和迅速传播，对计算机安全构成了巨大的威胁，计算机反病毒技术 因此应运而生，并随着计算机病毒技术的发展而不断发展。 作者重点分析了实时反病毒技术、启发式代码扫描技术、虚拟机技术和主 动内核技术等最新的计算机反病毒技术。这些技术都是在传统的计算机反病毒 技术基础上发展起来的，虽然它们还具有不够成熟、实现难度太高、对系统性 能影响太大等不足之处，但是它们代表了计算机反病毒技术未来的发展方向。 作者也试图把这些技术和思想融合到自已的反病毒方案设计和具休实现当中。 2 、深入分析了计算机病毒的本质特i e ，总结和提j = i 了一些病毒榆测的方 法。 计算机病毒的传染性是计算机病毒的本质特征。计算机病毒要完成传染必 须完成三个主要任务：控制权歌取、自我定位和复制。它们的实现方式依病毒 的传播方式和攻击目标不同i i 各有差异。按计算机病毒传播手段和攻击对象米 区分，可以把计算机病毒划分成引导型病毒、文件型病毒和混合型病毒三种类 型。它们寄生的环境分别是磁盘引导区和磁盘文件，病毒运行时则会在内存中 动态存储。作者根据病毒的特征分别对这几类病毒进行了分析，并日总结和提 了一些病毒检测的方法。 文件型病毒中很大一部分是宏病毒，它主要感染0 f f i c e 文档，而且数量 众多，传播广泛。作者对宏病毒的机理、传播模型均做了较为细致的分析，并 提出了一个智能的搜索模型，体现了启发式扫描技术的思想。 3 、提出并实现了一种在w i n d o w s 平台下检测文件型病毒的方案。 在彻底分析计算机病毒的本质特征的基础上，针对文件型病毒传播机理和 p e 文件格式的特点，作者提出了一种在w i n d o w s 平台下检测文件型病毒的方 案。这个方案综合了实时反病毒技术和主动内核技术的思想，能实时捕软到病 毒感染文件的动作。 依据以上的方案，作者具体实现了个w i n d o w s 平台下检测文件型病毒的 第3 页 国防科学技术大学研究生院学位论文 实验系统。该系统具有无需病毒特征库，可即时查毒和可防范未知病毒等特点。 在系统测试中，该实验系统取得了较好的测试结果。 4 、系统研究了在w i n d o w s 平台下运行r i n g o 代码的方法。 计算机病毒无论是感染执行文件还是破坏机器，大部分操作都要在r i n g 0 特权级完成。另外，不管是检测还是清除计算机病毒，更加需要在r j n g0 特 权级运行大量代码，因此深入系统地研究在w i n d o w s 平台下运行r i n g0 代码 的方法，是研究计算机病毒运行机制的需要，也是实现计算机病毒检测系统， 完善计算机反病毒技术的需要。 作者系统研究了w i n d o w s 平台下使用虚拟设备驱动程序和构造调用门使用 系统表这两种获得l t in g0 权限的方法。虽然同为w i n d o w s 家族，但是在w i n d o w s 9 5 9 8 中和w i n d o w s2 0 0 0 n t 中实现这两种方法的技术途径和技术原理并不一 样。 5 、研究总结了两种基本的入侵检测方法，并提出了入侵检测技术所需解 决的一些问题。 尼姆达病毒的出现，标志着病毒制造者已经开始把病毒技术与木马等黑客 技术结合起来。病毒的发展和用户的需要都要求杀毒软件具有防黑客的功能。 从原理上来说，病毒检测应该是入侵检测的一个子类。病毒检测和入侵检测可 以相互借鉴彼此的思想和技术，病毒防火墙和入侵检测系统也有y l ：多相同之 处。最终两者会成为一个整体，为计算机用户提供一个可靠的安全屏障。因此 研究入侵检测的方法，分析现有入侵检测技术中存在的一些问题，对研究和实 现计算机病毒检测技术具有很高的理论意义和实用价值。 作者总结了基于审计的入侵检测和基于状态的入侵检测两种入侵检测方 法。在分析这两种方法的过程中，作者提出了入侵检测技术需要解决的一些问 题，比如如何消除误报率和漏报率，如何进行灾难恢复等，这些问题在计算机 病毒检测t i 一同样存在，仍然有待解决，所以分析入侵检测技术对计算机病毒榆 测的研究具有借鉴意义。 5 、总结和研究了程序演化技术，并探讨了它在信息安全方面的应用。 许多病毒会检测系统中反病毒软件的存在，如果检测到杀毒软件的存在 病毒会采取技术手段米捌避杀毒软件的检测，或者直接破坏杀毒软件，现有的 反病毒软件亦不能逃脱自身被病毒感染和破坏的命运。采用程序演化技术，可 以改变杀毒软件的代码形式，使病毒无法判断这些软件是否存在。 利用程序演化技术生成不同的操作系统版本可以有效地抵御分布式拒绝 服务攻击，也能抑制计算机病毒在网络中大范围地传播。如果能找到一种适当 的有效的演化防御机制，就有可能创建大量多样的对终端用户没有影响或者影 响刁i 大的安全防御方法，也就能火火提高病毒检测等安拿软件的自身免疫能力 和使剧效果。 1 2 2 主要贡献 在论文的理论研究和工程应用中，作者主要作出了以下几个力而的贝献： 第4 页 国防科学技术大学研究生院学位论文 1 、研究和分析了计算机病毒的本质特征，提出了几种检测未知计算机病 毒的方法。 作者根据病毒的传播方式和攻击目标的不同，分别分析了它们的存在环境 和传播手段等静态和动态特征，总结和提出了一些未知病毒的检测方法。相关 研究工作整理成论文计算机病毒的本质特征分析及检测，发表在计算机 科学第2 8 卷9 月增刊上。 2 、提出并实现了一种检测w i n d o w s 下文件型病毒的方案。 该方案具有无需病毒特征库，可即时查毒和可防范未知病毒等特点。依据 该方案具体实现的实验系统也取得了较好的测试结果。相关研究工作整理成论 文一种防范w in 9 x 中文件型病毒的方案，发表在计算机工程与科学第 2 3 卷第4 期上。 3 、研究和整理了在w i n d o w s 平台下执行r i n g0 代码的几种方法。 作者系统研究了在w in d o w s 平台下使用虚拟设备驱动程序和构造调用门使 用系统表这两种获得r i n g0 权限的方法。相关研究工作整理成论文在w i n d o w s 中执行r i n g0 特权级代码的几种方法，发表在计算机应用第2 1 卷第6 期上。 4 、研究和整理了入侵检测技术并分析了其中存在的一些问题。 作者总结了基于审计的入侵检测和基于状态的入侵检测两种入侵检测方 法。在分析这两种方法的过程中，作者提出了入侵检测技术所需要解决的一些 问题，比如如何消除误报率和漏报率，如何进行灾难恢复等。相关研究工作整 理成论文入侵检测技术及待解决的一些问题，发表在计算机科学第2 8 卷9 月增刊上。 5 、研究了程序演化技术，并探讨了其在信息安全中的应用。 利用程序演化技术生成形态各异的操作系统和安全软件，可以提高攻击的 复杂性和难度，最终达到保护信息的目的。作者总结了各种程序演化技术，阐 述了这项技术应用在信息安全中的原理，说明了几个实例，最后指出了它在实 际应用中存在的问题。相关研究工作整理成论文程序演化技术及其在信息安 全中的应用，已被计算机工程与科学录用。 1 3 论文的组织 本文的主要内容可分为计算机反病毒技术综述、计算机病毒本质特征分析 及其清除、一种防范w i n d o w s 下文件型病毒的方案的设计与实现、核心技术和 相关领域技术的研究四个部分。 第二章为计算机反病毒技术综述，其中主要介绍了计算机反病毒技术的产 生、发展和现状，并重点介绍了实时反病毒技术、启发式代码扫描技术、虚拟 机技术和主动内核技术等几种最新的技术。 第三章给出了计算机病毒本质特征的分析并提出了几种清除方法。根据病 毒的分类和病毒寄生与攻击的部位，分别进行了分析。 第四章和第五章分别阐述了一种防范w i n d o w s 下文件型病毒的方案的设i 十 与实现。 第5 页 国防科学技术大学研究生院学位论文 核心技术和相关领域技术的研究主要体现在第六章、第七章、第八章和第 九章。第六章主要说明了几种在w i n d o w s 下执行r i n g 0 特权级代码的技术； 第七章分析了入侵检测技术：第八章探讨了程序演化技术，并指出了它在信息 安全中的应用；第九章展望了未来的研究工作和研究方向。 第6 页 国防科学技术大学研究生院学位论文 第二章计算机反病毒技术的产生、发展和现状 2 1 引言 ， 计算机病毒的产生和迅速蔓延，使计算机系统的安全受到了极大的威胁， 人们意识到计算机安全的重要性，也因此产生了对计算机反病毒技术的需求。 随着计算机病毒采用的新技术不断出现，计算机反病毒技术也不断更新和发 展。本章阐述了计算机反病毒技术产生和发展的历史，描述了计算机反病毒技 术的现状，最后具体介绍了几种最新的计算机反病毒技术，它们代表了计算机 反病毒技术未来发展的方向。 2 2 计算机反病毒技术的产生与发展 自1 9 8 7 年1 0 月第一例计算机病毒b r a i n 诞生以来，计算机病毒的种类不 断增加，并迅速蔓延到全世界，对计算机安全构成了巨大的威胁。计算机反病 毒技术也就应运而生，并随着计算机病毒技术的发展而发展。 2 0 世纪8 0 年代中期，计算机病毒刚刚开始流行，病毒种类虽然不多，但 危害性很大，一个简单的病毒就能在短时间内传播到世界的各个国家和地区。 计算机安全专家仓促应战，编制了一批早期的病毒消除软件。消除病毒是病毒 传染的逆过程。以磁盘病毒为例，磁盘病毒将病毒原体寄生在磁盘的引导区或 其他部位，通过磁盘的读写和复制进行传播。磁盘病毒的消除正是找出病毒在 磁盘上的寄生部位，把病毒清除、恢复磁盘原状的过程。所以病毒消除软件成 为了对付病毒的有效工具。早期的病毒消除程序是一对一的，即一种病毒消除 程序消除一种病毒。2 0 世纪8 0 年代末，计算机病毒的数量开始急剧膨胀，达 到上千种之多，运行上千种病毒消除软件来对抗计算机病毒显然不太现实，并 且计算机新病毒的数量仍然在不断增长。 毫无疑问，计算机病毒消除软件是对抗计算机病毒、解除病毒危害、保障 计算机系统安全的有力工具。但是病毒消除软件的缺点也很明显，除了只能检 测、清除已知病毒，对新病毒无能为力外，人们还发现病毒消除软件本身也会 染上病毒。于是反病毒技术界就设想能否研制出一种既能对抗新病毒，又不怕 病毒感染的新型反病毒产品。计算机防病毒卡的出现，正是符合这种要求的反 病毒硬件产品。 防病毒卡的核心实质上是把计算机反病毒软件固化在r o m 中。它的出发点 是想以不变应万变，通过动态驻留内存和截获中断控制权来监视计算机的运行 情况，根据总结出来的病毒行为规则和经验来判断是否有病毒活动。防病毒卡 可以截获中断控制权来使内存中的病毒瘫痪，使其失去传染别的文件和破坏信 息资料的能力，这正是防病毒卡“带毒运行”功能的基本原理。防病毒卡具有 不怕计算机病毒感染、预先启动、实时监控、不占用系统内存等突出优点。从 第7 页 国防科学技术大学研究生院学位论文 2 0 世纪8 0 年代末到9 0 年代初，防病毒卡与病毒消除软件并行使用，各司其职， 互为补充，成为反病毒工作的重要工具。我国计算机反病毒技术的研究和发展， 也正是从研制防病毒卡开始的。 防病毒卡的主要缺点有与正常软件特别是国产软件兼容性不够好，误报、 漏报率比较高，影响系统运行速度以及软硬件升级困难等。而防病毒卡最致命 的缺陷在于其防病毒技术的不成熟。病毒千变万化，技术手段越来越高，氽图 以一种固定不变的技术来剥付病毒是不可能的。防病毒卡的动态临测技术、病 毒行为判定规则，+ 对于检测计算机病毒有相当不错的功效，这些技术是防病毒 卡的精华。但是作为一个产品，只有这部分技术是远远不够的，它无法应付计 算机病毒的不断变化和病毒技术的不断更新。所以到2 0 世纪9 0 年代中期，防 病毒卡的市场开始不断萎缩。d i r 2 病毒的出现更是成为防病毒卡的终结者。它 不具有以往人们认定计算机病毒所具有的明显特征，更不匹配防病毒卡中定义 的病毒的“最基本特征”和行为规则。d i r 2 病毒改写了d o s 系统，使防病毒一k 无法检测到病毒自身。d i r 2 病毒使防病毒卡形同虚设，彻底攻破了防病毒卡设 置的安全防线。 到2 0 世纪9 0 年代中期，病毒数量继续增多、技术不断提高，杀毒和防毒 产品各自分立使用已经很难满足用户的需求。随着防病毒卡失去存在的价值， 退出历史舞台，市场开始出现“查杀防合一”的集成化反病毒产品，把各种反 病毒技术有机地组合到一起，共同对付计算机病毒。如果说防病毒卡是“治标”， 那么后期的集成化反病毒产品则是“标本兼治”，它可以彻底干净地清除计算 机病毒。 在病毒的自动检测技术方而，反病毒软件均采用特征代码检测法，也就是 说，扫描系统中的程序，如果发现程序的二进制代码中带有某种痫毒的特征代 码，便n j 发现与该特征码对应的计算机病毒。以特征码检测法为核心的反病毒 技术也是在与计算机病毒的对抗中不断发展和成熟的。 第一代反病毒技术采取单纯的病毒特征码来判断，将病毒从带毒文件中清 除掉。这种方式可以准确地清除病毒，误报率低，可靠性高。后来病毒技术的 发展，特别是加密和变形技术的运用，使得这种简单的静态扫描方j _ i = 失去了作 用。随之而米的反病毒技术也发展了一步。 第二代反病毒技术采用静态广谱特征扫描方法来检测病毒，这种方式可以 更多地检测出变形病毒，但另一方面也带来了较高的误报率，尤其是用这种，1 i 严格的特征判定方式去清除病毒带来的风险性很大，容易造成文件和数捌的破 坏。所以说静态防病毒技术具有难以克服的缺陷。 第三代反病毒技术的主要特点是将静态扫描技术和动态仿真跟踪技术结 合起来，将查找病毒和清除病毒合二为一，形成一个整体解决方案，全面实现 防、查、杀等反病毒所必备的各种手段，以驻留内存方式防止病毒的入侵，凡 是检测到的病毒都能清除，不会破坏文件和数据。随着病毒数量的增加和新型 病毒技术的发展，静态扫批技术将使查毒软件速度降低，驻囝内存的防毒模块 容易产生误报。 筇必代反病毒技术则基于多位c r c 校验和扫描机理，综合了启发式智能代 码分析技术、动态数据还原技术( 能查出隐蔽性极强的压缩加密文件t i 的病 第8 页 国防科学技术大学研究生院学位论文 毒) 、内存解毒技术和自身免疫技术等先进的计算机反病毒技术。它是一种已 经形成且仍在不断发展完善的计算机反病毒整体解决方案，较好地改变了以前 防毒技术顾此失彼、此消彼长的状态。 从计算机反病毒技术的产生和发展的整个过程，我们可以看到计算机反病 毒技术的发展趋势，是从一对一地个个击破，向“查杀防合一”的反病毒接体 解决方案发展；从静态磁盘检测向动态内存扫描、动态数据还原发展；从单纯 的病毒特征码检测，向启发式代码扫描、动态仿真跟踪发展；从单纯软件检测 和硬件防范，向软件与硬件结合形成一个整体安全屏障发展。 “魔高一尺，道高长”，虽然出现的新病毒层出不穷，但是反病毒技术 的不断完善和发展，终将为计算机用户提供更加安全可靠的计算机系统。 2 3 几种新型的计算机反病毒技术 本节详细介绍了一些最新的计算机反病毒技术。虽然这些技术有待进一步 完善，但是它们出现的技术背景和具体的技术思想，都可以为我们研究和设计 计算机反病毒系统提供很好的借鉴。这些技术也代表着计算机反病毒技术未来 的发展方向。 2 3 1 实时反病毒技术 早在2 0 世纪8 0 年代末，就有一些单机版静态杀毒软件在国内流行。但因 为新病毒层出不穷以及产品售后服务和升级等各方面的原因，用户感觉这些杀 毒软件无力全面应付病毒的大举进攻。面对这种局面，计算机专家提出：为防 治计算机病毒，可将重要的d o s 引导文件和重要的系统文件，用类似于网络无 盘工作站那样的方法固化到p c 机的b 1 0 s 中，以防止计算机病毒对这些文件的 感染。这可算是实时反病毒概念的雏形。 虽然固化操作系统的设想对防病毒来说并不可行，但没过多久各种防病毒 卡就在全国各地纷纷登场了。这些防病毒卡插在系统主板上，实时监控系统的 运行，对类似病毒的行为及时提出警告。这些产品一经推出，其实时性和对未 知病毒的预报功能便深受被病毒弄得焦头烂额的用户的欢迎，一时间，实时防 病毒概念在国内大为风行。据业内人士估计，当时全国各种防病毒卡多达百余 种，远远超过了防病毒软件产品的数量。不少厂家出于各方面的考虑，还将防 病毒卡的实时反病毒模式转化为驻留内存软件模块的形式，并以应用软件的方 式加以实现，同样也取得了不错的效果。 为什么防病毒卡或d o s t s r 实时防病毒软件能够风行一时? 从表面上看， 是因为当时静态杀毒技术发展还不够快，而且售后服务与升级未能及时跟上用 户的需要，从而为防病毒卡提供了一个发展的契机。但究其最根本的原因，还 是因为以防病毒卡为代表的产品，较好地体现了实时反病毒的思想。 如果单纯从应用角度考虑，用户对病毒的存在情况是一无所知的。用户判 断系统是否被病毒感染，唯一可行的办法就是用反病毒产品对系统或数据进行 检查，但用户每时每刻都主动使用这种办法进行反病毒检查是不现实的。用户 第9 页 国防科学技术大学研究生院学位论文 渴望的是不需要他们干预就能够自动完成反病毒过程的技术，而实时反病毒思 想正好满足了用户的这种需求。这才是防病毒卡或d o s t s r 防病毒软件在当时 能够大受用户欢迎的根本原因。 实时反病毒技术一向为反病毒界所看好，被认为是比较彻底的反病毒解决 方案。多年来其发展之所以受到制约，一方面是因为它需要占用一部分系统资 源而降低系统性能，使用户不堪忍受；另一方面是因为它与其他软件( 特别是 操作系统) 的兼容性问题始终没有得到很好的解决。 近两年来，随着硬件处理速度的不断提高，实时反病毒技术所造成的系统 负荷已经降低到了可被我们忽略的程度，而w i n d o w s 9 5 9 8 和n t 2 0 0 0 等多任 务、多线程操作系统，又为实时反病毒技术提供了良好的运行环境。所以从1 9 9 8 年底开始，实时反病毒技术又重整旗鼓，卷土重来。表面看来这也许是某些反 病毒产品争取市场的重要举措，但通过深入分析不难看出：重提实时反病毒技 术是信息技术发展的必然结果。 为什么在w i n d o w s 环境下需要使用实时反病毒技术? 这是由w i n d o w s 的多 任务特性决定的。列于同时运行多个任务的情况，传统基于d o s 的反病毒技术 无法在w i n d o w s 环境下发挥正常的反病毒功能，因为它无法控制其他任务所使 用的资源。只有在较高优先级上，对系统资源进行全面、实时的监控，爿有可 能解决w i n d o w s 多任务环境下的反病毒问题。 实时反病毒概念最大的优点是解决了用户对病毒的“未知性”，或者说是 “不确定性”问题。不借助病毒检测工具，普通用户只能靠感觉来判断系统中 有无病毒存在。而实际上等到用户感觉系统t | 1 确实有病毒在做怪的时候，系统 已到了崩溃的边缘。而实时反病毒技术能及时地向用户报警，督促用户在病毒 疫情火规模爆发以前采取有效措施。 实时监测是先前性的，而不足滞后性的。任何程序在调用之前都先被过滤 一遍。一有病毒侵入，它就报管，并自动杀毒，将病毒拒之门外，做到防患于 未然。相对病毒入侵甚至破坏以后再去采取措施来挽救的做法，实时监测的安 全性更高。 实时反病毒技术能够始终作用于计算机系统之中，监控访问系统资源的一 切操作，并能够对其中可能含有的病毒代码进行清除，这也正与医学卜“及早 发现、及早根治”的早期治疗方针不谋而合。 互联网的普及使网络成为病毒传播的最佳途径，在用户享受联网带束的 方便的嗣时，也不得不面对更多的病毒的威胁。计算机用户迫切需要具有实时 性的反病毒软件，以实时检测不可信的信息资源。 病毒防火墙的概念诈是为真i f 实现实时反病毒概念的优点而提出来的。病 毒防火墙其实是从近几年颇为流行的信息安全防火墙中延伸出来的一种新概 念，其宗旨就是对系统实施实时监控，对流入、流出系统的数据中川能含有的 病毒代码进行过滤。这一点j 下好体现了实时防病毒概念的精髓一一解决了用j i 对病毒的“未知性”问题。 与传统防杀毒模式相比，“病毒防火墙”有着明显的优越性。首先，它刈 病毒的过滤有着良好的实时性。也就是说病毒一旦入侵系统或从系统向典他资 源感染时，它就会自动检测到并加以清除，这就最大可能地避免了病毒对资源 第1 0 页 国防科学技术大学研究生院学位论文 的破坏。其次，“病毒防火墙”能有效地阻止病毒从网络向本地计算机系统的 入侵。而这一点恰恰是传统杀毒工具难以实现的，因为它们只能静态清除网络 驱动器上已被感染文件中的病毒，对病毒在网络上的实时传播却无能为力，而 “实时过滤”技术就使清除网络病毒成了“病毒防火墙”的拿手好戏。再者， “病毒防火墙”的“双向过滤”功能保证了本地系统不会向远程( 网络) 资源 传播病毒。这一优点在使用电子邮件时体现得最为明显，因为它能在用户发出 邮件前自动将其中可能含有的病毒全部过滤掉，确保不会对他人造成无意的损 害。最后，“病毒防火墙”还具有操作更简便、更透明的好处。有了它自动、 实时的保护，用户再也无需隔三差五就得停下正常工作而去费时费力地查毒、 杀毒了。 2 3 2 启发式代码扫描技术 病毒和正常程序的区别可以体现在许多方面，比较常见的如一个正常的应 州程序通常会在最初的指令段中检查命令行输入有无参数项，清屏并保存原来 的屏幕显示等，而病毒程序则从来不会这样做，其最初的指令通常是直接写盘 操作、解码指令，或搜索某路径下的可执行程序等相关操作的指令序列。这些 明显的不同之处，一个熟练的程序员在调试状态下只需一瞥便可一目了然。启 发式代码扫描技术实际上就是把这种经验和知识移植到一个反病毒软件的具 体程序中。 因此，“启发式”指的就是“自我发王见的能力”或“运用某种方式或方法 去判定事物的知识和技能。”一个运用启发式扫描技术的病毒检测软件，实际 上就是以特定方式实现的动态解释器或反编译器，通过对有关指令序列的反编 译逐步理解和确定其蕴藏的真正动机。例如，如果一段程序以如卜序列开始： “m o va h ，5 ；l m ，1 3 h ”， 即训用格式化磁盘操作的b 1 0 s 指令，那么这段程 序就值得引起警觉，尤其是假如这段指令之前既不存在取得命令行关于执行的 参数选项，又没有要求崩户交互地输入是否继续进行的操作指令时，可以有把 握地认为这是一个病毒或者包含恶意代码的程序。 在具体实现上，启发式扫描技术是相当复杂的。通常这类病毒检测软件要 能够识别许多可疑的程序代码指令序列，如格式化磁盘的操作、搜索和定位各 种可执行程序的操作、实现驻留内存的操作、调用非常的或未公) i ：的系统功能 的操作等。所有这些功能操作将按照安全和可疑的等级排序，根掘病毒可能使 用和具备的特点而赋予不同的加权值。 举例来说格式化磁盘的功能操作几乎从不出现在正常的应用科序中，而病 毒程序中出现的几率则比较高，于是这类操作指令序列可获得较高的加权值， 而驻留内存的功能不仅病毒要使用，很多应用程序也有可能使用，于是给予较 低的加权值。如果一个程序的加权值的总和超过一个事先定义的阈值，那么， 病毒检测程序就可以声称“发现病毒! ”仅仅一项可疑的功能操作远不足以触 发“病毒报警”的装置，最好把多种可疑功能操作同时并发的情况定为发现病 毒的报警柏准。 为了方便用户或研究人员直观地检测被测试程序中可疑功能渊用的存在 第1 l 页 国防科学技术大学研究生院学位论文 情况，病毒检测程序可以为不同的可疑功能调用设置不同的标志。例如，t b s c a n 这一病毒检测软件就为每一项它定义的可疑病毒功能调用赋予了一个标志旗， 如f 。r ，a ，这样一来就可以直观地帮助我们对被检测程序是否染毒进行主 观判断。对于某个文件来说，被点亮的标志旗越多，染毒的可能性就越大。常 规干净程序甚至很少会点亮一个标志旗，但如果要作为可疑病毒报警，则至少 要点亮两个以上标志旗。如果再给不同的标志旗赋予不同的加权值，情况要复 杂得多，检测的智能性与准确率也要商得多。 正常的系统内核程序、编译程序也有可能会点亮标志旗，这就有可能带来 误报。启发式代码扫描技术可以采取以下措施来降低误报率。 对于病毒行为的准确把握和关于可疑功能调用集合的精确定义：除非满足 两个以上的病毒重要特征，否则不予报警； 对于常规的应用程序代码的认知和识别能力：某些编译器提供运行时实时 解压或解码的功能及服务例程，这些情形往往是导致检测时误报的原因，应当 在检测程序中加入认知和识别这些情况的功能模块，以避免再次误报： 对于特定程序的识别能力：如一些内存分配、优化工具和磁盘格式化软件 等，含有类似“无罪假定”的功能，即首先假定计算机系统是不含病毒的。许 多启发式代码分析和检测软件都具有自学习功能，能够记录下那些并非病毒的 文件并在以后的检测过程中避免再次误报。 虽然存在误报率较高的不足，但和其它的扫描识别技术相比，启发式代码 分析和扫描技术几乎总能提供足够的辅助判断信息，让我们最终判定被检测的 目标对象是染毒的，还是干净的。一个精心设计的算法支持的启发式扫描软件， 在不依赖任何对病毒预先的学习和了解的辅助信息，如：特征代码、指纹字串、 校验和等的支持下，可以毫不费力地检查出9 0 以上的刈它来说是完全未知的 新病毒。可能仍然会出现一些误报和漏报的情况，适当加以控制，这种误报的 概率可以降低到o 1 以下。与传统的扫描技术相结合，启发式代码扣描技术可 以使病毒检测软件的检出率提高到前所未有的水平，而且还可大大降低总误报 率。 启发式代码扫描技术实际上是应用了人工智能原理的一种计算机反病毒 技术，它向我们展示了一种通用的、不需升级( 较少升级或不依赖十升级) 的 病毒检测技术和产品的可能性，由于具有诸多传统技术无法相比的强大优势， 必将得到普遍的应用和迅速的发展。资料显示，目前国际上最著名的排名在前 五名的反病毒软件产品均声称应用了这项技术，这也从侧面证明了启发式代码 手| 描技术的先进性和强大生命力。在新病毒、新变种层“j 不穷，病毒数量不断 激增的今天，这种新技术的产生和应用更具有特殊的重要意义。 2 3 3 虚拟机技术 虚拟机技术是国际反病毒领域的前沿技术。这种技术更接近于人丁分析， 智能化程度高，查毒的准确性也可以达到很高的水平。 首先我们描述一f 病毒程序分析员的工作：肖拿到一个可疑程序样术时， 我们并不敢直接运j j 它，囚为它可能是带毒的，而且极可能是未知的尤法评仙 第1 2 页 国防科学技术大学研究生院学位论文 破坏后果的新病毒。要分析它，我们必须做的是跟踪它的执行，查看它是否有 传染模块，是否有破坏模块。如果一个可疑程序样本中有用于传染的模块，我 们就认定它是病毒，如果它还有破坏模块，我们就将它归入恶性病毒。 根据对计算机病毒的本质特征的分析，我们可以知道判定样本是否是病毒 的重要依据在于样本是否具有传染性。如果能让程序判定一个“样本”是否有 传染性，也就解决了反病毒领域中的一个重要难题“预警”。 传统的程序员分析病毒会使用d o s 的d e b u g 程序，现在更多的人选择 s o f t i c e 等运行在w i n d o w s 平台下的功能更强大的工具软件。但归结到一点， 这类动态调试软件的核心就是单步跟踪执行被调试程序的每一条语句。 事实上，更为智能的做法是：用程序代码虚拟一个系统运行环境，包括虚 拟内存空间、c p u 的各个寄存器，甚至将硬件端口