（计算机软件与理论专业论文）基于单个节点的蠕虫检测模型研究.pdf

摘要 摘要 计算机病毒对社会经济生活的影响越来越大，计算机反病毒技术是网络安全 的一个重要研究内容。随着计算机技术的发展和网络的普及，网络蠕虫成为目前 出现最多、影响最大的计算机病毒。 网络蠕虫与传统的计算机病毒不同，它不需要依附宿主程序，不需要借助用 户或其他程序的干涉就可以自主的运行或传播，是一种独立的可执行程序。它不 仅可以像传统病毒那样对被感染的系统( 操作系统、应用程序、数据等) 造成危 害，而且对网络产生巨大的影响，浪费网络带宽，甚至造成网络瘫痪。所以网络 蠕虫不仅具有传统计算机病毒的传染性和破坏性的特性，还具有一些网络入侵的 特性( 如：某些蠕虫对外传播可以造成对网络的拒绝服务攻击) 。 现有比较成熟的反病毒软件可以对已知的网络蠕虫进行查杀，但其利用的反 病毒技术主要是基于特征码扫描技术，忽略了蠕虫的网络特性，把网络蠕虫作为 一般的计算机病毒来对待。现有的专门对网络蠕虫检测技术的研究多是基于入侵 检测技术，重点根据蠕虫的网络入侵特性而忽略了蠕虫的病毒特性。以上两种防 治蠕虫的方法没有对蠕虫特性进行全面考虑，存在一定的缺陷。 本文对蠕虫的特性进行了全面的考虑，综合传统的反病毒技术和入侵检测技 术提出一个基于单个节点的蠕虫检测模型。该模型充分考虑了蠕虫的病毒特性和 网络特性，解决了从单个节点预防已知和未知蠕虫的问题。该模型分为三个模块： 网络监听模块借鉴网络监听和防火墙技术，用于截取可能存在蠕虫的网络数据包； 蠕虫判断模块使用了特征码扫描和虚拟机技术，用于判断己知和未知的蠕虫病毒， 其中虚拟机技术中还借鉴了入侵检测技术中的异常性检测技术来判断未知蠕虫的 行为；响应模块实现蠕虫的清除和特征字段的提取。 本文对在w i n d o w s 操作系统下如何实现该模型进行了技术上的研究，并进行 了网络监听模块的模拟实现和实验。验证了蠕虫的p e 格式结构。总结了该模型 存在的问题、需要进一步研究的问题和发展的方向。 各种安全技术的相互渗透和结合是网络安全发展的方向。本文针对网络蠕虫 的防治进行了这方面的设计、研究和实现。 关键字：反病毒；蠕虫；检测模型；网络监听；虚拟机 华南理工大学硕士学位论文 a b s t r a c t c o m p u t e rv i r u si s ag i g a n t i ct h r e a tt oi n f o r m a t i o ns e c u r i t ya n de c o n o m y a n t i - v i r u st e c h n o l o g yi so n eo ft h ei m p o r t a n tr e s e a r c hi t e m so fn e t w o r k - s e c u r i t y n e t w o r kw o r mi sb e c o m i n gt h em o s th a r m f u lv i r u sa tp r e s e n tw i t ht h ed e v e l o p m e n to f t h ec o m p u t e rt e c h n o l o g ya n di n t e r n e t n e t w o r kw o r mi sd i f f e r e n tw i t ht h en o r m a lv i r u s i td o e sn o tn e e dt ob ei n s e r t e d i n t oah o s tp r o g r a mo rt os p r e a da n de x e c u t er e l y i n go no t h e ro p e r a t i o n s i ti sak i n d o f p r o g r a mw h i c hc a n b et o t a l l yi n d i v i d u a la n de x e c u t a b l e i tc a nd oh u g eh a r mt ot h e i n f e c t e ds y s t e m ( s u c ha so s ，a p p l i c a t i o np r o g r a m s ，f i l es y s t e ma n ds oo n ) j u s ta sa n o r m a lv i r u sd o e s w h a t sm o r e ，i tc a ne f f e c tn e t w o r kg r e a t l y ，s u c ha sw a s t i n gt h e n e t w o r kb a n d w i d t ho rr u i n i n gt h ew h o l el a n s ow o r mh a sb o t hn o r m a l v i r u s c h a r a c t e r sa n dn e t w o r k i n t r u s i o n c h a r a c t e r s ( s o m ew o r m s c a nb r i n gd o st o n e t w o r k ) t h ea n t i v i r u ss o f t w a r ea tp r e s e n tc a nk i l lk n o w nw o r m su s i n gs i g n a t u r e s p e c i f i c s c a n n e rw h i c hi se f f e c t i v et ok n o w nn o r m a lv i r u s e s b u tt h i sk i n do ft e c h n i q u e i g n o r e sn e t w o r k i n t r u s i o nc h a r a c t e r so fw o r m sa n dt r e a t sw o r mj u s ta sn o r m a lv i r u s t h eo t h e rm e t h o dt oa n t i w o r m sr e s e a r c h e dn o wi sb a s e do ni d s ( i n t r u s i o nd e t e c t i o n s y s t e m ) t h i sm e t h o df o c u s e so nn e t w o r k i n t r u s i o nc h a r a c t e r so fw o r m si n s t e a do f v i r u sc h a r a c t e r s s ot h et w om e t h o d si n t r o d u c e da b o v ea r eb o t hi n c o m p l e t e t h i sp a p e ra n a l y z e st h ew o r m sc h a r a c t e r sa n dp r o v i d e saw o r m d e t e c t i n gm o d e l w o r k i n go nl o c a lh o s tb a s e do nt h et r a d i t i o n a la n t i v i r u st e c h n i q u ea n di n t r u s i o n d e t e c t i o nt e c h n i q u e t h em o d e lc a nd e t e c tk n o w na n du n k n o w nw o r m s b yt h e i r sv i r u s a n dn e t w o r kc h a r a c t e r s t h em o d e li n c l u d e st h r e em o d u l e s t h ef i r s to n ei sc a l l e d i n t e r n e t s n i f f e r i n gm o d u l e ，w h i c hc a l lc a p t u r es u s p i c i o u s n e t w o r kp a c k a g e st h a t p r o b a b l yc o n t a i nw o r m su s i n gt e c h n o l o g yo fs n i f f e ra n df i r e w a l l t h es e c o n do n ei s c a l l e d w o r m - d e t e c t i n gm o d u l e ， w h i c hc a nc o n f i r mk n o w nw o r m sw i t h s i g n a t u r e s p e c i f i cs c a n n i n ga n du n k n o w nw o r m sw i t hv i r t u a lm a c h i n et e c h n i q u et h a t i n c l u d i n ga b n o r m a l i t yd e t e c t i n gt e c h n i q u eo fi d s t h et h i r do d ei sc a l l e dr e s p o n s e m o d u l e ，w h i c hc a nk i l lw o r m so ru p d a t et h ew o r md a t a b a s e t h ep a p e ra l s oi n d i c a t e sh o wt o i m p l e m e n tt h em o d e li nw i n d o w so sa n d e m u l a t e st h ee x e c u t i n gf l o w i n go fi n t e r n e ts n i f f e r i n gm o d u l ea n dg e t st h ee x p e r i m e n t r e s u l t s t h ep a p e rv a l i d a t e st h ep es t r u c t u r eo fw o r m ，a n ds u m m a r i z e st h ef l a w so f i i a b s l r a c t t h em o d e la n dt h ep r o b l e m st h a tn e e d st ob er e s e a r c h e df u r t h e ra n dt h ef u t u r e d e v e l o p m e n to ft h em o d e l t h ei n t e g r a t i o na n di n t e r i n f i l t r a t i o no fa l lk i n d so fs e c u r i t yt e c h n i q u e si st h e d e v e l o p i n gg o a lo fn e t w o r ks e c u r i t y t h ep a p e rd o e ss o m ef a v o rf o rt h i sb yd e s i g n i n g a n dr e s e a r c h i n gaw o r m d e t e c t i n gm o d e l k e y w o r d s ：a n t i v i r u s ，w o r m ，d e t e c t i n gm o d e l ，i n t e r n e ts n i f f e r i n g ，v i r t u a lm a c h i n e 1 1 1 华南理工大学 学位论文原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究 所取得的研究成果。除了文中特另t ! d l ：i 以标注引用的内容外，本论文不包 含任何其他个人或集体已经发表或撰写的成果作品。对本文的研究做出 重要贡献的个人和集体，均已在文中以明确方式标明。本人完全意识到 本声明的法律后果由本人承担。 作者签名： 考獬 日期：2 。瞬珀力日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同 意学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许 论文被查阅和借阅。本人授权华南理工大学可以将本学位论文的全部或 部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制 手段保存和汇编本学位论文。 保密口，在一年解密后适用本授权书。 本学位论文属于 不保密口。 ( 请在以上相应方框内打“”) 作者签名：气蜉 聊签名：勿懈 日期：加了年厂月z t h 日期：如j 年j 卜月刀日 第一章绪论 1 1 课题背景 第一章绪论 1 计算机病毒对社会的危害巨大 从2 0 世纪8 0 年代出现世界上第一个计算机病毒，计算机病毒的发展就伴随 着计算机技术的发展而发展，计算机病毒对信息安全造成的危害也从未停止过。 只有对它重视起来，才可能减缓它的危害。 专门从事计算机经济研究的美国加利福尼亚州c a r l s b a d 公司表示全球信息系 统因病毒攻击而造成的经济损失1 9 9 9 年有1 2 1 亿美元。 据美国“信息周研究社”发表的2 0 0 0 年的研究报告称，该年全球因计算机病毒 及黑客攻击造成的损失高达1 5 0 0 0 0 亿美元。报告称，该年病毒及黑客导致美国相 关关公司或机构损失约2 6 6 0 亿美元，占美国国内生产总值超过2 5 。而且这只 是对雇员超过1 0 0 0 人以上的大公司进行统计得到的数字，小公司还没包括在内。 这份报告，是通过向3 0 个国家的4 9 0 0 名信息技术专家进行调查得出的。报告指 出，病毒破坏计算机网络，使得美国2 0 0 0 年损失6 8 8 2 个人均年生产力，全球损 失高达3 9 3 6 3 个人均年生产力。 2 0 0 3 年，a e c 公司捷克布尔诺分公司市场分析家托马什普什比尔说，计算 机病毒每年给全世界造成的损失为1 5 0 亿2 0 0 亿美元【2 1 。根据我国国家计算机 病毒应急处理中心的调查显示：2 0 0 3 年中国计算机病毒感染率高达8 5 5 7 ，造 成的损失达到了6 3 5 7 。 2 0 0 4 年全国计算机病毒疫情调查分析报告中指明：我国计算机病毒感染率自 2 0 0 1 年以来一直处于较高水平。2 0 0 1 年，感染过计算机病毒的用户数量占被调查 总数的7 3 ，2 0 0 2 年为8 3 9 8 ，2 0 0 3 年增长到8 5 5 7 ，2 0 0 4 年计算机病毒的感 染率达到8 7 9 3 。 反计算机病毒专家艾乌根卡斯帕尔斯基说：“目前，全世界各个国家都投入 很大的精力进行反病毒斗争，但是形势依然严峻，在互联网上受到病毒攻击所造 成的后果有时是无法预测的。要想不受到病毒侵害，只能建立一个新的相对安全 稳定的网络环境。” 2 1 】所以专门针对网络病毒的反病毒技术的发展是势在必行的。 2 计算机病毒技术在不断发展，网络蠕虫成为目前出现最多、影响最大的计 算机病毒 第一个计算机病毒是在科学家的实验室诞生的，这一天是1 9 8 3 年1 1 月3 日， 至今2 1 年。在这2 1 年间，共诞生了一万多种病毒，极大地威胁着我们的计算机 华南理工夫学硕士学位论文 信息安全。 在第一个病毒诞生后，一些技术天才逐渐掌握了病毒的制作技术。1 9 8 6 年初， 在巴基斯坦两兄弟编写了b r a i n 病毒，该病毒是引导型病毒，感染磁盘的引导区。 b r a i n 病毒在一年内流传到了世界各地，使人们认识到计算机病毒对p c 机的影响。 1 9 8 7 年，计算机病毒第一次大爆发，大麻、i b m 圣诞树、黑色星期五等病毒 突然袭击，使众多计算机用户甚至专业人员都惊慌失措。人们甚至只好在星期五 关闭计算机以免被黑色星期五摧毁系统。 1 9 9 8 年，美国康耐尔大学2 3 岁的研究生罗伯特莫里斯编写了一个蠕虫病 毒，该蠕虫致使网络中的6 0 0 0 多台u n i x 计算机受到感染，直接经济损失达9 6 0 0 万美元。同年，著名的小球病毒登陆中国，中国的计算机用户第一次尝到了病毒 的厉害。 到了1 9 9 5 年，病毒盼制作技术更加多样化，传统的反病毒技术已经力不从心。 以变形金刚病毒为代表的变形病毒出现了。它可以根据数学原理改变自身的特征， 让反病毒软件难以察觉它的存在。“计算机病毒生产机”也随之出现，这种软件可 以随意产生变形病毒。为了检测变形病毒，出现了软件仿真技术，这种技术可以 引诱变形病毒现出真身，从而把它消灭。 1 9 9 6 年，病毒技术继续发展，出现了针对微软公司0 m c e 系列的宏病毒，该 种病毒不同于传统的文件型病毒，它的宿主程序不仅是可执行程序，还可以是一 般文档。例如w o r d 宏病毒可以寄生在w o r d 文档中，当用w o r d 编辑器打开它时， w o r d 编辑器将被感染，则用此编辑器创建或者编辑的文档都将被感染。 1 9 9 8 年，台湾的陈盈豪编写了历史上破坏最大的计算机病毒一一c i h ，它是 第一个直接攻击、破坏硬件的计算机病毒，它通过改写主板的b i o s 导致主板失 效。 1 9 9 8 年后，随着i n t e r n e t 的高速发展，病毒的种类越来越多，传播越来越广， 红色代码、尼姆达、冲击波等病毒为代表的网络蠕虫病毒大量出现。这类病毒不 同与传统的病毒，多以系统作为宿主，不感染系统中的文件。 网络蠕虫的一种重要的传播路径是通过电子邮件传播，通过互联网网络蠕虫 可以在全世界范围内传播，并且情况越来越严重。2 0 0 0 年，每8 封电子邮件中就 有一封带有病毒，2 0 0 1 年，每5 封中就有一封带病毒，2 0 0 2 年每3 封中就有一封 带病毒。2 0 0 3 年一个破坏性较大的病毒为“s o b i g f ”，某些计算机用户一星期内 竟收到了1 4 4 0 0 个带有该病毒的文件拷贝”。 从2 0 0 3 年国内形势来看，由于网络在国内的迅速普及，造成严重后果的计算 机病毒主要都是从国外传入的网络病毒，其中以蠕虫病毒最多。 2 0 0 4 年全国计算机病毒疫情调查分析报告中也说明了在2 0 0 4 年主要以 各类蠕虫、木马和后门病毒为主，其数量占据新病毒数量的前三位。 第一章绪论 网络病毒给用户造成的经济损失越来越大，反病毒技术期待再次创新。 3 计算机反病毒技术沿袭原有技术的发展路线，一直落后于病毒技术的发展 世界上第一个传播开来的计算机病毒一一“巴基斯坦智囊”病毒( b r a i n ) 是 引导型病毒，最初的计算机病毒基本都是引导型病毒，针对这种病毒，出现了比 较法反病毒技术。该种技术是利用原始备份与被检测的对象进行比较，如果有所 不同，则可能感染了病毒。由于磁盘的引导区不大，只有5 1 2 字节，这种技术对 于检测引导区病毒还是比较有效的。 随后出现了感染可执行文件的文件型病毒。该种病毒附着在可执行文件代码 开始位置或者结尾位置或者插入到代码中。如果利用比较法对可执行文件进行检 查，则需要保存很多可执行文件的备份，而且可执行文件比引导区大得多。利用 比较法效率很低，针对这种情况出现了加总对比法和特征码扫描技术。其中特征 码扫描技术是指反病毒技术人员先利用分析法分析已经截取的病毒的代码，提取 能代表该种病毒的特征代码串，然后加入一个病毒库，特征码扫描技术就是利用 该病毒库对检测对象进行匹配扫描。若发现匹配的特征串则说明被检测对象中发 现这种特征串所代表的病毒。该技术扫描速度快、准确率高，所以一直使用到今 天，成为反病毒技术的主流。但该技术有个致命的缺点，就是只能检测已知病毒。 这个特点使得反病毒技术一直落后于病毒技术的发展。 4 顺应时代发展的需要，计算机反病毒技术需要有针对性地有所突破 反病毒技术是针对病毒技术的特点而发展的，病毒技术又为了对抗反病毒技 术而进一步发展。 为了对抗运用特征码扫描技术的反病毒软件的检测，出现了多态变形病毒。 该种病毒使用加密技术，随机加密自身代码，每感染一次都重新加密一次，这样 致使每个感染文件所携带的病毒体从表面上看都不相同。则特征码扫描技术对此 种病毒是失效的。为了检测出这种病毒，反病毒技术有所发展，出现了软件仿真 技术，可以虚拟执行病毒，让病毒先解密自身，然后再用特征码扫描技术查杀。 病毒出现的频率越来越快，原有的分析病毒体、提取特征码、查毒的被动反 病毒技术已经不能适应现在信息安全的需要。现阶段要求发展主动的能够查找未 知病毒的反病毒技术。针对这种要求，反病毒界提出了行为查杀的思想，启发式 扫描技术、软件仿真技术、v i c e ( v i r u si n s t r u c t i o nc o d ee m u l a t i o n ) 技术都是借助 于这个思想产生的。但是由于特征码扫描技术有其难以取代的优点：误报率低、 能够查出具体的病毒种类，依然作为反病毒技术的主流，而前面提到的新技术由 于还不成熟，只能作为该技术的补充。 但是随着网络的出现，病毒的类型已经发生了变化，网络病毒尤其是蠕虫病 毒已经成为当今病毒的主流，而且今后在很长时间内还将继续肆虐。为查杀文件 型病毒而出现的特征码扫描技术尽管可以查出已知蠕虫病毒，但是效果和效率都 华南理工人学硕士学位论文 大打折扣。而专门的蠕虫检测技术基本都是基于网络和入侵检测系统的，对单个 主机的防治效果不好。病毒技术的发展要求提出专门针对网络蠕虫病毒的适合实 际需要的反病毒技术思想。 1 2 选题的意义 本课题的研究为反病毒技术的发展提出一种适应实际情况的新的思想：把蠕 虫作为一种病毒，针对该种病毒类型结合入侵检测技术和传统病毒的检测技术探 索一种更符合实际更有效的蠕虫预防和检测技术。为今后反病毒软件的发展提供 研究建议：在特征码扫描、虚拟机技术等病毒检测技术的基础上，针对网络蠕虫 的特征提出一种基于单个节点的蠕虫检测模型，并对该模型的实现进行了技术研 究和实验。 1 3 主要研究工作 ( 1 ) 对计算机病毒的产生、发展和现状进行了广泛的研究和分析。 ( 2 ) 对计算机反病毒技术发展的历史、现状进行了分析比较，并对未来进 行了展望。 ( 3 ) 对现有的一些先进的病毒检测技术进行了分析研究，了解其不足之处。 ( 4 ) 对蠕虫的行为特征进行了深入的分析、通过实例分析和对他人理论的 参考，总结出蠕虫的基本行为特征。 ( 5 ) 对蠕虫的现有检测技术进行了研究，并总结出其中不足之处。 ( 6 ) 针对蠕虫现有检测技术的不足，结合实际情况的需要，提出一种新的 蠕虫检测思想：基于单个节点的蠕虫检测模型。 ( 7 ) 对在w i n d o w s 操作系统下如何实现该方案进行了技术上的研究和实验。 ( 8 ) 总结该模型存在的问题、需要进一步研究的闯题和发展的方向。 第二章计算机病毒技术的产生、发展和现状 第二章计算机病毒技术的产生、发展和现状 2 1 计算机病毒的产生及定义 1 9 8 8 年发生在美国的“莫里斯蠕虫事件”引起了世人对计算机病毒的关注， 而互联网的出现和快速发展更为病毒的传播打开了方便之门，信息资源的共享不 仅为病毒创造了更大的繁衍空间，而且病毒制造者的兴趣也更加浓厚。目前，每 天都有数十种新的病毒在网上发现。 最初病毒定义为：能够复制自身并进行破坏活动的一段程序或代码。中华人 民共和国信息系统安全保护条例中对病毒的定义是：计算机病毒，是指编制或 者在计算机程序中插入的破坏计算机功能或者损坏数据，影响计算机使用，并能 自我复制的一组计算机指令或者程序代码。这可以说是计算机病毒的广义的定义。 随着计算机技术的发展和网络的普及，病毒技术也随之发展。最初比较流行的是 引导型病毒、文件型病毒，而现在随着互联网的发展又出现了蠕虫、恶意代码和 病毒型木马等，虽然它们有些不完全符合病毒的原始定义，如有些恶意代码和木 马不能自我复制，但基于其破坏性的特性也被归为病毒一类。 2 2 计算机病毒技术的发展 计算机病毒的发展是随着操作系统、计算机技术的发展而发展的。 最初的病毒分为引导型病毒、文件型病毒和混合型病毒，主要是基于d o s 操作系统，且最初的病毒多用汇编语言编写。 2 0 世纪8 0 年代后期，巴基斯坦有两个编软件为生的兄弟，他们为了打击那 些盗版软件的使用者，设计出了一个名为“巴基斯坦智囊”的病毒，该病毒只传 染软盘引导。这就是最早在世界上流行的一个真正的引导型病毒。此外，1 9 8 8 年 至1 9 8 9 年，我国也相继出现了也能感染硬盘和软盘引导区的s t o n e d ( 石头) 病毒， 该病毒体代码中有明显的标志“y o u rp ci sl l o ws t o n e d ! ”、“l e g a l i s e m a r i j u a n a1 ”，也称为“大麻病毒”等。该病毒感染软硬盘0 面0 道1 扇区， 并修改部分中断向量表。该病毒也属于引导型病毒。从这些例子我们可以理解引 导型病毒主要是感染硬盘或者软盘的引导扇区，修改引导扇区的内容以达到传染 或破坏的目的。 文件型病毒主要是指感染e x e 或c o m 文件( 即可执行文件) 的病毒。2 0 世纪9 0 年代初，感染文件的病毒有j e r u s a l e m ( 黑色1 3 号星期五) 、y a n k e e d o o l e 、 l i b e r t y 、1 5 7 5 、t r a v e l l e r 、1 4 6 5 、2 0 6 2 ，4 0 9 6 等，它们主要就是感染c o m 和e x e 华南理工大学硕士学位论文 文件。这类病毒修改了部分中断向量表，被感染的文件明显的增加了字节数。最 初的文件型病毒的代码主体没有加密，通过检查文件长度或者特征码扫描，很容 易被查出和清除。随着计算机技术的发展，又出现了加密、多态等形式的文件型 病毒。病毒最原始的加密方法是按固定的密钥对文件中的病毒体进行加密，病毒 进入内存之后，先转解密模块将自身解密，这种手段提高了首例发现病毒的难度， 检测消除也比较麻烦，对内存检测应以明文为样本，而对外存检测又必须以密文 为样本：多态病毒( 即变形病毒) 的特征主要是，病毒传播到目标后，病毒自身 代码和结构在空问上、时闾上具有不同的变化，这样，利用特征码扫描将更加困 难。 混合型病毒即引导型与文件型病毒的混合，这类病毒既感染磁盘引导区、又 感染可执行文件。常见的有f l i p o m i c r o n 、x q r ( n e wc e n t u r y ) 、i n v a d e r 侵入者、 p l a s t i q u e 塑料炸弹、3 5 8 4 郑州( 狼) 、3 0 7 2 ( 秋天的水) 、a l f a 3 0 7 2 ，2 、 g h o s t o n eh a l f 3 5 4 4 ( 幽灵) 、n a t a s ( 幽灵王) 、t p v o 3 7 8 3 等，如果只解除了文件 上的病毒，而没解除硬盘主引导区的病毒，系统引导时又将病毒调入内存，会重 新感染文件。如果只解除了主引导区的病毒，而可执行文件上的病毒没解除，一 旦执行带毒的文件时，就又将硬盘主引导区感染。 此外自1 9 9 5 年至今，出现了近万种w o r d ( m a c r o 宏1 病毒，并以迅猛的势 头发展，已形成了病毒的另一大派系。由于宏病毒编写容易，利用系统自带的宏 编写语言如w o r db a s i c 编写，不分操作系统，再加上i n t e r n e t 网上用w 0 r d 格式 文件进行大量的交流，宏病毒会潜伏在这些w o r d 文件里，被人们在i n t e r n e t 网 上传来传去，宏病毒造成了很大的影响。 随着操作系统的发展和计算机技术的进步，病毒技术也随之发展。出现了 w i n d o w s 病毒，脚本病毒，蠕虫病毒，木马型病毒等一系列新型的病毒。 w i n d o w s 病毒可以说也是文件型病毒，但不同与传统d 0 s 下文件型病毒的是 这种病毒感染的是w i n d o w s 下的可执行文件一一p e 格式文件。例如2 0 0 1 年爆发 的f u n l o v e 病毒，它可以感染w i n d o w s9 x 和w i n d o w sn t4 0 操作系统，感染所 有w i n 3 2 类型的文件( p e 文件) ，如w i n d o w s 和p r o g r a mf i l e s 目录及其子目录 中的扩展名为e x e ，s c r 和o c x 的文件。该病毒搜索所有具有写访问的网络共 享文件夹并感染那罩的所有的文件。该病毒同时能够修补n t 环境的完整性检测， 以便能够感染系统文件。w i n 3 2 f u n l o v e 4 0 9 9 将它的代码复制到宿主文件的最后 一个扇区的结尾，然后，它修改p e 文件头信息以显示新的扇区大小，使扇区的 特征适应病毒的需要，同时病毒修改原文件入口点的程序代码以便执行病毒代码。 尽管该病毒对数据没有直接的破坏性，但是在n t 下，w i n 3 2 f u n l o v e 4 0 9 9 病毒 还是对n t o s k r n l e x e 文件做了一个小的修改( p a t c h ) ，使得文件的许可请求 总是返回允许访问( a c c e s sa l l o w e d ) ，这意味着被感染机器的安全已受到了极大 第二章计算机病毒技术的产生、发展和现状 地威胁。只要是在被修改的机器上，所有的用户都拥有了对每一个文件的完全控 制访问权，即使是在系统中可能拥有最低权限的g u e s t ，也能读取或修改所有文 件，包括通常只有管理员才能访问的文件。这样对系统的安全造成了极大的威胁。 脚本病毒和蠕虫病毒是基于i n t e r n e t 的广泛应用而传播的。 脚本病毒，顾名思义，是利用脚本语言编写的，当今i n t e r n e t 浏览器对脚本 语言( 如v b s c r i p t 、j a v a s c r i p t ) 的支持为脚本病毒的传播提供了生存空间和传播渠 道。如脚本病毒“h a p p y t i m e 快乐时光”是一种传染能力非常强的病毒，该病 毒利用体内v b s c r i p t 代码在本地的可执行性容器( w i n d o w ss c r i p th o s t ) 中运行， 消耗计算机的系统资源，对计算机进行感染和破坏。 i n t e r n e t 蠕虫是无须计算机使用者干预即可运行的独立程序，它通过不停的获 得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。蠕虫与普通病毒 的最大不同在于它不需要人为干预，且能够自主不断地复制和传播。例如2 0 0 4 年“五一”黄金周第一日，一个新的病毒一“震荡波( w o r m s a s s e r ) ”开始在互 联网肆，该病毒利用w i n d o w s 平台的l s a s s 漏洞进行传播，中招后的系统将开启 1 2 8 个线程去攻击其他网上的用户，可造成机器运行缓慢、网络堵塞，并让系统 不停的进行倒计时重启。 木马型病毒就是木马与病毒的结合体，木马在计算机领域中指在用户不知情 的情况下收集用户的信息并向外发送的程序，并没有自我复制和传染能力，而木 马型病毒则是同时具有木马和病毒的特性。例如2 0 0 4 年9 月le t 瑞星公司截取的 快乐耳朵( t r o j a n h a p p y e a r a ) 木马病毒，该病毒进入系统后能频繁搜索i e 标题 栏和地址栏，如果发现用户正在登陆某网络银行，则记录账号、密码，如果用户 进行恢复数字证书操作，则试图截取数字证书信息，并在中毒电脑上搜索电子邮 件地址，向这些地址发送病毒邮件，达到传播的目的。 2 3 计算机病毒技术的现状一网络病毒是主流 计算机病毒对信息安全造成的影响越来越被人们重视，随着网络的迅速发展 与普及，依托网络而生的病毒将会是计算机病毒主流。虽然黑客、木马这两种类 型的病毒也是利用网络而生存的，但它们毕竟只是以攻击为主，是计算机对计算 机的破坏，无法造成大面积破坏。而蠕虫病毒天生就依附于网络，通过各种可能 的手段在网络中大量传播。 蠕虫病毒较之系统病毒容易编写。因为系统病毒总是以感染文件作为自身传 播的方式，而病毒为了更好地隐藏自己，必须短小精悍，像c i h 病毒本身就只有 1 0 0 0 多字节，所以病毒编写者绝大多数都选用汇编语言来编写病毒，由于汇编语 言是低级语言，对系统地直接控制能力强，但是学习与使用都相对比较困难，所 华南理工大学硕十学位论文 以限制了系统病毒的数量。蠕虫病毒由于需要在网络中生存，而网络是跨平台的， 所以绝大多数蠕虫病毒都是用高级语言编写了，而很多关于网络的技术都已经非 常通用，有现成的模块可以使用，所以编写起来相对较容易，数量也容易增加。 蠕虫病毒的编写技术也在迅速发展。随着操作系统与网络的普及，一些核心 技术已经被很多人掌握，所以越来越多的蠕虫病毒编写者在自己的程序中加入了 新技术元素，造成了新型蠕虫病毒的泛滥。比如说“红色代码”是一个传统的蠕 虫病毒，它是利用常用的缓冲区漏洞来攻击系统，利用操作系统的漏洞来进行传 播。“求职信”病毒也是一个蠕虫病毒，它利用邮件漏洞进行广泛传播，查找杀毒 软件的安装路径，找到后将大多数杀毒软件的注册表信息与数据文件一并删除， 更甚者它还可以将大多数正在内存中运行的杀毒软件主程序杀掉。而于2 0 0 2 年爆 发的“中国黑客”病毒则是更进一步发展的蠕虫病毒，它已经初步具备了未来病 毒的特征。它虽然是一个蠕虫病毒，但更像是一个系统病毒，它采用两套不同的 机制分别感染微软的w i n 9 x n t 操作系统，它进入内存后采用了多线程单向守护 进程，一个线程被杀毒软件杀掉时，另一个会立刻产生出一个新的，导致无法彻 底将之从内存中清除。 从以上情况可以看出，未来的蠕虫病毒是病毒的主流，无论从数量上还是技 术上都会有一个大的发展。了解蠕虫的结构、工作机理等对于计算机反病毒技术 的发展、对于完善信息安全体系就具有重大的意义。 2 4 本章小结 本章介绍了计算机病毒的定义、计算机病毒发展的历史，并总结出蠕虫病毒 是未来计算机病毒发展的主流。 第三章计算机反病毒技术的产生、发展和现状 第三章计算机反病毒技术的产生、发展和现状 3 1 计算机病毒检测技术的分类 从计算机病毒产生起，计算机反病毒技术也随之产生，现有的计算机病毒检 测技术基本分为六类： 1 、比较法 比较法是指用原始的正常的程序或文档与被检测的对象比较。由于病毒感染 会引起文件内容或代码内容的改变，通过与原始的正常的程序或文档比较，可能 会发现异常现象。最初出现的引导区病毒的检测用这种方法就比较有效。因为引 导区比较小，只有5 1 2 字节，其内容又比较固定，保存正常的引导区内容，定期 与实际系统的引导区相比较可以检测出引导区病毒。但是随着操作系统版本的升 级，各个版本的引导区的内容都有所不同，病毒已经由引导型病毒发展到了文件 型，蠕虫等等。原始的比较法已经不太适应了。 为此比较法有所发展，不再是对全部文件的比较，而是对部分特征的比较。 例如：记录文件的长度，某些病毒感染文件会增加文件的长度( 如文件型病毒) ， 则如果文件的长度有所改变，就有可能感染了病毒。但是这种方法也有很大的误 报率，文件特征的改变可能是由于偶然或者合法的原因造成的，单独使用比较法 是无法确定是何种病毒的。这需要借助其他检测手段的帮助。 2 、校验和法 针对病毒感染文件的特点，除了蠕虫，一般的病毒都会对宿主文件有所改动。 这种方法是计算出正常文件的程序代码的校验和并保存起来，定期和被检测对象 进行比较，若有所改动则可能是感染病毒。但此类方法同比较法具有相同的缺点。 在现在的实际应用中也不广泛。 3 、特征码扫描法 这种技术可以说是专门针对已知病毒研究的。该种方法利用已知病毒的特殊 字段( 又称特征码) 对被检测对象进行扫描比较，如果发现匹配，则可断定被检 测对象包含该种已知病毒。如果特征码选择得当，该种技术发现病毒的几率很高， 而且误报率较低，是当前病毒检测技术中应用最广泛的主流技术。 该技术的具体实验步骤如下： ( 1 ) 采集已知病毒样本。病毒样本的采集要全面，如果病毒既感染c o m 文 件，又感染e x e 文件，那么要对这种病毒要同时采集c o m 型病毒样本和e x e 型病毒样本。 华南理工大学硕士学位论文 ( 2 ) 在病毒样本中，抽取病毒特征代码。病毒特征值是计算机病毒为了提高 传播效率而做的标志。反计算机病毒人员需要从病毒体中提取一串或多串( 通常 是8 个以上的字符串) 信息作为该病毒的特征值。 ( 3 ) 将特征代码纳入病毒数据库。 ( 4 ) 检测文件。打开被检测文件，在文件中搜索，检查文件中是否含有病毒 数据库中的病毒特征代码。如果发现病毒特征代码，由特征代码与病毒一一对应， 便可以断定，被查文件所感染的是何种病毒。 当然，特征码扫描技术也有其自身的缺点。首先，它主要是针对已知病毒， 只有已经发现并截取的病毒才能提取出特征码，也才能进一步应用到病毒检测工 具中。其次，随着病毒种类的增多，新版本的病毒数据库会加大，检索时间就会 变长，大大降低了软件的使用效率。另外，还有一些多态病毒，不存在明显的特 征码，则静态的特征码扫描技术对此类病毒也是毫无效果的。 4 、行为检测法 通过监测病毒一些特殊的行为来进行病毒的判断的方法叫行为检测法。病毒 在感染和破坏时通常会表现出一些共同的行为，这类行为比较特殊，对于f 常程 序来说是比较少见的，因此可以通过监测这类行为来判断病毒存在与否。通常这 些行为有：修改系统中断向量、占用中断、修改d o s 系统数据区内存总量、对可 执行程序进行读写等等。 例如病毒程序需要改变某些中断向量地址指针，使其指向病毒程序的入口地 址；或者为了实现其程序的传染性、隐蔽性和潜伏性而修改i n t 2 1 h 的部分功能 调用。 系统启动时，b o o t 扇区或主引导扇区获得执行权，系统会执行i n t1 3 h 功能， 来完成各种初始化设置及引导系统，这时，引导型病毒为了攻击b o o t 扇区或主引 导扇区，会占据i n t1 3 h 功能，并在其中放置病毒所需的代码，这时系统引导会 首先加载病毒代码，完成驻留后，会将自身代码隐藏起来，然后继续执行系统的 正常功能。 一般病毒为了感染必须将自身的代码附加在被感染的文件之中，常见的可执 行文件以c o m 、e x e 文件为主。所以病毒可能会对c o m 、e x e 等可执行文件进 行读写的操作。 这种检测方法虽然对一些已知病毒和未知病毒都有效，但是不能判断病毒的 种类，而且可能误报。 5 、软件模拟法 软件模拟法是病毒检测技术的一项辅助性技术，主要针对多态病毒。多态性 病毒会对自身代码进行加密，而且每次所用密钥不同，把染毒的病毒代码相互比 较，也各不相同，无法找出可能的傲为特征的稳定代码。软件模拟法可以作为特 第三章计算机反病毒技术的产生、发展和现状 征码扫描法的辅助手段来检测多态病毒。使用特征码扫描法监测病毒，如果发现 隐蔽病毒或多态性病毒嫌疑时，启动软件模拟模块，监测病毒的运行，待病毒自 身解密后，再运用特征码扫描法来识别病毒的种类。 6 、分析法 该种技术主要是针对反病毒研究人员。反病毒研究人员利用一些反汇编工具 和监视工具对截取的病毒代码和行为进行分析。提取特征码，研究清除病毒的方 法。 3 2 较成熟的病毒检测技术 现阶段比较成熟的计算机病毒检测技术核心应该说还是特征码扫描技术。但 是整体的病毒检测方法已经是在原始的特征码扫描技术上有所发展：由原始的静 态特征码扫描到现在的动态广谱特征码扫描，并辅以其他的病毒检测技术：如 c r c 校验和、软件模拟、动态仿真跟踪技术、动态数据还原模块等共同构成了一 个病毒检测技术体系。 3 3 新的病毒检测技术 3 3 1 试探式扫描技术( 启发式扫描技术) 试探式扫描技术检查一个文件的特征，例如大小或体系结构，并且通过代码 的行为来确定被感染的可能性。它也被用来寻找那些已知的不提供自身特征的病 毒，如一些变形病毒、隐蔽型病毒、加密病毒。也可以用来寻找和已知病毒特征 接近、还未被收录的未知病毒。 试探式扫描技术分为两类一一静态和动态。 一个静态试探式扫描程序也有一个病毒库，包含很多病毒特征码，并给每一 个特征赋一个加权值。这些特征码可能会包含检查日期、文件大小或试图访问地 址簿的指令和一些非正常的指令和行为。扫描程序扫描一个文件如果碰到符合自 己的病毒库中的代码，就给这个文件做一个标记，并赋给一定的权值。有时候带 标记的可能是一个无害的应用程序，但也要记录下来，当一个文件的标记的权值 加起来超过一个底线，则这个文件可能是病毒。由此看来，静态试探式扫描技术 并不精确，是特征码扫描技术的延伸。它是一种静态的行为检测技术，即把病毒 可能执行的一些行为也作为特征码加入了病毒库中。 动态试探式扫描技术主要增加了对c p u 的模拟。对于加密病毒来说，直接使 用静态试探式扫描是不能判定的。动态试探式扫描则解决了这个问题，它模拟了 一个基本运行环境的计算机，对可能是病毒的文件先进行模拟运行，等加密病毒 华南理工大学硕士学位论文 自解密后再进行静态试探式扫描。 试探式扫描技术中的几个关键问题如下： 1 、病毒库的建立。试探式扫描技术的病毒特征码的提取比较复杂，不仅要 包含特征码扫描技术的病毒库，关键是还要提取一些病毒特有的行为。但是病毒 的破坏行为是没有一定的模式的，所以对病毒行为特征的提取是试探式扫描技术 效果好坏的关键。 2 、病毒特征权值的设定。试探式扫描技术是一种模糊判定技术，通过加权 值的大小来判定是否是病毒，所以病毒特征权值的设定必须要合理。这就需要在 提取病毒特征码( 包括行为特征) 的基础上，对各个特征码进行统计分析，根据 具有这种特征码的文件是病毒的可能性的大小来分