计算机病毒论文

1、计算机病毒论文摘要：计算机病毒一直是计算机用户和安全专家的心腹大患，虽然计算机反病毒技术不断更新和发展，但是仍然不能改变被动滞后的局面，计算机用户必须不断应付计算机新病毒的出现。互联网的普及，更加剧了计算机病毒的泛滥。从上世纪90年代中后期开始，随着国际互联网的发展壮大，依赖互联网络传播的邮件病毒、宏病毒和蠕虫病毒等大量涌现，病毒传播速度加快、隐蔽性增强、破坏性变大。最近这几年新病毒层出不穷，出现了“红色代码”、“尼姆达”、“爱虫”、 “SQL蠕虫” 、“求职信”、“冲击波”、“恶邮差”等等许多影响广、破坏大的病毒，众多病毒中蠕虫病毒发展的特别快。"震荡波"病毒通过微软的最

2、新高危漏洞LSASS 漏洞(微软MS04-011 公告)进行传播，危害性极大，目前 WINDOWS 2000/XP/Server 2003 等操作系统的用户都存在该漏洞，这些操作系统的用户只要一上网，就有可能受到该病毒的攻击。计算机病毒的产生和迅速蔓延，使计算机系统的安全受到了极大的威胁，人们意识到计算机安全的重要性，也因此产生了对计算机反病毒技术的需求。随着计算机病毒的传播和攻击方式不断发展变化，我们必须不断调整防范计算机病毒的策略，提升和完善计算机反病毒技术，以对抗计算机病毒的危害。计算机病毒的防范是一项长期且艰巨的任务。关键词：计算机病毒 种类 表现 现状 预防一：引言随着计算机在社会生

3、活各个领域的广泛运用，计算机病毒攻击与防范技术也在不断拓展。据报道，世界各国遭受计算机病毒感染和攻击的事件数以亿计，严重地干扰了人们正常的社会生活，给计算机网络和系统带来了巨大的潜在威胁和破坏。与此同时，计算机病毒在战争中也被慢慢运用，如在海湾战争以及近期的科索沃战争中，对战双方都曾利用计算机病毒向敌方发起攻击，破坏对方的计算机网络和武器控制系统，达到了一定的政治目的与军事目的。可以预见，随着计算机、网络运用的不断普及、深入，防范计算机病毒将越来越受到各国的高度重视。我国计算机反病毒技术从80年代末发展至今已有十余年历史，其间随着计算机操作系统的更替和网络技术的迅猛发展，反病毒技术也已经历了多

4、次重大变革。从DOS时代只杀不防，到WINDOWS时代的实时监控，从一对一的特征码判断到广谱智能查杀，从查杀文件型病毒到防范种类繁多的网络病毒，反病毒与病毒技术一刻也没有停止过较量。而随着网络技术的飞速发展，宽带的日益普及，新病毒出现的数量和传播的速度也越来越快。据江民病毒分析工程师统计，目前江民反病毒研究中心捕获的病毒从以前的每天十几个到现在的上百个。一边是反病毒专家不停地分析病毒，另一边是新病毒不断地出现。于是相应的一系列问题开始显现，用户“为什么安装了杀毒软件还是中病毒”的疑问也越来越多，病毒的种类到底有多少呢？下面就让我们一起来更深一步的了解病毒吧！二：病毒的定义及特点 计算机病毒(C

5、omputer Virus)在中华人民共和国计算机信息系统安全保护条例中被明确定义，病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 计算机病毒的特点：计算机病毒是人为的特制程序，具有自我复制能力，很强的感染性，一定的潜伏性，特定的触发性和很大的破坏性。 病毒存在的必然性：计算机的信息需要存取、复制、传送，病毒作为信息的一种形式可以随之繁殖、感染、破坏，而当病毒取得控制权之后，他们会主动寻找感染目标，使自身广为流传。 计算机病毒的长期性：病毒往往会利用计算机操作系统的弱点进行传播，提高系统的安全性是防病毒的一个重要方

6、面，但完美的系统是不存在的，过于强调提高系统的安全性将使系统多数时间用于病毒检查，系统失去了可用性、实用性和易用性，另一方面，信息保密的要求让人们在泄密和抓住病毒之间无法选择。病毒与反病毒将作为一种技术对抗长期存在，两种技术都将随计算机技术的发展而得到长期的发展。 计算机病毒的产生：病毒不是来源于突发或偶然的原因一次突发的停电和偶然的错误，会在计算机的磁盘和内存中产生一些乱码和随机指令，但这些代码是无序和混乱的，病毒则是一种比较完美的，精巧严谨的代码，按照严格的秩序组织起来，与所在的系统网络环境相适应和配合起来，病毒不会通过偶然形成，并且需要有一定的长度，这个基本的长度从概率上来讲是不可能通过

7、随机代码产生的。病毒是人为的特制程序现在流行的病毒是由人为故意编写的，多数病毒可以找到作者信息和产地信息，通过大量的资料分析统计来看，病毒作者主要情况和目的是：一些天才的程序员为了表现自己和证明自己的能力，处于对上司的不满，为了好奇，为了报复，为了祝贺和求爱，为了得到控制口令，为了软件拿不到报酬预留的陷阱等当然也有因政治，军事，宗教，民族专利等方面的需求而专门编写的，其中也包括一些病毒研究机构和黑客的测试病毒三：病毒的分类及种类人们对各种各样的计算机病毒也进行了比较全面合理的分类： 按破坏性分： 良性病毒 恶性病毒 极恶性病毒 灾难性病毒按传染方式分： 引导区型病毒 文件型病毒 混合型病毒 宏

8、病毒按连接方式分： 源码型病毒 入侵型病毒 操作系统型病毒 外壳型病毒有这么多病毒那我们怎么才能迅速的区分出自己的电脑是中了哪种病毒呢？其实可以从各种病毒的名称入手,例如：1、系统病毒 系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染Windows操作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播。如CIH病毒。 2、蠕虫病毒 蠕虫病毒的前缀是：Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波（阻塞网络），小邮差（发带毒邮件）等。 3、木马病毒、黑

9、客病毒 木马病毒其前缀是：Trojan，黑客病毒前缀名一般为Hack.木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息。而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马Trojan.QQ3344，还有大家可能遇见比较多的针对网络游戏的木马病毒如Trojan.LMir.PSW.60。这里补充一点，病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗密码的功能（这些字母一般都为“密

10、码”的英文“password”的缩写）一些黑客程序如：网络枭雄（Hack.Nether.Client）等。 4、脚本病毒 脚本病毒的前缀是：脚本病毒的公有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码（.Redlof）。脚本病毒还会有如下前缀：VBS、JS（表明是何种脚本编写的），如欢乐时光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。 5、宏病毒 宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel97（也许还有别的）其中之一。凡是只感染WORD

11、97及以前版本WORD文档的病毒采用Word97做为第二前缀，格式是：Macro.Word97；凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀，格式是：Macro.Excel97；凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀，格式是：Macro.Excel，依此类推。该类病毒的公有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播，如：著名的美丽莎（Macro.Melissa）。6、后门病毒 后门病毒

12、的前缀是：Backdoor.该类病毒的公有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。如很多朋友遇到过的IRC后门Backdoor.IRCBot。 7、病毒种植程序病毒 这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者（Dropper.BingHe2.2C）、MSN射手（Dropper.Worm.Smibag）等。 8.破坏性程序病毒 破坏性程序病毒的前缀是：Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。如：格式化C盘（Harm.format

13、C.f）、杀手命令（Harm.Command.Killer）等。 9.玩笑病毒 玩笑病毒的前缀是：Joke.也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。如：女鬼（Joke.Girlghost）病毒。 10.捆绑机病毒 捆绑机病毒的前缀是：Binder.这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害。如：捆绑Q

14、Q（Binder.QQPass.QQBin）、系统杀手（Binder.killsys）等。以上为比较常见的病毒前缀，有时候我们还会看到一些其他的，但比较少见，这里简单提一下：DoS：会针对某台主机或者服务器进行DoS攻击； Exploit：会自动通过溢出对方或者自己的系统漏洞来传播自身，或者他本身就是一个用于Hacking的溢出工具； HackTool：黑客工具，也许本身并不破坏你的机子，但是会被别人加以利用来用你做替身去破坏别人。四：感染病毒的预兆中病毒的计算机常常也是有一定征兆的！a发作前的表现现象：1、平时运行正常的计算机突然经常性无缘无故地死机。2、操作系统无法正常启动3、运行速度明显

15、变慢4、 以前能正常运行的软件经常发生内存不足的错误5、 打印和通讯发生异常 6、 无意中要求对软盘进行写操作。7、 以前能正常运行的应用程序经常发生死机或者非法错误。8、 系统文件的时间、日期、大小发生变化9、 运行word，打开word文档后，该文件另存时只能以模板方式保存。10、 磁盘空间迅速减少11、 网络驱动器卷或共享目录无法调用。12、 基本内存发生变化13、 收到陌生人发来的电子函件14、 自动链接到一些陌生的网站。 b计算机病毒发作时的表现现象：1、 提示一些不相干的话2、 发出一段的音乐。3、 产生特定的图象。4、 硬盘灯不断闪烁。5、 进行游戏算法。6、 Windows桌面

16、图标发生变化。7、 计算机突然死机或重启。8、 自动发送电子函件。9、 鼠标自己在动。c计算机病毒发作后的表现现象：1、 硬盘无法启动，数据丢失2、 系统文件丢失或被破坏3、 文件目录发生混乱4、 部分文档丢失或被破坏5、 部分文档自动加密码6、 修改Autoexec.bat文件，增加Format C：一项，导致计算机重新启动时格式化硬盘。7、 使部分可软件升级主板的BIOS程序混乱，主板被破坏。8、 网络瘫痪，无法提供正常的服务。五：病毒的预防电脑既然有那么多表明自己中毒的方式，那我们就能更快更轻松的来预防并解决这些病毒啦,把病毒带来的危害降到最低！但我们更要学会怎样预防病毒的侵染: 1、新

17、购置的计算机硬软件系统的测试新购置的计算机是有可能携带计算机病毒的。因此，在条件许可的情况下，要用检测计算机病毒软件检查已知计算机病毒，用人工检测方法检查未知计算机病毒，并经过证实没有计算机病毒感染和破坏迹象后再使用。新购置计算机的硬盘可以进行检测或进行低级格式化来确保没有计算机病毒存在。对硬盘只在DOS下做FORMAT格式化是不能去除主引导区（分区表）计算机病毒的。软盘在DOS下做FORMAT格式化可以去除感染的计算机病毒。新购置的计算机软件也要进行计算机病毒检测。有些软件厂商发售的软件，可能无意中已被计算机病毒感染。就算是正版软件也难保证没有携带计算机病毒的可能性，更不要说盗版软件了。这在

18、国内、外都是有实例的。这时不仅要用杀毒软件查找已知的计算机病毒，还要用人工检测和实验的方法检测。2、计算机系统的启动在保证硬盘无计算机病毒的情况下，尽量使用硬盘引导系统。启动前，一般应将软盘从软盘驱动器中取出。这是因为即使在不通过软盘启动的情况下，只要软盘在启动时被读过，计算机病毒仍然会进入内存进行传染。很多计算机中，可以通过设置CMOS参数，使启动时直接从硬盘引导启动，而根本不去读软盘。这样即使软盘驱动器中插着软盘，启动时也会跳过软驱，尝试由硬盘进行引导。很多人认为，软盘上如果没有COMMAND.COM等系统启动文件，就不会带计算机病毒，其实引导型计算机病毒根本不需要这些系统文件就能进行传染

19、。3、单台计算机系统的安全使用在自己的机器上用别人的软盘前应进行检查。在别人的计算机上使用过自己的已打开了写保护的软盘，再在自己的计算机上使用前，也应进行计算机病毒检测。4、重要数据文件要有备份硬盘分区表、引导扇区等的关键数据应作备份工作，并妥善保管。在进行系统维护和修复工作时可作为参考。重要数据文件定期进行备份工作。不要等到由于计算机病毒破坏、计算机硬件或软件出现故障，使用户数据受到损伤时再去急救。对于软盘，要尽可能将数据和应用程序分别保存，装应用程序的软盘要有写保护。在任何情况下，总应保留一张写保护的、无计算机病毒的、带有常用DOS命令文件的系统启动软盘，用以清除计算机病毒和维护系统。常用

20、的DOS应用程序也有副本，计算机修复工作就比较容易进行了。5、计算机网络的安全使用（1）安装网络服务器时应，应保证没有计算机病毒存在，即安装环境和网络操作系统本身没有感染计算机病毒。（2）在安装网络服务器时，应将文件系统划分成多个文件卷系统，至少划分成操作系统卷、共享的应用程序卷和各个网络用户可以独占的用户数据卷。这种划分十分有利于维护网络服务器的安全稳定运行和用户数据的安全，如果系统卷受到某种损伤，导致服务器瘫痪，那么通过重装系统卷，恢复网络操作系统，就可以使服务器又马上投入运行。而装在共享的应用程序卷和用户卷内的程序和数据文件不会受到任何损伤。如果用户卷内由于计算机病毒或由于使用上的原因导

21、致存储空间拥塞时，系统卷是不受影响的，不会导致网络系统运行失常。并且这种划分十分有利于系统管理员设置网络安全存取权限，保证网络系统不受计算机病毒感染和破坏。（3）一定要用硬盘启动网络服务器，否则在受到引导型计算机病毒感染和破坏后，遭受损失的将不是一个人的机器，而会影响到整个网络的中枢。（4）为各个卷分配不同的用户权限。将操作系统卷设置成对一般用户为只读权限，屏蔽其它网络用户对系统卷除读和执行以外的所有其它操作，如修改、改名、删除、创建文件和写文件等操作权限。应用程序卷也应设置成对一般用户是只读权限的，不经授权、不经计算机病毒检测，就不允许在共享的应用程序卷中安装程序。保证除系统管理员外，其它网

22、络用户不可能将计算机病毒感染到系统中，使网络用户总有一个安全的联网工作环境。（5）在网络服务器上必须安装真正有效的防杀计算机病毒软件，并经常进行升级。必要的时候还可以在网关、路由器上安装计算机病毒防火墙产品，从网络出入口保护整个网络不受计算机病毒的侵害。在网络工作站上采取必要的防杀计算机病毒措施，可使用户不必担心来自网络内和网络工作站本身的计算机病毒侵害。（6）不要随便直接运行或直接打开电子函件中夹带的附件文件，不要随意下载软件，尤其是一些可执行文件和Office文档。即使下载了，也要先用最新的防杀计算机病毒软件来检查。六：病毒处理例子下面就针对一种我们经常接触到的病毒来简要介绍：宏病毒（Ma

23、cro Virus）传播依赖于包括Word、Excel和PowerPoint等应用程序在内的Office套装软件，只要使用这些应用程序的计算机就都有可能传染上宏病毒，并且大多数宏病毒都有发作日期。轻则影响正常工作，重则破坏硬盘信息，甚至格式化硬盘，危害极大。目前宏病毒在国内流行甚广，已成为计算机病毒的主流，因此用户应时刻加以防范。通过以下方法可以判别宏病毒： 在使用的Word中从“工具”栏处打开“宏”菜单，选中Normal.dot模板，若发现有AutoOpen、AutoNew、AutoClose等自动宏以及FileSave、FileSaveAs、FileExit等文件操作宏或一些怪名字的宏，如

24、A AAZAO、PayLoad等，就极可能是感染了宏病毒了，因为Normal模板中是不包含这些宏的。 在使用的Word“工具”菜单中看不到“宏”这个字，或看到“宏”但光标移到“宏”，鼠标点击无反应，这种情况肯定有宏病毒。 打开一个文档，不进行任何操作，退出Word，如提示存盘，这极可能是Word中的Normal.dot模板中带宏病毒。 打开以DOC为后缀的文档文件在另存菜单中只能以模板方式存盘，也可能带有Word宏病毒。 在运行Word过程中经常出现内存不足，打印不正常，也可能有宏病毒。 在运行Word 97时，打开DOC文档出现是否启动“宏”的提示，该文档极可能带有宏病毒。感染了宏病毒后，也

25、可以采取对付文件型计算机病毒的方法，用防杀计算机病毒软件查杀，如果手头一时没有防杀计算机病毒软件的话，对付某些感染Word文档的宏病毒也是可以通过手工操作的方法来查杀的。下面以Word 97为例简单介绍一下如何进行手工查杀：首先，必须保证Word 97本身是没有感染宏病毒的，也就是Word 97安装目录下Startup目录下的文件和Normal.dot文件没有被宏病毒感染。然后只打开Word 97，而不是直接双击文档，选择“工具”菜单中的“选项”命令。再在“常规”中选中“宏病毒防护”，在“保存”中不选中“快速保存”，按确定按钮。打开文档，此时系统应该提示是否启用“宏”，选“否”，不启用宏而直接

26、打开文档。再选择“工具”菜单的“宏”子菜单的“宏”命令，将可疑的宏全部删除。然后将文档保存。宏病毒被清除。有些宏可能会屏蔽掉“宏”菜单，使得上述方法无法实施，这个时候可以试试下面这种方法：首先保证Word 97不受宏病毒的感染，只打开Word 97并新建一个空文档，然后在“工具”菜单中选择“选项”命令，在“常规”中选中“宏病毒防护”，在“保存”中选择“提示保存Normal模板”，按确定按钮。接着再启动一个Word 97应用程序，然后用新启动的这个Word 97打开感染宏病毒的文档，应当也会出现是否启用宏的提示，选“否”；然后选择“编辑”菜单中的“全选”命令；然后再选择“编辑”菜单中的“复制”命

27、令；再切换到先前的Word 97中，选择“编辑”菜单中的“粘贴”命令，可以发现原来的文档被粘贴到先前Word 97新建的文档里。切换回打开带宏病毒文档的Word 97中，选择“文件”菜单中的“退出”命令，退出Word 97，如果提示说是否保存Normal.dot模板，则选“否”。再切换回先打开的Word 97中，选择“文件”菜单中的“保存”命令，将文件保存。由于宏病毒不会随剪贴板功能而被复制，所以这种办法也能起到杀灭宏病毒的效果。对宏病毒的预防是完全可以做到的，只要在使用Office套装软件之前进行一些正确的设置，就基本上能够防止宏病毒的侵害。任何设置都必须在确保软件未被宏病毒感染的情况下进行

28、：（1) 在Word中打开“选项”中的“宏病毒防护”（Word 97及以上版本才提供此功能）和“提示保存Normal模板”；清理“工具”菜单中“模板和加载项”中的“共用模板及加载项”中预先加载的文件，不必要的就不加载，必须加载的则要确保没有宏病毒的存在，并且确认没有选中“自动更新样式”选项；退出Word，此时会提示保存Normal.dot模板，按“是”按钮，保存并退出Word；找到Normal.dot文件，将文件属性改成“只读”。（2) 在Excel中选择“工具”菜单中的“选项”命令，在“常规”中选中“宏病毒防护功能”。（3) 在PowerPoint中选择“工具”菜单中的“选项”命令，在“常规

29、”中选中“宏病毒防护”。（4) 其他防范文件型计算机病毒所做的工作。做了防护工作后，对打开提示有是否启用宏，除非能够完全确信文档中只包含明确没有破坏意图的宏，否则都不执行宏；而对退出时提示保存除文档以外的文件，如Normal.dot模板等，一律不予保存。以上这些防范宏病毒的方法可以说是最简单实用的，而且效果最明显。 检测病毒的方法还有很多很多，如比较法、搜索法、 分析法、软件仿真扫描法、先知扫描法下面也来介绍计算机病毒感染后的一般修复处理方法： 1、首先必须对系统破坏程度有一个全面的了解，并根据破坏的程度来决定采用有效的计算机病毒清除方法和对策。如果受破坏的大多是系统文件和应用程序文件，并且感

30、染程度较深，那么可以采取重装系统的办法来达到清除计算机病毒的目的。而对感染的是关键数据文件，或比较严重的时候，比如硬件被CIH计算机病毒破坏，就可以考虑请防杀计算机病毒专家来进行清除和数据恢复工作。 2、修复前，尽可能再次备份重要的数据文件。目前防杀计算机病毒软件在杀毒前大多都能够保存重要的数据和感染的文件，以便能够在误杀或造成新的破坏时可以恢复现场。但是对那些重要的用户数据文件等还是应该在杀毒前手工单独进行备份，备份不能做在被感染破坏的系统内，也不应该与平时的常规备份混在一起。 3、启动防杀计算机病毒软件，并对整个硬盘进行扫描。某些计算机病毒在Windows 95/98状态下无法完全清除（如

31、CIH计算机病毒），此时我们应使用事先准备的未感染计算机病毒的DOS系统软盘启动系统，然后在DOS下运行相关杀毒软件进行清除。 4、发现计算机病毒后，我们一般应利用防杀计算机病毒软件清除文件中的计算机病毒，如果可执行文件中的计算机病毒不能被清除，一般应将其删除，然后重新安装相应的应用程序。 5、杀毒完成后，重启计算机，再次用防杀计算机病毒软件检查系统中是否还存在计算机病毒，并确定被感染破坏的数据确实被完全恢复。 6、此外，对于杀毒软件无法杀除的计算机病毒，还应将计算机病毒样本送交防杀计算机病毒软件厂商的研究中心，以供详细分析。七：病毒的现状 如今面对越演越烈的趋利性病毒，传统防病毒软件的弱点无

32、法回避，已经让业界人士发出“将会死去”的感叹。于是，主动防御、云安全等崭新的防范技术开始出现，让计算机病毒防范技术出现了新的转机。为深入研讨当前病毒技术的最新发展和病毒攻击的最新特征，深度分析我国病毒防范技术的现状，深刻把握国际病毒防御技术的最新发展趋势，在有关专家和领导的高度重视与支持下，国家863计划“基于程序行为自主分析判断的实时防护技术”专题课题组与北京东方微点信息技术公司近日在北京召开了“病毒防范现状与国际病毒防御技术最新发展趋势”高端研讨会。传统杀毒软件将死？国家863计划“基于程序行为自主分析判断的实施防护技术”专题课题组长刘旭表示，杀毒软件赖以生存的特征码扫描技术面临严峻的挑战

33、。目前，病毒的“工业化”入侵特征尤为明显。这种状态下，对杀毒软件的挑战是越来越多的病毒木马难以被监测网捕获，或者在被捕获前有较长的生存时间。2008年3月19日美国华盛顿邮报报道，据德国AV（反病毒）实验室介绍，去年仅该公司就发现550万种新病毒。这样的产生速度，几乎已经达到了厂商捕获和分析能力的极限。根据国家计算机病毒应急处理中心中国计算机病毒疫情调查技术分析报告，从2001年到2003年间，我国计算机病毒感染率从73上升到85.37，到2007年这一数字进一步上升到91.47，那到现在这个数据不知已经变成了多么可怕的字符啦！研究机构Yankee Group的法规遵循、安全暨风险管理研究经理

34、Andrew Jaquith发出了“杀毒软件将死”的担忧。他在去年赛门铁克用户大会上表示，在信息安全威胁形式由计算机病毒转向恶意程序为主的情况下，过去采用特征码来识别病毒的杀毒软件已无法有效地处理每天成百上千的新增恶意程序，在不久的将来，杀毒软件将会死去，变得无用。面对如此严峻的病毒危害，反病毒公司们开始探索新的反病毒技术和方法。刘旭总结道，最新受到关注的是主动防御技术。2005年5月13日，刘旭本人就在业界率先提出了“杀毒软件亟待克服重大技术缺陷，我国应尽快研制主动防御型产品”的新思路，引起了反病毒领域的高度关注和强烈反响。主动防御是依据程序行为，自主识别和判断程序是否是病毒的一项反病毒新技

35、术。整个杀毒软件厂家对此进行了激烈的争论，争论的焦点是，有的厂家认为“病后就医”不可避免，还有的认为“主动防御”是天方夜谭。那么到底主动防御能否实现？刘旭当时从“人能否发现新病毒”、“人如何判断新病毒”、“识别新病毒有多难”和“病毒主动防御是否可行”四个方面阐述了主动防御的可行性，反病毒领域的主动防御开始走上探索之路。国家863计划“基于程序行为自主分析判断的实施防护技术”专题课题组长刘旭表示，杀毒软件赖以生存的特征码扫描技术面临严峻的挑战，因此，主动防御技术开始受到关注。刘旭提出，云安全存在几个问题：对从用户计算机中收集文件的做法，用户是否会感到不安全，而不愿意配合？反病毒公司又如何处理收集

36、到的这些海量文件？如果采用人工处理，能否及时判定如此之多的文件是否是病毒？如果不能及时处理，就失去了应有的效果。如果采用自动处理，即在“云”端能够自动识别病毒，那么为什么不将这种自动识别病毒的功能直接放在“端”？对第二类产品来说，安全产品具有很强的终端特性，仅仅将特征库放在云端，并没有太大的优势。因为在现在的网络环境中，下载病毒特征库也仅仅是一瞬间的事。在本地存放特征库，将会大大减少因为网络故障而带来的安全问题。同时，对于不能直接联网的计算机，因无法与“云”交互，本地的病毒特征库无法更新，将严重降低反病毒的能力。因此，刘旭认为，云安全目前还仅仅是一种概念，它仍然没有回答自动识别新病毒这个核心问

37、题，而主动防御技术仍旧是解决目前病毒危害的比较理想的反病毒技术。主动防御的创新主动防御技术的基本思路是，通过对病毒行为规律分析、归纳、总结，并结合反病毒专家判定病毒的经验，提炼出病毒识别规则知识库，模拟专家发现新病毒的机理，通过分布在用户计算机系统上的各种探针，动态监视程序运行的动作，并将程序的一系列动作通过逻辑关系分析组成有意义的行为，再结合应用病毒识别规则知识，实现对病毒的自动识别。和其他反病毒技术一样，主动防御技术它必须对所查的对象给出明确的定性判断。为此，主动防御必须具备的三个基本要求：对未知病毒能够自主识别；对未知病毒能够明确报出；对未知病毒能够自动清除。不过，刘旭指出，目前，国际上主要杀毒软件提供的所谓主动防御功能，没有对程序的动作进行关联性分析，基本上只是对程序的单个动作进行报警，并将这个动作的合法性交给用户，询问用户是否允许。程序的动作实际上是程序调用了Windows提供的API（应用程序编程接口），而操作系统软件提供的API没有“好坏之分”，正常程序可以调