计算机病毒解析与防范技术研究分析 计算机科学与技术专业

计算机病毒解析与防范技术研究摘要伴随着计算机系统的不断发展，目前计算机病毒已成为系统以及网络安全的巨大威胁。因此要对计算机病毒常见类型以及基础常识进行把握，在这样的前提下如果遭遇病毒不会变的束手无策。基于此，本文对计算机病毒的定义、传播方式以及受到感染之后的现象进行详细分析，并分析了计算机病毒的传播方式，主要包括基于网络的病毒传播模式、计算机常见病毒、几个经典的计算机病毒传播模型，进一步研究了计算机病毒防御方法，包括基于主机的检测方案、基于网络的检测策略、创建一套完善的病毒防护机制、对防治技术进行不断完善，同时对病毒检测手段进行升级，最后对病毒防范措施进行详细分析，除了漏洞扫描以及防火墙等技术之外，还包括反病毒、计算机病毒免疫技术，以便最大限度地减少计算机病毒造成的危害。关键词：计算机病毒；计算机病毒传播途径；预防计算机病毒

AbstractWiththecontinuousdevelopmentofcomputersystems,computerviruseshavebecomeagreatthreattosystemandnetworksecurity.Therefore,weshouldgraspthecommontypesofcomputervirusesandbasiccommonsense,undersuchapremise,ifencounterviruseswillnotchangeataloss.Basedonthis,thispapermakesadetailedanalysisofthedefinition,modeoftransmissionandthephenomenaafterinfectionofcomputerviruses,andanalysesthemodeoftransmissionofcomputerviruses,mainlyincludingnetwork-basedvirustransmissionmode,commoncomputerviruses,severalclassicalcomputervirustransmissionmodels,andfurtherstudiesthemethodsofcomputervirusdefense,includinghost-baseddetection.Measuringscheme,network-baseddetectionstrategy,establishingasetofperfectvirusprotectionmechanism,improvingpreventionandcontroltechnology,andupgradingvirusdetectionmeans.Finally,theviruspreventionmeasuresareanalyzedindetail.Inadditiontovulnerabilityscanningandfirewalltechnologies,anti-virusandcomputervirusimmunetechnologiesarealsoincludedinordertominimizethenumberofcomputers.Theharmcausedbyvirus..KEYWORDS:Computerviruses;Computervirustransmissionroute;Preventionofcomputerviruses

目录摘要 IAbstract II1计算机病毒的概念及危害 11.1计算机病毒的概念 11.2计算机病毒的特征 11.3计算机病毒的危害 12计算机常见病毒分析与病毒传播 32.1计算机常见病毒 32.1.1系统病毒 32.1.2木马病毒 32.1.3脚本病毒 42.2基于网络的病毒传播模式 42.2.1通过电子邮件进行传播 42.2.2通过扫描系统漏洞传播 52.2.3通过无线电的方式传播 52.3几个经典的计算机病毒传播模型 62.3.1SIS模型 62.3.2SIR模型 62.4案例分析 82.4.1感染式蠕虫 82.4.2勒索病毒 83计算机病毒防范技术 103.1网络防火墙技术 103.2实时反病毒技术 103.3漏洞扫描技术 113.4计算机病毒免疫技术 113.5计算机病毒的检测技术 113.5.1特征代码法 113.5.2软件模拟法 113.5.3感染实验法 114计算机病毒防御策略 134.1基于主机的检测策略 134.2基于网络的检测策略 134.3建立行之有效的计算机病毒防护体系 144.4加强工作站的防治技术 14结语 15参考文献 16致谢 171计算机病毒的概念及危害1.1计算机病毒的概念计算机病毒是程序员为了破坏计算机的功能或数据而插入的程序代码或者相关指令，这些代码或指令对计算机的正常使用可能带来影响。计算机病毒属于最常见的可执行代码以及程序，在特征方面与生物病毒相当类似，不但能够进行大量复制，同时还可以相互感染，而且还具备再生以及活等基本特征。计算机病毒拥有相当强大的复制能力，传播速度相当快，彻底根除难度非常大。而且计算机病毒不许附加到很多种类的文件里面，通过传输或者复制的方式将文件在用户之间进行传递，将与该文件共享该文件。1.2计算机病毒的特征1.滋生性与生物病毒非常相似，计算机病毒还能不断繁殖，即便用户进行正常操作也会不停复制。在判断计算机病毒的时候，其关键依据在于是否具备传染以及滋生的特性。2.破坏性一旦计算机出现病毒，往往导致文件被恶意删除或者程序不能正常运作，最终对计算机带来不同程度的损害。3.传染性计算机病毒感染性意味着计算机病毒可以通过将其他程序修改为其他无毒文件来转移其或其变体。这些文件可以是系统或程序。4.潜伏性潜伏期指的是通过其他媒体进行其中的一种综合能力，这也是计算机病毒的一大特性。入侵后如果条件未达到通常病毒不会攻击系统，但是会减慢计算机的运行速度。5.隐蔽性计算机病毒非常隐蔽，在某些情况下可以被病毒软件检测到。计算机病毒在电脑中常常是隐蔽的、可变的，因此针对这些病毒进行处理难度非常大。6.可触发性编写病毒到时候通常会为病毒专门创建相应的触发条件，比如程序运行、指定的日期或者条件等。如果达到这些条件，计算机病毒马上会对系统发动攻击。1.3计算机病毒的危害如果计算机中毒，一般来说正常程序将不能有效运作。计算机病毒将文件删除或者破坏的程度也不一样，通常如下：删除，更改，增加和移动。计算机病毒最出众的不是破坏性，而是病毒的滋生性，如果病毒发生突变或者被复制，其蔓延速度很难进行阻止。病毒最基础的特性为滋生性，与生物界非常相似，病毒通过感染从一个活体传播到另一个活体。在适当的条件下，病毒可以迅速大量繁殖，受感染的生物体可以显示发病甚至死亡。同样，计算机病毒可以通过各种方式将病毒从受感染的计算机传输到未感染的计算机，从而导致计算机出现故障或瘫痪。很多木马病毒大多是为了盗取用户信息，从中获取利益，如网上银行账户密码、网络游戏账户密码等。例如：2017年，一名淘宝卖家在经营中，收到一买家发来的消息说，自己要买几款衣服，但找了很多家店内都没有货了，其要的风格和他店内的类似，想让店家帮他看看有没有货。说完，就把一个类似网购平台的页面链接发了过来，卖家点开，图片很多一直在加载中，最后显示加载失败，并提示卖家的账号下线了，害得卖家重新登陆。如果信息被盗取无疑将给客户造成惨重损失，因此身处病毒大量存在的环境中，我们必须说用户在使用软件时有很多顾虑。

2计算机常见病毒分析与病毒传播2.1计算机常见病毒2.1.1系统病毒针对系统病毒而言，最常见的前缀除了Win95、Win32以及W95之外，还包括Win95以及PE等。这些病毒都具备很多功能，除了能够对windows系统里面的*.dll以及*.exe文件进行感染，同时还能借助这些文件进行病毒传播，最常见的病毒如CIH。普通用户通常对计算机病毒认知程度并不高，一旦遭遇病毒往往变得盲目无措，事实上只需了解重装系统就能有效解决这些问题，比如可以在计算机上下载防病毒软件进行实时防护以及查杀病毒。当然建议计算机用户安装360工具针对顽固病毒进行检查并杀灭，其他反病毒软件除了小红伞、nod32以及卡巴斯基之外，还有平均以及ast超级巡逻等反病毒软件。其中，Kabbah，Risin通常要占据大量系统资源，因此一般情况下要配置诸如东方微点以及nod32等防病毒软件。针对防病毒软件要定期进行升级，一旦软件不能正常启动或者工作，需要更换其他类型的防病毒软件。如果很难杀死计算机病毒，通常说明该病毒为新型计算机病毒，或者属于变种以及shell等计算机病毒，随时可以通过相关选项进行手动终止。2.1.2木马病毒就特洛伊木马病毒而言，它的前缀为木马，但是黑客病毒的前缀一般来说都为黑客。前者拥有相同的特性，就是借助系统或者网络出现的漏洞在计算机系统里面隐藏，将用户个人信息进行盗取；对黑客病毒而言，主要借助远程控制的手段、通过可视化途径秘密潜入到计算机里面。这两类病毒一般都会成双成对出现，前者主要对计算机系统进行入侵，同时对后者进行全程控制。目前这两类病毒的整合性不断增高，比如出现频率较多的QQ消息木马，如果使用的QQ号码为3344，就会遭遇大量与在线游戏密切相关的诸如PSW.60、LMIR等木马病毒。此外，病毒，PSW或任何PWD的名称通常意味着病毒具有窃取密码的能力（这些字母通常缩写为英语中的“密码”）和一些黑客程序，例如黑客。虚空。客户端等。完整的木马由两部分组成：客户端（控制器部分）和服务器（服务器部分）。受害者被称为服务器，黑客攻击服务器受害者与客户端一起运行的计算机。当特洛伊木马的服务器运行时，就会生成让用户相当困惑的名称对受害者进行传递，受害者往往难以察觉，一旦将端口开启之后就会把数据信息传送至相应的地址，这时候就可以盗取用户个人密码以及账号信息，甚至还能够借助开放端口对用户个人计算机进行大规模入侵。2.1.3脚本病毒脚本病毒也是比较常见的一种病毒，这种病毒的前缀为script，该病毒事实上属于通过编写脚本语言借助网页的形式进行传播，最常见的有红色代码（Script.Redlof）。脚本病毒还具有以下前缀：VBS，JS（指示编写哪些脚本），比如常见的十四日（Js.Fortnight.c.s）以及欢乐时光（VBS.Happytime）等。为了获得持续的机会，脚本病毒通常使用不同的方法来关注用户。例如，消息附件的名称通常都含有双后缀，举例来说，.jpg.vbs由于在默认状态下系统将后缀隐藏，用户一般很难察觉到该文件，因此通常被认为JPG文件。蠕虫也是最常见的一种脚本病毒，最近几年危害性非常强大的“Nimya”病毒也属于该病毒的一种类型。前些年让全球震惊的“熊猫烧香”以及后续变种病毒也属于蠕虫。该病毒主要通过Windows系统存在的漏洞，一旦将计算机感染之后，计算机会不停的自动拨号，同时借助文件里面的网络共享或者详细地址展开快速传播，导致用户个人关键数据被大量破坏。通常主要借助具备监控性能的防病毒软件来控制蠕虫，同时陌生的网络邮件以及附件不要随便打开。2.1.4宏病毒宏病毒为最常见的一类脚本病毒，这种病毒相当特殊，因此单独列开进行计算。这种病毒的前缀为宏，之后的前缀除了Excel97以及Word97之外，还有可能包括Excel以及Word等。如果病毒仅仅对旧版本word文档以及WORD97进行感染，通常后面的前缀都为Word97，最常见的格式则为Macro.Word97；如果病毒仅仅对更高级别的WORD文件以及WORD97进行感染，通常后面的前缀都为Word，最常见的格式则为Macro.Word；如果病毒仅仅对旧版本EXCEL文档以及EXCEL97进行感染，通常后面的前缀都为Excel97，最常见的格式则为Macro.Excel97；如果病毒仅仅对更高级别的EXCEL文档以及EXCEL97进行感染，通常后面的前缀都为Excel，最常见的格式则为宏或者Excel。这些病毒自身具备的功能特征通常都会被OFFICE进行感染，然后借助OFFICE模板进行大规模传播，其中最有名的病毒为梅丽莎（Macro.Melissa）。2.2基于网络的病毒传播模式基于网络的计算机病毒分布在多个渠道，例如：通过电子邮件，扫描系统间隙，通过无线电等。2.2.1通过电子邮件进行传播传播网络病毒的主要方式是在电子邮件中传播代码病毒。如果附加到电子邮件的文件包含病毒，则打开文件附件（通常通过双击附件图标）会将病毒传输到计算机。由于广泛的电子邮件应用程序，许多病毒制造商首选这种病毒传播模式。有两种方法可以通过电子邮件传播病毒。一方面在电子邮件里面直接添加了恶意代码；其次，在URL里面恶意添加了与之有关的代码，通过电子邮件分发病毒如下：（1）寻找目标病毒在通讯簿，历史记录或受感染计算机的电子邮件中的硬盘里面对能够使用的邮件地址进行大范围搜索，举例来说，HTML文件在Internet文件夹里面被临时储存，这类文件里面很有可能存在详细的电邮地址。一旦在计算机上面配置相应的电邮软件，病毒将以最快速度对详细地址进行提取。（2）将自身拷贝并发送病毒在搜索能利用电子邮件地址的过程中，往往对自身进行复制并对外发送，不过有的病毒隐匿性非常强，通常不会对病毒发送电子邮件，但首先会感染用户的电子邮件。更改系统设置是电子邮件HTML最常见的默认格式，一旦用户对外发送信息，病毒将以最快速度对消息内容进行感染。（3）激活病毒代码如果接收端收到病毒代码，通常病毒不会主动进行运作但必须由用户激活。因此，病毒会尽力为用户激活病毒代码。该病毒会产生各种欺诈性标题和内容以吸引人们。例如，病毒“我爱你”使用“笑话”这个词来打开带有病毒的电邮，随后就能对代码进行激活。2.2.2通过扫描系统漏洞传播蠕虫代码属于相对独立的一个程序，并未嵌入主机文件夹中。他的转移过程是利用Web上的系统漏洞远程验证计算机，病毒利用这些漏洞进入到计算机系统里面对其进行控制，导致计算机遭到不同程度的攻击或者损害。蠕虫主要通过下面这些方式获得系统操作权限：（1）利用系统漏洞蠕虫一般会借助系统程序或者漏洞进行大范围传播，举例来说，有的版本浏览器能够对EML文件进行自动浏览。与电子邮件不同，蠕虫通常使用系统漏洞来远程控制网络主机。换句话说，首先对目标主机进行控制，随后对自己进行复制，攻击计算机系统之后自行销毁。（2）使用LAN进行传播有的LAN管理者由于工作过程中疏忽或者缺乏安全意识，导致系统文件在有的计算机上可以进行远程写入。这通常会给蠕虫带来机会。蠕虫可以直接复制到LAN上的可写启动目录以进行共享。有些病毒在局域网上找到能够记录的win.ini或者对注册表进行更改，这样以后重启的时候蠕虫就会自动运行。蠕虫通过服务器还能对大量存在的IIS从等服务器漏洞进行利用，来控制远程服务器。然后蠕虫通过自由转发的方式将恶意代码传递给服务器，在这样的前提下，用户只要访问服务器都有可能被蠕虫感染。2.2.3通过无线电的方式传播无线电能够把病毒传播至其他的电子系统内部，并可以将病毒与接收器一起直接发送到贴标机。利物浦大学计算机科学，电气工程和电子系的研究人员在实验室环境中设计并模拟了“变色龙”病毒。该演示发现家庭和企业接入点用于访问无线路由器的Wi-Fi网络。Wi-Fi网络不仅快速传播，还消除了检测并确定哪种加密技术和密码最容易受到Wi-Fi接入点的攻击。它还能够模拟无线数据进行正常传输，对病毒代码进行传递，同时将病毒代码域合法信掺合起来。一旦病毒到达网络系统，它就可以进入保护目标。2.3几个经典的计算机病毒传播模型2.3.1SIS模型容易感染-脆弱-易受攻击-也就是SIS模型。网络里面的个体主要包括两类形态，其中之一为感染状态（I），另一种则为易感状态（S）。如果病毒攻击节点并对其感染，这些节点将变成受感染之后的节点。一旦这些节点恢复正常，有可能因此成为很容易受到感染的节点。这次由于这些节点在恢复之后可能已经被新病毒感染，因此病毒能够在通信组里面不停长时间不停传播。具体的传播模型可见图2.1。图2.1SIS病毒传播模型SIS模型可用微分方程描述如下：（2.1）其中的表示病毒的感染率，然后该增加表明易感者每单位时间转换为感染者，代表病毒综合治愈率，指的是单位时间里面对被感染者治愈的总数。N代表网络里面所有的节点数量，则代表病刚刚传播时主机被感染的数量。不过SIS模型并未将容易受到感染节点利用反病毒手段进行免疫的相关情况考虑在内。2.3.2SIR模型SIR模型为简称，其全称则为Susceptible-Infected-Removed模型。在网络里面节点主要包括下面这些状态：（1）易感状态（S），处于该状态的节点目前并没有被病毒感染，当然后续有很大几率被感染;（2）处于该状态的节点（I）已经被病毒感染，而且其他节点也有被感染的几率。（3）免疫状态（R），这类节点对病毒具备一定的抵抗性，因此感染同种类型病毒的几率基本不存在。事实上此类状态下的主机基本上已摆脱病毒传播途径，因此在有的论文里面这种状态也被叫做除去状态。图2.2SIR病毒传播模型该模型的状态方程如下：（2.2）这里为感染率，为病毒清除率，N为网络中总的节点数。SIS以及SIR模型的基础都为生物模型。不过与生物病毒相比，计算机病毒都有自身的独特性质，使用计算机病毒的模型存在许多不一致之处。例如，SIS模型和SIR模型认为封闭组中人员的状态转换过程仅与常数相关，并未考虑外部因素对病毒传播的影响，例如：因此，除了这两种生物模型之外，还提出了几种改进的模型。2.3.3SEIR模型SEIR模型为简称，其全称则为Susceptible-Exposed-Infected-Removed模型。这种模型对运作基础为SIR模型，不过相对来说增加了全新的潜伏状态，主要对拥有病毒代码但是还没有表现出病毒特性的个体进行描述。其他状态基本上类似于SIR。病毒在传播过程中感染会出现延迟，换句话说，当个体接收到病毒传播的恶意代码之后不会马上被感染，此时病都会在主机里面进行潜伏，等待时机被彻底激活。这候的感染个体可能不会呈现出被感染迹象，在该模型看来，感染节点恢复之后可能具备免疫能力，当然也有一定几率变成容易受到感染的节点。图2.3SEIR病毒传播模型SEIR模型事实上属于SIR以及SIS两大模型的组合体，这种模型可以借助对结节感染杀灭病毒而得到一定的免疫力，同时还能够通过结节对其他病毒进行再次感染，在此基础上就会变成再次感染的节点。在下文中所有病毒都被视为一组。SIR模型相比，SEIR模型相比来说占据更大优势，主要在于这种模型对病毒复制环节进行严密核查。通过上面状态进行转换之后的SEIR模型具体如下：（2.3）2.4案例分析2.4.1感染式蠕虫例如，删除受感染的蠕虫：受感染的示例在主机末尾添加相应模块对病毒代码进行保存，同时对病毒代码开启的位置进行修改。行为分析：本地行为：对本地执行文件进行感染，并非系统里面受到感染之后的文件需要注意的是，％System32％属于一种可变的路径，病毒主要借助系统查询对System文件夹的具体位置进行确认。就Windows2000/NT而言，该系统里面对应的安装路径默认位置为C：\Winnt\System32。windows95/98/me中的默认安装路径是C：\Windows\System。win7中的默认安装路径是C：\Windows\System32。％Temp％=C：\DocumentsandSettings\AAAAA\LocalSettings\Temp代表目前用户TEMP对应的缓存变量％Windir％\WINDODWS运行目录％DriveLetter％\logicaldriverootdirectory％ProgramFiles％\system程序默认安装目录％HomeDrive％=C：\目前系统操作对应的分区％DocumentsandSettings％\currentuserdocumentation根目录清算计划：在最后一行（.ani）对应的偏移量0x04h里面，将主机最初进入点EntryOfPoint进行删除将文件里面最后内容（.ani）进行删除将文件里面最后内容节表（.ani）进行删除针对SizeOfImage进行修复校正部分的数量=原始部分的数量-12.4.2勒索病毒2018年8月，全世界不少区域都遭受到GlobeImposter勒索软件的大范围攻击，攻击的过程中主要对象为远程桌面服务器。在打破边防后进行定性分析后，黑客工具被用来渗透内部网络。密码工具相对管理员密码进行检索，以筛选出质量较高的服务器，通过手动的模式对勒索软件进行开启，其中机密性文件全部加密。病毒在感染过程中相关功能除了加密文件对应的扩展名RESERVE，还包括经过加密之后的Windows文件。因为勒索软件带来的损害，用户可以通过离线方式对感染之后的服务器进行隔离，并寻求专业的技术支持，以执行协议和样本分析。如果服务器没有受到感染，一定要对防火墙3389进行彻底关闭，这样才可以得到特定的IP地址。同时，打开Windows防火墙并尝试关闭未使用的高风险端口（例如3389,445,139和135）。每个服务器终端都不使用弱密码来防止勒索软件病毒感染，从而导致更大的损失。研究人员发现了一种新的RansomwareDharma变体，它将扩展名.id-id.email.cmb添加到加密文件中。攻击者首先借助3389端口利用远程协议潜入至计算机内部，然后通过强制性手段获取登录密码，得到操作权限之后攻击者将在电脑上装配勒索软件，随后对计算机展开加密处理，并尝试加密网络。与原始勒索软件相比，此变体在加密文件过程中将会增添扩展名—.id-id.email.cmb。对文件加密的时候，将在感染之后的计算机里面设置不一样的备注：首先为用户登录之后系统自动运作的Info.hta文件;其次为计算机桌面上安装的FILESENCRYPTED.txt文件。其中的赎金票据主要说明了付款相关事项，在此基础上该变体对映射的以及未映射的驱动器以及网络共享展开加密处理，用户将失去计算机访问权限。而且在用户登录系统的时候该变体将创建自动启动程序，加密者有权限对用户在桌面创设的新文件进行加密，当前针对这类变体还不存在彻底的解决对策。针对勒索病毒带来的损害，用户可以在计算机上面及时安装杀毒软件，定期对病毒库进行更新。然后对计算机里面的关键数据进行备份，切记随意将陌生的电邮以及附件打开，避免受到勒索软件的感染计算机造成巨大损害。

3计算机病毒防范技术3.1网络防火墙技术防火墙属于最常见的安全隔离手段，在本质上属于数据访问控制体系，在内联网和外联网之间实现安全保护系统。它将内联网与外联网分开，并将用户限制为严格控制的保护点。防火墙一般在通信过程中对控制标准进行强制执行，主要用来避免没有经过授权或者身份验证的其他人员进行访问，同时也可以有效避免黑客对网络进行攻击，或者对数据以及设备进行破坏。防火墙通常部署在受保护的Intranet和Internet之间的边界。Internet，还能够对Intranet里面的关键数据以及服务器进行保护。即便用户通过内网进行登录，也要借助防火墙进行过滤，以便对资源进行有效保护。防火墙安保系统通常使用的结构为拓扑，在此基础上网络运行可得到安全保障，同时借助数据集成全面提升网络数据的安全程度。防火墙用于Internet上的多个环境中。这意味着防火墙在计算机的网络安全中起着重要作用。防火墙可以确保联网计算机网络的安全性和稳定性。这是确保计算机网络安全的必不可少的先决条件。计算机防火墙如表4.1所示。表4.1计算机各类防火墙对比分类特点简单包过滤防火墙应用层控制很弱，效率高状态检测包过滤防火墙数据包过滤对用户透明，效率高应用代理防火墙应用层控制很弱，检测性能高3.2实时反病毒技术由于新的计算机病毒的出现，反病毒软件很难针对病毒入侵进行全面应对，在此基础上就衍生出反病毒技术。许多防病毒卡都插入系统板，以实时监控系统的运行，并发出有关可疑计算机病毒行为的警告。已经存在反病毒技术的实时监控。任何程序都会在调用之前进行过滤。一旦计算机病毒被破坏，它将发出警报并自动杀死病毒。3.3漏洞扫描技术漏洞在操作系统和应用程序软件中都是不可避免的。这些漏洞存在安全风险。因此，处理新发现的漏洞并及时完成系统升级和补丁非常重要。漏洞扫描技术可从系统内检测系统配置中的缺陷和缺陷。它可以检测系统中黑客利用的各种错误配置和系统漏洞。它是一个自动检测本地或远程主机中的安全漏洞的程序。漏洞扫描技术通常包括POP3漏洞扫描，FTP漏洞扫描，SSH漏洞扫描和HTTP漏洞扫描等技术。3.4计算机病毒免疫技术病毒免疫力意味着系统已感染病毒，但病毒已被处理或移除，系统不再受到类似病毒的感染和攻击。目前，常用的免疫方法对某些计算机病毒具有计算机病毒免疫力，但这种方法不能防止计算机病毒的破坏行为，另一种是基于自我完整性测试的计算机病毒免疫程序。原则是可执行文件添加了一个可以从自身恢复信息的免疫shell。3.5计算机病毒的检测技术3.5.1特征代码法针对目前已知的病毒，最有效便捷的监测手段为签名方法，这种方法的原理为对病毒代码进行详细分析，并在病毒代码数据库中收集这些病毒的独特功能，即所谓的“病毒数据库”。对已经监测到的程序进行精准扫描，以此作为基础对病毒数据库里面的代码进行找寻。如果寻找到的代码完全一致，程序100%已被病毒感染。3.5.2软件模拟法多态病毒会在每次感染时更改病毒代码。要处理此病毒，签名代码方法无效。由于多态病毒代码是以加密方式编码的，并且每种情况下使用的密钥不同，因此病毒代码在受感染文件中不同。因此，无法找到可用作函数的相同稳定代码。为了检测多态病毒，可以使用软件模拟方法。它是一种软件分析器，它使用软件方法来模拟程序的操作并将其导出到虚拟机进行药物测试。新的检测工具使用软件模拟方法，该方法使用签名方法在流程开始时检测病毒。如果怀疑隐藏或多态病毒，软件仿真模块将开始监视病毒的运行。解码病毒自己的密码后，运行签名方法来识别病毒类型。3.5.3感染实验法这种方法的原理是使用病毒最重要的基本特征：感染的特征。所有病毒都被感染，如果它们没有被感染，它们就不会被称为病毒。如果系统没有正常响应，则最新版本的DiscoveryTool不会检测到病毒。我们可以进行感染实验。程序在可疑系统上运行后，我们可以运行一些正常的程序，以确保它们没有中毒。然后我们可以观察这些正常程序的长度和校验。如果我们发现某些程序正在增长或测试和更改，我们可以声称系统中存在病毒。

4计算机病毒防御策略要想对病毒攻击进行有效应对，其中最理想的途径为避免病毒在网络里面大范围传播。不过网络自身运行技术相当复杂，因此仍然难以预防病毒。目前，计算机病毒的预防和控制仅基于检测和清除。防病毒的常见类型主要包括两大类，其一为以网络作为基础的防病毒手策略，另一种则为以主机作为基础的防病毒策略。4.1基于主机的检测策略以主机作为基础的方面的策略大题体包含三大类，首先为验证技术，其次为访问控制，另外一种则为签名匹配。（1）签名匹配：扫描到达主机的代码并匹配病毒库中的签名以查看代码是否有害。签名扫描技术考虑到“相同的病毒或病毒具有相同代码的一部分”。按句话说，一旦病毒与变体具备一些共同特征，则可以将它们称为“签名”，并且可以通过将程序主体与“签名”进行比较来找到病毒。必须不断更新使用病毒签名扫描方法的发现工具，以防止出现新病毒。否则识别将丢失。如果病毒签名扫描方法未检测到新病毒签名，则无法检测到新病毒。（2）访问控制技术：恶意代码一定要潜入计算机系统内部才具有相应的操作权限，并对计算机带来损坏。矜持如果能够对系统程序对应的权限进行正确操控，这些系统则具备执行任务最低范围的权限。即便在系统里面嵌入了恶意代码，也无法销毁。病毒检测可以对异常程序代码以及指令进行检测并甄别，同时对系统安全级别展开有效排序，结合病毒代码自身特性对权重进行合理分配。一旦序列加权值总和与规定的闭合着相比更高，可以断定程序里面已存在病毒。（3）完整性技术：一般来说，很多病毒代码并非单独存在，通常借助嵌入模式或者与其他程序有很大关联。如果程序或者文件被病毒感染，自身的完整性将会遭到破坏。。使用该文件时，请定期检查文件内容是否与原始文件匹配，或在每次使用前检查一致性，然后检查文件是否被感染。文档完整性测试技术主要检查两个领域的文档更改。如果不进行任何更改，很难成功感染病毒，因此完整性测试技术为当前使用率很高的一种检测方法。考虑到对主机进行保护，用户一定要在计算机里面安装相应的病毒查杀软件，同时定期对软件进行更新。不难看出，往往存在运作成本过高以及管理综合性较差的缺陷。4.2基于网络的检测策略以网络作为基础的病毒检测策略，除了包括误用检测之外，还包括异常检测策略。（1）异常检测：病毒在传播过程中，一般会传递数量较多的扫描数据包，此时流量出现明显增加趋势。因此对病毒出现的异常行为进行检测，并采取有效的措施进行应对为当前有效的防病毒指南。异常检测可以快速