发布时间:2023-03-20 16:16:22
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的计算机反病毒论文样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
1.1传播途径多,扩散速度快大多数病毒的传播是以网络为媒介,以系统漏洞、网页、邮件等形式进行,伴随着网络的播散而播散,以极快的速度播散到全世界,譬如最早的由BBN技术公司程序员罗伯特•托马斯编写的计算机病毒Creeper出现在1971年,但当时Creeper还尚未被称为病毒。Creeper在网络中移动,很快就传播到了很多计算机。2007年的“熊猫烧香”病毒仅仅在几天之内就被传播到世界各地,并对很多大到公司小到普通网民产生了巨大影响。
1.2传染性强、潜伏性好传染原本是病毒的特征,在生物界,病毒通过一个生物扩散到另外一个生物,这个现象叫做传染,并在一定环境下,得以大量繁殖,导致被传染生物的死亡。同样,人们形象的把通过网络播散的一些能导致其他计算机瘫痪的程序称之为计算机病毒,与生物病毒不同的是,这些病毒是人为编制或插入的程序,这些程序一旦被启动,便会自动搜索传染目标并插入自身代码,如果不能及时被清除,便会以极快的速度进行扩散。计算机病毒传染的渠道主要有:软盘、计算机网络,而现今状况下,以网络最为便捷、迅速。而这些病毒在进入到一台宿主时,并不会立即发作,它可以隐藏在文件中几周、几个月甚至几年后得以爆发,隐藏性越好的病毒,传播范围越广。
1.3目的性和针对性强最早期计算机病毒设计者在设计这些程序时仅仅是为了显示自己的水平,而当今这些设计者不仅仅是为了显示水平,更多的是通过编撰病毒来获得高额的经济利益。譬如“盗号木马”的出现,这些木马潜伏在用户的计算机中不被察觉,并通过这些病毒程序来盗取用户信息,如:QQ号,银行账号等,并将其发送到黑客手中,给用户造成了巨大经济损失,而给黑客带来了巨额的经济利益。
2.网络环境之下的计算机病毒及其防范措施
2.1完善计算机安全防护体系完善的安全防护体系,这不仅包括网关、防火墙、防病毒及杀毒软件等产品。尽管病毒与黑客程序种类越来越繁多,感染形式多样,发展和传播逐渐迅速,日益之下对于计算机危害越来越大,因此我们要确保计算机的安全防御与控制,我们必须随时更新各类杀毒软件并安装较新版本的个人防火墙,并随系统启动一起加载,进而防止黑客进入计算机偷取、盗密或放置病毒程序。
2.2应从软件系统的使用以及硬件的配置、管理、维护、服务等相关环节制定严密的规章制度、对系统管理工作者及用户加法制教育与职业道德教育,严惩从事非法活动的个人与集体,采用更为有效的新技术,规范工作程序与造作规章,建立“以防为主。防杀结合、软硬互补、以杀为辅、标本兼治”的网络环境下的计算机安全防护技术。
3.结语
关键字:计算机病毒 反病毒 网络病毒
一、计算机病毒
计算机病毒对计算机网络影响是灾难性的。从80年的“蠕虫”“小球”病毒起至今,计算机使用者都在和计算机病毒斗争,创造了形形的病毒产品和方案。但是随着近年internet的发展,e-mail和一批网络工具的出现改变了人类信息的传播方式和生活,同时也使计算机病毒的种类迅速增加,扩散速度大大加快,出现了一批新的传播方式和表现力的病毒,对企业及个人用户的破坏性和传染力是以往的病毒类型所不可比拟的。病毒的主发地点和传播方式己经由以往的单机之间的介质传染完成了向网络系统的转化,类似于“cih,melisa,exploer”网络传染性质的病毒大量出现,一旦企业或单位被病毒侵入并发作,造成的损失和责任是难以承受的。病毒和防病毒之间的斗争已经进入了由“杀”病毒到“防”病毒的时代。企业或单位只有拒病毒于网络之外,才能保证数据的真正安全。
二、几种反病毒技术研究
1.cpu反病毒
之所以病毒和黑客能非常容易地攻击计算机,原因在于网络都是互通的,交换信息的过程中,计算机网络中会建立许多通道,但是设计者并没有过多考虑这个问题,所以只要是信息在通道中通过,都可能被认为是安全信息给予“放行”,
所以这就给计算机带来了极大风险。经过多年努力,俄罗斯科学院计算系统微处理研究所的鲍利斯·巴巴扬通讯院士开发出了一种新型微处理器(cpu),被反病毒界认为成功实现了cpu反病毒,这种cpu可以识别病毒程序,对含有病毒程序的信息给予“抵抗”,同时将这些含有病毒的程序“监禁”起来,同时还可以给这些病毒程序一些数据让它去执行,以免因为空闲而危害计算机,所以这种方法基本上隔离了病毒,让病毒失去了传播的机会。
2.实时反病毒
实时反病毒技术一向为反病毒界所看好,被认为是比较彻底的反病毒解决方案。多年来其发展之所以受到制约,一方面是因为它需要占用一部分系统资源而降低系统性能,使用户不堪忍受;另一方面是因为它与其他软件(特别是操作系统)的兼容性问题始终没有得到很好的解决。
实时反病毒概念最大的优点是解决了用户对病毒的“未知性”,或者说是“不确定性”问题。不借助病毒检测工具,普通用户只能靠感觉来判断系统中有无病毒存在。而实际上等到用户感觉系统中确实有病毒在做怪的时候,系统已到了崩溃的边缘。而实时反病毒技术能及时地向用户报警,督促用户在病毒疫情大规模爆发以前采取有效措施。
实时监测是先前性的,而不是滞后性的。任何程序在调用之前都先被过滤一遍。一有病毒侵入,它就报警,并自动杀毒,将病毒拒之门外,做到防患于未然。相对病毒入侵甚至破坏以后再去采取措施来挽救的做法,实时监测的安全性更高。
3.虚拟机技术
事实上,更为智能的做法是:用程序代码虚拟一个系统运行环境,包括虚拟内存空间、cpu的各个寄存器,甚至将硬件端口也虚拟出来。用调试程序调入需调试的程序“样本”,将每一条语句放到虚拟环境中执行,这样我们就可以通过内存、寄存器以及端口的变化来了解程序的执行。这样的一个虚拟环境就是一个虚拟机。虚拟现实技术在系统底层也借鉴了虚拟机技术。
既然虚拟机中可以反映程序的任何动态,那么,将病毒放到虚拟机中执行,病毒的传染动作一定可以反映出来。如果能做到这样,未知病毒的查出概率将有可能大大提高。
但是因为虚拟机太慢,大约会比正常的程序执行的速度慢几十倍甚至更多,所以事实上我们无法虚拟执行程序的全部代码。目前个别反病毒软件选择了虚拟执行样本代码段的前几k个字节,其查出概率已高达95%左右。
4.主动内核技术
主动内核技术,用通俗的说法:是从操作系统内核这一深度,给操作系统和网络系统本身打了一个补丁,而且是一个“主动”的补丁,这个补丁将从安全的角度对系统或网络进行管理和检查,对系统的漏洞进行修补;任何文件在进入系统之前,作为主动内核的反毒模块都将首先使用各种手段对文件进行检测处理。
三、网络防病毒方案分析
1.病毒的预防
网络病毒的预防措施主要有:
(1)除非必要,尽可能地拆除工作站上的软盘驱动器,采用无盘工作站代替有盘工作站,这样能减少网络感染病毒的机会。
(2)如果软件运行环境许可,还可以进一步把工作站的硬盘拆除,使之成为一个真正的无盘工作站。只要在工作站的网卡上安装一块远程复位eprom芯片即可。开机后,工作站通过网卡上的这个芯片完成系统引导工作,并直接运行入网程序。这样,工作站既不能从服务器上拷贝文件,也不能向服务器拷贝文件,而只能运行服务器上的文件,杜绝了病毒通过工作站感染服务器的可能性,提高了系统的安全性。
(3)被当做网络服务器使用的机器只专门用来当作服务器,而不再作为工作站使用,也不作为单机使用。
(4)规定只有专业的网络管理人员使用超级用户用户名登录。因为超级用户对于整个网络系统拥有全部权力(包括读、写、建立、删除等),如果工作站上已经感染了病毒,再用超级用户登录,就会感染整个网络服务器。
(5)为用户规定不同的权限,实行专有目录专人使用,防止越权行为,这样即使服务器下的某个用户的子目录感染了病毒,其他的用户如果不执行这个目录下的文件,就不会被病毒感染。
2.病毒防火墙
病毒防火墙,实际上是“广义”防火墙中一个方面的具体实现。它是安装在用户计算机系统之中的反病毒监控软件,它在用户计算机本地系统与外部环境之间完成实时过滤有害病毒的工作,能够有效地阻止来自本地资源和外部网络资源的病毒侵害.病毒防火墙对病毒的“过滤”应当具有相当好的实时性,这种实时性表现在一旦病毒入侵系统或者从系统向其它资源感染,病毒防火墙会立刻检测到并加以清除。而传统的单机版反病毒软件则更注重于“静态”反病毒,即对本地和远程资源以静态分析扫描的方式检测、清除病毒。病毒防火墙的“双向过滤”保证了本地系统不会向远程网络资源传播病毒,这一特点是传统单机版反病毒产品根本无法实现的。
3.网络反病毒软件
反病毒解决方案要求包括一套统一全面的实施软件,能够进行中央控制,能对病毒特征码进行自动更新,并且要能支持多平台、多协议和多种文件类型。nai(美国网络联盟公司)反病毒软件产品占有国际市场超过60%的份额,它提供了适合各类企业网络及个人台式机全面的反病毒解决方案tvd(toltal virus defense) 。tvd包含3个套装软件:vss(virusscansecuritysuite),桌面反病毒解决方案;nss (netshieldsecuritysuite),服务器级反病毒方案;iss(internetsecuritysuite),internet网关反病毒解决方案。tvd中所具有的分发控制台(distributionconsole),可以自动接收来自nai的最新病毒特征文件和升级软件。利用这些套装软件,可以建立符合企业需求的病毒防御系统。
参考文献:
[1]陈荻玲,web服务安全通信机制的研究和实现,北京航天航空大学硕士论文,2003
[2]mark o’ neil等著,冉晓呈,郭文伟译,web服务安全技术与原理,北京,清华大学出版社,2003
一只可爱的熊猫,举着三炷香。2006年底,曾经憨态可掬的“国宝”一夜之间成了广大电脑用户谈之色变的主角――因为这一形象已经有了新的含义:“熊猫烧香”病毒(Worm.WhBoy.cw)。
这种病毒及其变种把感染的程序文件图标统统改成熊猫举着三根香的模样,还可以盗取用户账号、密码,并且破坏文件系统等。到2007年2月,已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏。
2月12日,湖北省公安厅宣布,已经成功侦破“熊猫烧香”病毒案,并抓获六名犯罪嫌疑人。但截至《财经》发稿,新的变种仍在出现,“熊猫烧香”仍然余烟缭绕。
其实何止“熊猫烧香”,如今电脑病毒已是一个进化得无比复杂和庞大的家族。它们是一个个程序,但可以自我复制,并且在电脑主人不注意或者未经许可的情况下,感染其他程序,进而自动寻找下一个宿主。因其病理学特征与在人体上肆虐的生物病毒一样,故而名之为“电脑病毒”。
大约20年前,当时更多地作为技术炫耀而产生的电脑病毒,如今却在如此深刻地影响着整个行业,乃至整个世界,并俨然已经形成一个自成一体的“黑色产业”。
“幽灵”兴起
早在1972年,美国著名科幻小说家大卫杰洛德(David Gerrold),就在一本小说中虚构了一种像真正的病毒一样运行的电脑程序“病毒”(Virus),并且引入了另外一种叫做“疫苗”(Vaccine)的程序与之相抗衡。
1982年,风靡一时的漫画书《X战警》(X-MEN)中,更是首次出现了“电脑病毒”(computer virus)这个名词。
但直到1983年,当时还在美国南加州大学攻读电子工程的弗雷德科恩(Fred Cohen)在其博士论文里,才给出了电脑病毒的第一个学术定义,这也是今天公认的标准。
不过,这一论文并没有引起太多人的注意,似乎只有他和很少一部分人认为这种可以自我复制的程序,日后会成为电脑世界的大患。
一般认为,早在1981年,在苹果电脑上就诞生了首个电脑病毒。这个病毒完全是一个美国高中生的恶作剧:病毒被附着在游戏上,游戏一旦启动50次后,就会出现黑屏,并且显示一首作者自创的诗歌。和早期其他病毒一样,这看上去更像技术爱好者的“行为主义”艺术,并不会对被感染的电脑造成实质性损害。
第一个针对个人电脑(PC)的病毒,是1986年一对巴基斯坦兄弟巴斯特(Basit)和阿姆贾德(Amjad)出于防止盗版的目的所写的C-BRAIN病毒。这段写在软盘启动扇区中的病毒,被称为“巴基斯坦”病毒。
一开始,电脑病毒被很多人看成仅仅是一种“创造性的娱乐”,并没有太多的恶意成分。但很快就显示出了其另一面――巨大的破坏性。
1988年,让人们至今记忆犹新的“黑色星期五”病毒(实际上叫耶路撒冷病毒)爆发。它可以感染所有后缀为.省略的可执行文件,并在每个是星期五的13号删除所有运行中的程序。
在这一年,中国也出现了“小球”病毒。
弗雷德科恩目前是美国纽黑文大学教授,还担任其创立的专业信息安全机构Fred Cohen & Associates的CEO。他在接受《财经》记者采访时表示,电脑病毒具有如此巨大的潜在破坏性,其实并不奇怪。由于个人电脑操作系统本身存在的漏洞,加之用户缺乏对系统文件有效的控制,病毒可以改写系统文件甚至操作系统本身。即便是安全系数较高的UNIX系统,在他看来,一个软件高手八个小时内就可以编制一个可以攻破它的病毒。
在上世纪80年代,电脑主要为DOS操作系统时期,病毒主要依存于.EXE、COM等可执行文件。进入90年代,微软公司的视窗(WINDOWS)逐渐成为个人电脑的标准操作系统之后,通过文档文件传播的宏病毒和专门针对32位文件的32位病毒也随之出现。
其中,最著名的32位病毒是台湾青年陈盈豪于1998年编写的CIH病毒。它在每个月26日发作,将用户的硬盘格式化,甚至还可能破坏主板BIOS内的资料,导致电脑无法开启。
互联网的兴起以及逐渐普及,则成为下一个转折点,通过网络传播的第二代病毒开始出现。其本质与基于文件的第一代病毒有很大差异,它的传播基于网络、邮件和浏览器,蠕虫(worm)和木马(Trojan horse)无疑更是网络病毒中的代表。
与通常需要依附在某个程序上不同,蠕虫是一段独立的代码,它像寄生虫一样生存在宿主计算机内部。它的“头部”是一段用以取得系统许可的密码或ID,可以利用宿主计算机的资源对自身进行改写,把其数据加到自己身上,让自己变得越来越大,并控制计算机上可以传输文件或信息的功能,而后继续沿着网络传播。蠕虫病毒一旦进入计算机网络中,就可能造成系统瘫痪、网络中断。
“木马病毒”是一些表面上看似有用的电脑软件,实际上却是危害计算机安全并导致严重破坏的程序。它可以成为别人控制这台计算机的“后门”,从而窃取用户的信息。
进化之路
目前已成长为电脑大国的中国,也成为电脑病毒的“主战场”之一。
根据国家计算机病毒应急处理中心的统计,截至2006年5月,感染病毒的电脑比例约为74%,比高峰时下降了14个百分点。但分析人士指出,随着电脑总量的迅速增加,以及互联网在中国社会、经济生活中的普及,电脑病毒尤其是通过网络传播的新型病毒的危害却更加严峻。
中国互联网络信息中心公布的最新数据显示,截至2006年上半年,中国的互联网用户已经接近1.4亿,上网电脑总量也接近了6000万台。与上一年同期相比,这两个数字都保持了两成以上的增速。这无疑为网络传播病毒的滋生和迅速蔓延提供了难得的温床。
国家计算机网络应急技术处理协调中心(CNCERT/CC)抽样监测结果显示,2006年,中国大陆地区约4.5万个IP 地址的主机被植入“木马”,与2005年同期相比增长一倍。
单纯从技术而言,自电脑病毒上世纪80年代被创造出来后,其本身并没有太多实质性的进步。科恩对《财经》记者指出,“在最近这15年里,病毒制造者从他们的知识上和技术上都没有明显的进步。”
但他也承认,从传播方式和手段上说,电脑病毒实现了一个质的飞跃。
以“熊猫烧香”病毒为例,北京盼达信息安全技术有限公司总经理金楷在接受《财经》记者采访时表示,“熊猫烧香”确实没有太多技术创意,之所以能够造成如此大的破坏,很大程度上是因为它感染了多个访问量高的大型门户网站和论坛,并通过这些网站大面积传播,造成了此次大规模的爆发。
“它主要是利用了这个特殊的位置,而没有革命性的技术。”金楷强调。
显然,虽然技术上没有革命性的突破,但电脑病毒本身也在不断进化,以便更好地适应新的传播途径,以及生存环境。
金山软件股份有限公司反病毒实验室主管戴光剑告诉《财经》记者,“熊猫烧香”病毒在很短的时间内就出现了120多个变种。这种“自我更新机制”使得不少反病毒软件都难以一一应对。
除了自我更新,病毒还通过欺骗、伪装等手段来增加其生存能力。一些论坛上的帖子,会要求打算浏览特定图片的用户点击下载一个压缩包;但这些貌似图片的东西,其实是“灰鸽子病毒”,用户一旦中毒,释放“灰鸽子”的人就可以远程控制这台计算机。这种社会工程学类型的攻击方式,也会出现在游戏外挂、QQ等即时通信工具上。
在戴光剑看来,目前很多病毒都已经发展到了“混合型”的阶段,无论是在传播渠道还是制作水平上。
“熊猫烧香”就集合了多种不同的传播方式,包括U盘传染、文件感染、局域网感染等。它不仅可以实现多重目的,而且可以不断自我更新,这让反病毒软件难以锁定它的特征。
更重要的是,病毒制造和传播现在越来越容易,它已经不再是只有技术高手才能涉足的“禁地”了。
目前在黑客中间颇为流行的Rootkit,为网络攻击者提供了从获得网络上传输的用户名和密码,到安装“木马”程序、为攻击者提供后门,以至隐藏攻击者目录和进程的程序,甚至日志清理程序等一整套技术。
这些未知的病毒,很难通过以病毒特征为主要手段的常规方式加以预防。虽然众多厂商已经推出了实时扫描用户电脑等服务,但由于会对电脑本身的运行速度造成影响,所以,还无法取代传统的杀毒手段。
黑色产业
在科恩看来,对于电脑病毒,也许最严峻的挑战还不是因传播方式变化而带来的质变,而是传播目的所发生的变化。
他对《财经》记者指出,当病毒从破坏文件系统演化到窃取商业信息以后,实质上“就已经从一个技术游戏变成了一个犯罪工具”。
如今,越来越多的新病毒被设计用来传播间谍软件、制造垃圾邮件、实施“钓鱼”欺诈等。现在病毒制造者是出于个人的私利,而不是技术探索目的,来编写病毒。
“现在病毒爆发同以往最大的变化,是病毒制造者从单纯的炫耀技术,转变成以获利为目的;前者希望病毒尽量被更多的人知道,但后者希望最大程度地隐蔽病毒,以更多地获利。”金楷说。
金山反病毒实验室主管戴光剑则对《财经》记者透露,在业界,一个可以被控制的电脑被叫做“肉鸡”。在国内可以卖到0.5元到1元人民币一只,这样的“肉鸡”可以使用几天;如果可以使用半个月以上,则可以卖到几十元一只。对于病毒制造者和“经纪人”而言,如果控制了几十万甚至上百万台这样的“肉鸡”,盈利空间是可以想象的。
这样的“肉鸡”构成的“僵尸网络”(BotNet)既可以用来对企业网络实施集中攻击,还可以发送垃圾邮件,以及点击广告等。
CNCERT/CC抽样监测发现,中国大陆地区约有1000多万个IP地址的主机被植入僵尸程序;境外约1.6万个IP对中国境内的僵尸主机实施控制,这些IP主要位于美国、韩国和中国台湾等。
“熊猫烧香”病毒可以实现的一个重要功能,就是盗取用户账号和密码,从而窃取用户的虚拟财产;而一旦盗取了诸如装备、点卡等虚拟财产,就可以通过很多网上交易平成“销赃”,并从中获利。
据悉,2006年金山截获的各类病毒中,专门盗取网银/网游等网络财产和QQ号的“木马”占了51%。病毒的绝大多数变化都围绕此中心展开,已成为众多网民面临的第一大威胁。
北京江民新科技术有限公司技术总监严绍文在接受《财经》记者采访时强调,金钱诱惑往往比个人爱好更持久、更有吸引力,这也在很大程度上导致了现在病毒遍地开花的严峻局面。
与此同时,部分杀毒软件厂商,到底在这个“黑色产业”中扮演着什么样的角色?电脑病毒市场上是否也在真实演绎着另类“无间道”,这或许仍然是个谜团。
长期以来,不少网络用户一直在指责某些杀毒软件厂商实际上在暗地参与制造以及传播新的电脑病毒,从而维持公众对于病毒的“恐慌心态”,以便从中获利。
毕竟,根据上海艾瑞市场咨询有限公司(iResearch)的研究,与电脑病毒的斗争也意味着一个同样庞大的市场。据其预测,到2007年,网络版和单机版杀毒软件的市场规模有望超过30亿元人民币。
但无论如何,电脑病毒的威胁都将长期存在。
一种悲观的理论是,电脑病毒将与电脑同在,就像人类永远无法彻底消除生物病毒这个幽灵一样。
一位腿脚不便但身板硬朗的中年男子,揣着一沓说明书挨个儿向柜台商推介:“哎,伙计,有一款杀毒软件,一次性出售版权一百二十万元,前八十万元一次付清,后四十万元卖了再结,有兴趣吗?”
有人摇头,有人奚落。
见状,中年男子失望极了:“唉,偌大的一个中关村,竟然没有一个识货的,还是我自己来卖吧……”
这位推售杀毒软件的中年男子,就是后来享誉软件业界且被称为“杀毒王”的王江民先生。
一
1951年10月,王江民出生于山东烟台。
日闻螺号,夜枕潮声。年幼的王江民,躺在母亲的臂弯里,骑在父亲的脖子上,游走在这座秀丽的小城里,常常兴奋得手舞足蹈。谁知道,三岁时,一场小儿麻痹症让王江民的腿落下了残疾,无奈他只得与床做伴――很多时候,实在寂寞了,就一点一点挪腾到窗边,或者望着大街上来来往往的人群,呆呆地出神;或者找来一张草纸撕成条条绺绺,玩“放转转”。
转眼,就到了读书的年龄。由于行动不便,王江民吃尽了苦头:有一次,在上学的路上,因为躲闪不及,腿脚被骑自行车的人轧断了;又一次,为了写作文,和同学们一起站在小桥上观察河里的鱼,不料被人挤碰了一下,就一头栽了下去;还有一次,为了亲密接触海燕,他爬上了一块礁石,听到有人喊涨潮了慌忙往岸边“跑”,但终究没有跑过凶猛的浪头,呛了一肚子苦涩的海水……好在,王江民从书中读到了高尔基的“人都是在不断地反抗自己周围的环境中成长起来的”,遂对人生有了新的认识:“我要增强自己的意志力,适应社会,适应环境,征服人生道路上的坎坷与磨难。”结果,他不但学会了骑自行车、游泳,而且还倒腾出了一些小发明,诸如晶体管收音机、无线电收发机、电唱机等。
读完初中,懂事的王江民寻思着帮父母减轻一些负担,就四处找活儿。只是,人家一看他是个行动不便的人,立时婉言回绝了。这让他伤心极了。
1971年4月,磨破了嘴皮子,一家由街道创办的机械厂终于勉强松了口:“那你就过来做学徒吧……”王江民很争气,仅仅用了一年多的时间,就熟稔了各个环节的活儿,成了厂里的技术骨干,又用三年的时间一边读各种学习班一边刻苦钻研技术,成了厂里的革新能手。
看王江民是个人才,机械厂领导把他提升为生产负责人。这下子,王江民愈发地来劲儿了,带着大伙儿加班加点地干起来,很快就因产品性能优越而引起了山东省机械厅的注意。不久,王江民被调至烟台光学仪器厂。在这里,端的是铁饭碗,但他继续刻苦努力,不但修理光学仪器,而且还尝试着研制起了光学仪器――于是,一番“敲敲打打”过后,大地测量仪器、激光医疗设备、手术机、手术刀、激光测量仪等便横空出世了。
1979年,凭借着在机械和激光方面的多项先进科研成果,二十八岁的王江民被评为全国首批一百零五个新突击手标兵之一,他顿时热泪盈眶:“不管曾经失去了多少,最终能成为全国一百零五分之一,我的努力值了!”
四年后,王江民进入烟台轴承仪器总厂担任高级工程师。
二
在实际工作中,王江民慢慢地意识到:搞光机电自动化,必须依靠计算机来控制,不学计算机肯定要落后的!
这一天,王江民正一门心思地摆弄计算机时,已读小学一年级的儿子蹦蹦跳跳跑过来了,小手一伸:“爸爸,你给我出的试题呢?”他愣了愣:“出题?”这才想起来,老师为了加强和家长的互动,给学生下达了一项任务:回去之后,让你们的爸爸妈妈出一套试题,做完后交上来。为了完成给儿子出题的任务,王江民陷入了沉思:出这套试题,必须得符合逻辑性,不能简单地列举二加三等于几、二十加三十等于几;另外还得考虑接受性,不能想当然地列举自认为是简单的东西……快要想破脑袋的时候,一道灵光倏地划过了脑海:如果我编个出题程序的话……王泽民立时欢呼雀跃起来:“对嘛,有了出题程序,就可以通过计算机打印出源源不断的题目来,就连以后再出试题的麻烦也省掉了,好事啊!”一番折腾,王江民如愿编写出一款软件来:数学练习,由浅至深,包括加法、减法、乘法、除法、混合运算等;语文练习,循序渐进,包括默认生字、给汉字注音、拼音注汉字等。而且,把这套教学辅助软件通过《电脑报》推向市场后,不但赚回了当初买计算机的钱,而且还在全国教育类软件评选中获得了第一名,从而成为中国教育类软件里第一个登记版权的软件。
尝到了甜头,王江民从此迷上了编写程序。
就在这个时候,有媒体报道了病毒的消息。其时,王江民还不知道什么叫病毒,只是在编写程序的时候总是发现有异常程序导致计算机无法正常运行,心里甚是苦恼和纳闷。后来,眼见越来越多的人抱怨病毒,遂生起了心思来:姑且试试吧,能搞出来个杀毒的软件也不错嘛!
说干就干。一会儿翻阅资料,一会儿研究病毒,王江民很快就编写出一段程序来,起名Debug,专杀当时比较猖獗的“1741”病毒。跟着,他又编写出了另外几段程序,用以查杀其他的病毒。与此同时,他还把自己编写的程序写成文章发表在报刊上,以帮助更多的人有效地对付病毒的袭扰。
1992年,当市面上开始流行防病毒卡时,王江民提出了自己的看法:就像最好的防守是进攻一样,装防病毒卡终究不如装杀毒软件来得干脆、利索!为此,他把自己此前编写的六个查杀病毒的程序集成起来,命名为KV6,通过报刊推介给大家,提倡走杀病毒的路子。
无奈,世人并不领情,王江民无计可施。
恰在此时,武汉大学篮球教研室的老师慕名找上门来:“王老师,这儿有一个变形病毒,您看……”对于这个在中国第一个出现的变形病毒,王江民冥思苦想了好一阵子,毅然决定采用“广谱过滤法查杀病毒”,结果如愿以偿。在此基础上,他结合又掌握的几个变形病毒,从理论上总结归纳出了变形病毒的特性,继而开创了独特的“广谱过滤法”,在全国计算机专业学术交流会上斩获优秀论文奖。
有了理论基础,王江民开始尝试着把自己的反病毒软件大众化,于是KV6高调复出,并迅速根据病毒特性更新升级到了KV8、KV12、KV18、KV20、KV50,在烟台及其周边地区的用户中深受好评。
1994年,王江民把杀毒软件升级到了KV100。这个时候,一位远在北京的嗅觉灵敏的经销商摸了过来:“王先生,您的杀毒软件是个好东西,能不能别再免费赠送了,让我来帮您卖吧?”想了想,王江民点头同意了。
就这样,KV100卖到了中关村,并且一炮打响,成为中国首款专业杀毒软件。
立时,大大小小的经销商一窝蜂地挤上门来,申请许可经销权。经慎重考察,王江民许可了四家,约定:许可费两万元,一次性付清。只提供一个版本的防盗版加密技术,至于刻盘、包装、生产、销售,一概不管。由是,王江民从杀毒软件中赚到了第一桶金――八万元许可经销费。
只是,王江民万万没有想到,四家经销商回去之后,为了争夺市场不惜大打价格战,很快就把市场折腾得乌烟瘴气。
没辙,在把杀毒软件升级到KV200后,王江民咬咬牙只许可了一家经销商,心想:就一家生产和销售,回报的利润肯定会更大一些吧!谁知,过了一月又一月,任凭KV200卖得风生水起,王江民就是拿不到一分转让费――找到那家经销商讨说法,却被一嘴唾沫星子给堵了回来:“球,卖得是火,但钱都没收回来,你就等着吧……”
也懒得理论了,王江民起身就走:“老子不跟你合作了,看你还卖啥!”
认真地想了半天,王江民主动出击了。
1996年8月,顶着一头烈日,王江民携新升级的KV300坐着一辆黄色面的来到了中关村,挨个儿向柜台商推介:“哎,伙计,这儿有一款最新的杀毒软件,一次性出售版权一百二十万元,前八十万元一次付清,后四十万元卖了再结,有兴趣吗?”
此时此刻,在中关村乃至全中国尚没有哪个软件的版权能卖到一百万元。因而,对于王江民的示好,有人摇头:“俺是小本生意,拿不出那么多本钱。”有人奚落:“啥软件,值一百二十万元?”有人冷哼:“瞧你这模样,怕是想钱想疯了吧?”
见状,王江民失望极了:“唉,偌大的一个中关村,竟然没有一个识货的,还是我自己来卖吧!”
就这样,1996年9月15日,在办理了停薪留职手续后,王江民飞到了北京,在大华写字楼租赁了一套三十多平方米的房间,正式挂出了“北京江民新科技术有限公司”的牌子。
三
一脚踏入专业反病毒的“战场”,王江民立刻就感受到了火药味的浓重与搏杀的惨烈。
在中关村,王江民是“外来户”,因而一天到晚受到别人的压制、逼迫和要挟:“喂,姓王的,自觉一点,趁早卷铺盖走人,别逼爷们动手……”对此,他一边以“这边撵我,我去那边;那边撵我,我来这边”的游击战术应之,一边以“有钱大订,无钱小订;独包欢迎,‘拼货’也可”的实利战诱之。结果,短短七天,就接了两个“拼货”单子和一个单子,合同额高达一百五十万元。
只是,想象不到的麻烦还在后头。
1996年10月3日,有个脑瓜聪明的外地病毒作者,在把KV300解密之后,随手嵌入了自己美其名曰“合肥1号”的病毒,然后放到了BBS上进行传播。于是,1997年1月1日,当合肥1号病毒发作后,该作者就在网上泼起了脏水:“不好了,KV300藏有病毒啊,大家小心喽!”王江民微微一笑,信手就把合肥1号查杀了。不想该作者立刻又跳了出来:“来啊,大家都瞧瞧,为什么只有王江民能杀这个病毒,而别人就杀不了呢?很简单,是王江民自己编写了这个病毒。叫啥呢?KV300病毒呗!”一边嚷嚷着,一边又炮制出了合肥2号病毒。不过,很快就被王江民给查杀了。这下子,该作者才遁了形。不独于此,往王江民身上泼脏水的还有上海1号病毒。上海1号一出来,KV300上海技术中心马上就收集到了该病毒的样本,王江民立刻就把它杀了。紧接着上海2号出现,还把病毒发作的显示信息改成了KV300C,但同样还没有离开上海市就又被王江民给消灭了。连失两招,病毒作者顿时恼羞成怒,遂于1997年2月编写出了上海3号病毒,而且干脆把病毒发作信息写成“王江民”的拼音字母“Wangjiangmin”。不过,对于王江民来说,还是小菜一碟:他把三个病毒归纳了一下,立时发现了病毒作者的写作思路与代码格式,就出了一组反上海病毒的广谱代码,瞬间把上海号病毒打进了万劫不复之地。不过,这也并不代表着王江民就“游刃有余”了:接下来,他接连不断遇到了多款病毒,最终虽然都攻克了,但他也付出了加倍的努力。当然,这样的努力又带给他更多的惊喜。
一天,王江民正趴在计算机前研究病毒,电话突然急促地响了起来:“哎,老王,摩托罗拉中国分公司的二十多台计算机全部感染病毒瘫痪了,好几个亿的合同打印不出来,正四处找人杀毒哩,你要不要过来小露一手?”是一个有着很好的合作关系的朋友打来的。略作思考,王江民回了一句:“好,就过去瞧瞧吧!”没想到,赶到地儿的时候,正撞上人家公司的领导“抛绣球”:“现在我宣布,谁帮助我们公司解决了这个问题,立即支付三万美元!”一位外籍反病毒专家“嗖”地站了出来:“我来吧!”但折腾了一个多小时,却见他抱着膀子做出了无奈状:“没办法了,你格式化吧……”王江民不紧不慢地走上前去,简单进行了几个操作,当即笑了:“嘿,这是火炬病毒!发作的时候,只抹去硬盘分区表,不破坏数据……”说着,噼噼啪啪地敲了一阵子键盘,就站了起来:“喏,好了!”果然,计算机启动开了,一切正常。一伙儿摩托罗拉中国分公司的员工高兴得一跳老高:“噢,看到数据了,看到数据了!”
有一次,王江民给一个杀毒软件展销会捧场,正进行至处,几个人拨开人群冲了过来,心急火燎地问着:“打扰了,哪位是王江民先生?”王江民应道:“我就是……”还没反应过来呢,就被人家连拖带拽地塞进了一辆汽车里,径直拉到了一家证券公司。一位老板模样的人一把抓住王江民的手:“王先生,求您了,快把天杀的病毒干掉吧,不然大伙儿非吃了我这个经理不可……”坐下来,王江民很快就查明,证券公司一百多台计算机感染的是1150夜贼病毒,遂安慰道:“甭急,甭急,半个小时就好!”吃中午饭的时候,证券公司的经理对王江民说:“王先生,您是个实在人,如果您先讲条件,开口要两万元,我也得老老实实赶紧给您,因为我今天弄不好计算机的话,要损失的不止十多万,还有我在股民中的信誉。我们想聘请您作为我们证券公司的特别安全顾问!”
就是这两次火线救急,奠定了王江民在中关村乃至全中国反病毒领域的地位。
四
当王江民慢慢地站稳脚跟的时候,中关村的那些专事兜售伪劣产品的不法商贩觊觎起KV300的高额利润了,开始制造盗版软件,混淆市场。
起初,王江民大度地一笑了之。但,眼见北京、成都、哈尔滨、深圳、广州等地的公安局、工商管理局查出了越来越多的盗版KV300,眼见一拨又一拨的不法商贩叫嚣着要在一至三个月内用假冒的KV300挤垮真KV300,眼见一个又一个或远或近的压根就没打过交道的印刷厂打来的“喂,王先生,你们公司委托的十万个KV300包装和说明书已经印刷好了,快来提货吧”的电话,眼见摆放在柜台上的货真价实的KV300的批发量和销售量“一下子掉了下来”,眼见受骗的用户拿着假冒的KV300要求江民新科技术给出说法,他坐不住了:“不行啊,得反击一下!”
想了想,王江民实施了一个两步走的战略:先在报刊上刊登广告进行警告,说假冒KV300不能升级,相反制造假冒者还会死机!接着,在KV300L++升级版本中加入了“主动逻辑锁”――这个“逻辑锁”确认计算机在用盗版工具MK300V4做出的假KV300时,会把计算机加密锁住,从而致使用户计算机无法运行,只能采用江民新科技术的软件进行破解。可想而知,就是这个“主动逻辑锁”,一共在网上放了六天,就把制造假冒者装的满满一硬盘各种各样盗版软件的硬盘给锁住了,直把各地的盗版商气得哇哇吐血,却又无计可施。
就这样,在忍无可忍之时无奈出手,王江民干净利索地把一伙儿杀毒软件盗版商打回了原形,直接带动了KV300销量的直线上升,直至占据了杀毒软件市场百分之八十的份额,从而“把全中国人的钱都赚走了”。
一时间,无人不识王江民。
五
几年间,王江民起早贪黑地刻苦钻研科学技术,带领着北京江民新科技术有限公司走出了一条“异彩飞扬”的发展道路。
与之相伴,王江民本人也先后被北京工业大学、辽宁对外经贸学院等多所院校聘为教授,并当选亚洲反病毒大会理事和获得“中国软件杰出贡献奖”、“北京市有突出贡献的科学、技术、管理人才”荣誉称号,且在2008年北京奥运会时受邀负责信息与网络安全。尤其是2009年3月,王江民喜获“中关村二十年突出贡献奖”表彰。
王江民凭借着自身的努力,塑造了一个反病毒专家的美丽传奇。
2010年4月4日10时许,北京西信翔鱼池,正在休憩钓鱼的王江民突发心脏病,转至医院后抢救无效而逝。
论文关键词: 病毒 进程间通信 程序自我保护
1.引言
在计算机和网络技术日益发展的今天,病毒这个字眼越来越多地出现在了媒体和人们的言论中。计算机病毒的发展必然会促进计算机反病毒技术的发展,新型病毒的出现向以行为规则判定病毒的预防产品、以病毒特征为基础的检测产品,以及根据计算机病毒传染宿主程序的方法而消除病毒的产品提出了挑战,致使原有的反病毒技术和产品在新型的计算机病毒面前无能为力。这样,势必使人们认识到现有反病毒产品在对抗新型的计算机病毒方面的局限性,迫使人们在反病毒的技术和产品上进行新的更新和换代。要打败对手,就要从了解对手开始,本文从模拟病毒隐藏性和寄生性的角度出发,以进程通信、进程快照、多线程等技术基础,利用Visual C++的MFC窗口界面设计了一组程序自我保护软件,经过测试实现了程序的稳定运行。
2.进程的概念
当一个程序开始运行时,它就是一个进程,进程所指包括运行中的程序和程序所使用到的内存和系统资源。因此定义进程(Process)是具有一定独立功能的程序关于某个数据集合上的一次运行活动,是系统进行资源分配和调度的一个独立单位。程序只是一组指令的有序集合,它本身没有任何运行的含义,只是一个静态实体。而进程则不同,它是程序在某个数据集上的执行,是一个动态实体。它因创建而产生,因调度而运行,因等待资源或事件而被处于等待状态,因完成任务而被撤销,反映了一个程序在一定的数据集上运行的全部动态过程。
进程由两个部分组成:
(1)操作系统用来管理进程的内核对象。内核对象也是系统用来存放关于进程的统计信息的地方。
(2)地址空间。它包含所有可执行模块或DLL模块的代码和数据。它还包含动态内存分配的空间,如线程堆栈和堆分配空间。
目前常用的操作系统都是并行的,就是多个进程可以同步运行,这时就会牵扯到进程间通信这个概念。所谓进程通信,就是不同进程之间进行一些“接触”,这种接触有简单,也有复杂。机制不同,复杂度也不一样。通信是一个广义上的意义,不仅仅指传递一些信息。举个例子来说明:比如说在使用IE上网时,你想将网页上的一段文字保存至你的电脑上,这时有一种简单的方法,就是复制粘贴。将你想保存的文字选中,然后将其复制,接下来将所复制的文字粘贴到.TXT文档中,这时就形成了两个进程之间的通信,这里的通信媒介是剪贴板。
3.线程的概念
为了对线程模式有一定的理解,我们可以将其想象为把一所屋子里的东西搬到另一所屋子。如果采用单线程方法,则需要自己完成从打包到扛箱子再到拆包的所有工作。如果使用单元线程模式,则表示邀请了好朋友来帮忙。每个朋友在一个单独的房间里工作,并且不能帮助在其他房间工作的人。他们各自负责自己的空间和空间内的物品搬运。如果采用自由线程方法,仍然邀请相同的朋友来帮忙,但是所有朋友可以随时在任何一个房间工作,共同打包物品。与此类似,房子就是运行所有线程的进程,每个朋友都是一个代码实例,搬运的物品为应用程序的资源和变量。
有了上面的例子,便能容易理解线程(Thread)是一个能独立于程序的其他部分运行的作业,是进程的一个实体,是CPU调度和分派的基本单位。线程不能够独立执行,必须依存在应用程序中,由应用程序提供多个线程执行控制。线程是程序中的一个执行流,每个线程都有自己的专有寄存器(栈指针、程序计数器等),但代码区是共享的,即不同的线程可以执行同样的函数。一个线程可以执行应用程序代码的任一部分,包括正在由另一线程执行的代码。
线程由两个部分组成:
(1)线程的内核对象,操作系统用它来对线程实施管理。内核对象也是系统用来存放线程统计信息的地方。
(2)线程堆栈,它用于维护线程在执行代码时需要的所有参数和局部变量。
线程属于一个过程,操作系统为每一个运行线程安排一定的CPU时间——时间片,线程是操作系统分配CPU时间的基本单位。系统通过一种循环的方式为线程提供时间片,线程在自己的时间内运行,因时间片相当短,因此,给用户的感觉,就好像线程是同时运行的一样。如果计算机拥有多个CPU,线程就能真正意义上同时运行了。
4.进程与线程的关系
根据操作系统的定义,进程是系统资源管理的最小单位,线程是程序执行的最小单位。进程是不活泼的,进程可以理解为是线程的容器。若要使进程完成某项操作,它必须拥有一个在它的环境中运行的线程,此线程负责执行包含在进程的地址空间中的代码。单个进程可能包含若干个线程,这些线程都“同时”执行进程地址空间中的代码。每个进程至少拥有一个线程,来执行进程的地址空间中的代码。当创建一个进程时,操作系统会自动创建这个进程的第一个线程,称为主线程。此后,该线程可以创建其他的线程。
线程是属于进程的,它没有自己的独立的数据地址空间,线程运行在进程空间内,因此线程的切换速度比较快。同一进程所产生的线程共享同一内存空间,而这些线程的执行由系统调度程序控制,调度程序决定哪个线程可执行以及什么时候执行线程。线程有优先级别,优先权较低的线程必须等到优先权较高的线程执行完后再执行。当进程退出时该进程所产生的线程都会被强制退出并清除。线程可与属于同一进程的其他线程共享虚地址空间、全局变量,以及该进程所拥有的全部资源,包括打开的文件、信号标志及动态分配的内存等。但是其本身基本上不拥有系统资源,只拥有一点在运行中必不可少的信息(如程序计数器、一组寄存器和栈)。
线程有点像进程身体内的细胞,我们通常听过多进程多线程,单进程多线程。这就是说,一个系统内有几个进程,如果进程是多个,就是多进程的,如果进程内有多个线程,那就是多线程的,多进程多线程的系统比单进程多线程的系统速度慢,但是可靠性高。
5.程序的设计与实现
程序的自我保护是一个大的概念,其中有多种方式和手段来实现自身的保护。比如隐藏、自我复制、注册为服务,等等。我们实现的程序自我保护实际上是一个相互监督的过程。其中包括了程序之间的监督和报警,监听程序的隐藏与保护。
5.1监督
所谓监督,是利用进程枚举的方法,让所有程序在运行同时不停地对进程列表进行快照,并检查目标进程是否存在的过程。
在Windows环境下可以通过调用ToolHelp API函数来达到枚举系统进程的目的。微软的Windows NT开发小组因为不喜欢ToolHelp函数,所以没有将这些函数添加给Windows NT,所以开发了自己的Process Status函数,就是PSAPI。但是后来微软已经将ToolHelp函数添加给了Windows 2000。ToolHelp32库函数在KERNEL32.dll中,它们都是标准的API函数。
ToolHelp32库中有各种各样的函数可以用来枚举系统中的进程、线程,以及获取内存和模块信息。其中枚举进程只需用如下三个的函数:CreateToolhelp32Snapshot()、Process32First()和Process32Next()。
使用ToolHelp32函数的第一步是用CreateToolhelp32Snapshot()函数创建系统信息“快照”。这个函数可让你选择存储在快照中的信息类型。如果你只是对进程信息感兴趣,那么只要包含TH32CS_SNAPPROCESS标志即可。CreateToolhelp32Snapshot()函数返回一个HANDLE,完成调用之后,必须将此HANDLE传给CloseHandle()。
接下来是调用一次Process32First函数,从快照中获取进程列表,然后重复调用Process32Next,直到函数返回FALSE为止。这样将遍历快照中进程列表。这两个函数都带两个参数,它们分别是快照句柄和一个PROCESSENTRY32结构。
调用完Process32First或Process32Next之后,PROCESSENTRY32中将包含系统中某个进程的关键信息。它的具体内容如下:
typedef struct tagPROCESSENTRY32{
DWORD dwSize;
DWORD cntUsage;
DWORD th32ProcessID;
DWORD th32DefaultHeapID;
DWORD th32ModuleID;
DWORD cntThreads;
DWORD th32ParentProcessID; 转贴于
LONG pcPriClassBase;
DWORD dwFlags;
TCHAR szExeFile;
DWORD th32MemoryBase;
DWORD th32AccessKey;
}PROCESSENTRY32;
其中进程ID就存储在此结构的th32ProcessID。此ID可以被传给OpenProcess()API以获得该进程的句柄。对应的可执行文件名及其存放路径存放在szExeFile结构成员中。在该结构中还可以找到其他一些有用的信息。
5.2报警
这里的报警就涉及了进程间通信的概念。本文中涉及的进程间通信是用剪贴板的方法,剪贴板在我们实际应用中是用得比较多的,它实际上是系统维护管理的一个内存区域,当我们在一个程序中复制数据的时候,实际上是将这些数据放入了内存,相反,当我们在另一个程序中粘贴数据时实际上是从内存取出数据。下面介绍一下使用剪贴板时的主要函数:打开剪贴板OpenClipboard(),不管是对剪贴板的读还是写,都要首先调用此函数,以判断是否可以对剪贴板进行操作。此函数是BOOL型的,如果调用成功就返回非零,否则返回零。清空剪贴板EmptyClipborad(),每次对剪贴板的写入操作之前,都应该调用此函数,这个函数的作用不仅是清空剪贴板,而且起到获得剪贴板的使用权的作用。同样,这个函数也是BOOL型的,如果调用成功就返回非零,否则返回零。对剪贴板写入SetClipboardData(UINT uFormat,HANDLE hMem),这个函数有两个参数,第一个参数用来表示写入剪贴板数据的格式,第二个参数接收一个句柄值,在这里它接收一个指向内存对象的句柄,这个内存对象中存放着准备写入剪贴板的数据内容。在调用SetClipboardData(UINT uFormat,HANDLE hMem)之前还需要调用GlobalAlloc(UINT uFlags,SIZE_T dwSytes)这样一个函数,它专门用来为将要写入的数据分配一块内存空间。这个函数接收两个参数,第一个参数表示如何来分配内存空间,这里我们将它设置为GMEM_MOVEABLE,表示动态分配内存。第二个参数是表示分配内存空间的大小。GlobalAlloc(UINT uFlags,SIZE_T dwSytes)返回一个句柄,我们无法使用句柄来间接的将数据放入内存,这时就需要调用另一个函数GlobalLock(HGLOBAL hMem),这个函数获得一个内存对象的句柄,将这块内存加锁,返回一个指针,这时我们就可以给指针所指向的这块内存写入数据了。这个函数使用一个内存计数,计数器基数为零,每调用一次计数器加一,所以每调用一次的同时还需要调用另外一个函数GlobalUnlock(HGLOBAL hMem)来给计数器减一,相当于取消对这块内存的锁定。本文设计的程序实现报警功能就是在枚举进程之后发现目标进程被终止,从而在剪贴板中写入信息的过程。
5.3监听
所谓监听,就是报警的反方向,即从剪贴板中读出信息。从剪贴板读取数据的函数GetClipboardData(UINT uFormat)。这个函数只接收一个参数,参数指定读取的格式。读取信息之后,我们还要对信息进行if判断,如果信息是我们预留的某个进程被结束的话,我们就启动保护措施。
5.4保护和隐藏
这里的保护是指监听程序对其他程序的保护,方法非常简单,只需要利用WinExec函数来实现目标进程的启动就可以。而隐藏是指监听程序自身的隐藏,只要在OnPaint()函数里调用ShowWindow(SW_HIDE)函数就可以了,同时将监听程序命名为smss,就可以避免其被强行终止。
关键词:计算机病毒 检测技术 预防
中图分类号:TP393 文献标识码:A 文章编号1672-3791(2014)07(c)-0026-01
计算机在人们生活中占有重要的位置,给人们生活带来了很大的便利,但是随着计算机网络中存在的利益价值,就有人通过制造和传播计算机病毒来摧毁他人的计算机程序或窃取机密资料,谋取个人的利益。而计算机病毒的传播给网络安全带来了巨大的隐患,严重威胁人们的财产安全与信誉。计算机的种类多变、传播的途径多,具有复制和传播的功能,破坏其他计算机,传播的形式有图片传播、邮件传播和文件传播,有的还在下载的文件中进行传播,不仅传播的速度快,而且带来的危害大,及时的检测对于计算机病毒的预防有重要的作用。
1 常见的计算机病毒分析
许多国家对于计算机都有自己的定义,能够威胁到计算机程序的编码也被当做病毒,当前比较常见的计算机病毒主要有四种类型:其一,蠕虫病毒,其传播的方式主要是通过网络复制和邮件发送,当蠕虫病毒被激活后,其形态像虫子,可以吃掉屏幕上的所有字母;其二,木马病毒,作为最为常见的一种病毒,也是计算机杀毒软件检测的主要项目,用户一般都是在无意中点击激活,并且难以制止,木马病毒会损坏计算机程序,使某些功能丧失;其三,黑客程序,黑客一般是获取权限,可以攻击他人的电脑,正常使用对方的电脑,如某些网站受到攻击之后,可以更改页面信息;其四,脚本病毒,顾名思义,脚本病毒就是破坏其他电脑的脚本来达到目的,常见的脚本有HTML等。
2 常见的计算机病毒计算检测技术
2.1 自动防御检测
一般在电脑中安装常规的自动检测软件,具有自动检测防御的功能,当软件发现有程序可疑,会提醒用户停止运行会中止程序。其判断的机理类似于犯罪病人的非正常表现,当一些程序不符合规范时,运行的轨迹可疑,有破坏计算机的倾向,则自动防御技术会弹出提示框,提出警告或中止程序。其基本步骤是在计算机中安装建立好应用程序的调用接口,杀毒软件进行全盘的扫描检测,但程序符合规范则放行,发现可疑的程序或文件时就弹出警告窗,但是自动防御技术是通过分析程序行为是否正常来评估的,具有误杀的可能性,此外,对于某些比较高技术的病毒则无能为力。
2.2 启发式病毒扫描检测
启发式的病毒扫描检测即是在杀毒软件内置一个记忆功能,类似于建立一个库,其中存储了各种计算机病毒的类型,一旦计算机中出现类似于库中的病毒形式则马上会弹出提示框,提示用户存在病毒的可能性,及时终止程序。这种检测技术和自动防御类似,扫描全盘的程序,对可能有病毒特征的程序进行查杀。但是这种扫描检测技术也有出现误报的情况,尤其是对于一些模棱两可的程序,如在编辑杀毒软件中存储熊猫烧香的病毒类型,当出现类似于熊猫烧香的病毒程序就进行记忆分析,弹出警告框,提示用户终止程序。
2.3 智能型广谱式的病毒检测
这种检测技术对于高变种的病毒有较好的效果,尤其是病毒的类型具有转变性大、非连续性的特点时,可以对程序的所有字节进行分析整合。由于当前的计算机病毒的变种多,形式多样,而传统的病毒在很多杀毒软件中都有资料,检测起来比较快速。但病毒编制者为了让杀毒软件无法快速查处,会不断的转变病毒的形式,常规的检测技术具有一定的局限性,识别能力也较差,而智能型广谱式的病毒检测技术通过不同段的分析,对自己进行检测,当发现代码中出现两个以上的病毒编码则定义为病毒,找出病毒的准确性高,速度快,并且会主动移除病毒。
2.4 特征码计算机病毒检测
与启发式和自动防御有类似之处,以已知的病毒为识别的基础,存储在杀毒软件中,其步骤为专业人员对已知的病毒特征进行提取,然后根据原有的病毒进行扫描,具有相同的特征码的病毒则会被识别出来。但是此类检测技术对任意变形的病毒无能为力,只能进行有特征码的病毒检测工作。
3 计算机病毒预防分析
3.1 病毒检测
如上述内容介绍的,病毒的检测是预防病毒的重要手段,在被病毒感染的系统上通过查找踪迹来检测病毒存在与否。在计算机中,被病毒修改的部分有ROM通讯区、中断向量表、DOS通讯区等。常用的病毒检测方式有快照技术和扫描法,快照法是在系统初始化时记录关键信息,并加以存储,一旦发现有不同的情况,则可以定义为病毒;而扫描法通过扫描病毒的关键字来判断系统是否感染病毒,效率较高。
3.2 病毒识别
病毒识别是计算机感染病毒之后的重要操作手段,在系统的每个区域寻找具体的病毒代码,版权标志、病毒标记等特定的文件名,具有病毒特征,如果发现这些特征,则进行消除。识别并分离病毒的特征后才能开发一个消毒程序,对于大量的感染磁盘系统,用诸如反病毒软件和病毒杀手具有相当的速度。但是此类病毒程序的可靠性难以确定,尤其是对于有变种能力的病毒,效果较小,此外,在识别之前,如果系统被破坏,其识别程序的效用则会受到限制。
3.3 病毒监视
病毒监视有系统控制结构和监视系统表,并核对系统设备的请求,在系统启动后常驻内存监视其他程序。在系统启动时驻入内存,首先要执行病毒的预防程序,然后进行终端处理,当系统被感染时,病毒预防程序会发出警告。目前比较常用的方式是选择病毒感染特征区进行区分,正常时不对主引导扇区进行操作,但在主引导扇区进行文件的读写操作时,一般可以认为是非法的操作,并且向用户发出警告。这种监视功能对防止病毒扩散具有良好的效果。
4 结语
计算机技术已经融入了各个领域,推动了社会的进步,但是计算机病毒计算机和网络安全带来了巨大的威胁,造成巨大的财产损失,影响计算机网络的正常发展,论文分析常见的计算机病毒,并分析其检测技术和预防的技术,为相关的研究提供参考。
参考文献
[1] 胡慧雅.计算机病毒的技术预防措施[J].科技经济市场,2008,6(3):56-58.
[2] 余斌,刘宏培.浅析计算机病毒检则方法[J].福建电脑,2009,10(8):98-99.
关键词:计算机;安全漏洞检测技术;应用
中图分类号:TP393.08
在网络的覆盖范围越来越广泛的今天,人们在互联网上的活动与交流越来越频繁,甚至网络已经成为了绝大部分人生活中必不可少的一部分。计算机网络在国家、国家与国家、地区与地区之间的管理和联系也起着重要作用,并且现在的经济交流、国防建设、政治管理等方面都离不开计算机网络。计算机网络虽然是一个虚拟的平台,但是不可否认计算机网络一个对人类发展起着强大的促进作用,在这个平台中人们能够进行很多的经济活动、人际交往、教育教学等。现在的计算机网络设计到很多的重要信息,对于个人和国家都有很重要的意义,所以无论是个人还是国家都对计算机网络的可靠性格外重视。
计算机网络虽然发展非常迅速,但是还是存在着很多的不足,在人们对计算机网络依赖性越来越高的今天,计算机网络可靠性成为了众多计算机用户共同关心的话题。计算机网络的稳定性还不能够满足诸多用户的需求,这就导致计算机网络可靠性出现问题,会导致一些用户数据、信息的丢失,或者网络活动终止等问题。
1 计算机安全漏洞产生的原因及表现形式
产生漏洞的原因主要有以下几种:(1)操作系统存在安全漏洞。由于操作系统在设计编程过程中存在着一定的缺陷或者不足,导致了操作系统存在着一定的漏洞。(2)网络协议的安全存在安全漏洞。由于在进行网络通讯时需要用网络协议来进行信息的转换,而网络协议在设计过程中存在着一定的漏洞,导致了协议的安全系数较低。(3)应用程序的安全漏洞。应用程序的编写过程不够严谨导致了应用程序存在着一定的安全漏洞。
计算机安全漏洞的表现形式主要有以下几种:(1)计算机系统存在着一定的安全隐患和漏洞,而且普遍存在,系统的整体安全系数较低,容易受到威胁和攻击。(2)合法用户在未经授权的情况下能够提高访问权限,甚至能够具备最高的访问权限,获取最机密的信息,计算机系统在授权访问权限方面存在着一定的不足。(3)计算机系统在限制非法用户访问权限的能力上存在一定的缺陷,导致了非法用户存在获取系统访问权的可能性,使计算机系统的安全受到了一定程度上的威胁。
2 计算机安全所受到的威胁
当前计算机安全所受到的威胁种类形式比较多,主要表现为以下几种:
2.1 电子邮件攻击。当前随着人们交流方式的越来越多样化,电子邮件成为了一种重要的网络交流方式,而且十分的方便和快捷,所以许多不法分子看重这一点,通过大量发送垃圾信息邮件的方式来使用户的邮箱因为存储空间的不足而处于运行反应缓慢的状态,严重的话会导致邮件系统的瘫痪崩溃,严重威胁电子计算机的安全。
2.2 病毒攻击。病毒攻击是计算机网络安全问题的最常见的威胁,对于计算机系统的损害十分巨大。病毒的本质是程序,通过网络、磁盘等形式进行传播。病毒具备很强的破坏性和隐蔽性,一般用户很难发现,而且病毒一旦对计算机系统进行破坏,所导致的后果十分巨大,往往会带来不可估量的损失。
2.3 黑客攻击。黑客原本是高水平的电脑专家,但是今天则多指对计算机系统和用户进行攻击破坏的人,而且由于他们具备很高的电脑知识水平,善于发现计算机网络和软件的漏洞,所以对于计算机所存储的机密信息是很大的潜在威胁,令计算机用户防不胜防。
2.4 木马攻击。木马与病毒在本质上类似,均属于程序的范畴,通过伪装成用户常用的程序软件来进行攻击。由于用户缺乏足够的防范意识,一旦启动就会将用户的个人信息盗走,通过修改电脑参数的方式来获取重要的文件信息,在实际网络信息传播过程中,木马攻击与病毒攻击往往结合电子邮件攻击来进行。
3 提高计算机安全系数的措施
为了提高计算机的安全系数,检测弥补相关的漏洞,需要从以下几个方面来努力:
3.1 提高计算机程序编写人员的综合能力,提高系统的安全系数。程序编写人员编写能力的强弱决定着程序的质量和安全系数,针对当前有些黑客会根据程序编写员编写的程序而寻找到攻击系统的弱点,一方面要提高计算机程序编写人员的程序编写能力,减少程序的漏洞,防止黑客借助系统漏洞对计算机系统和用户信息进行攻击。另一方面要提高程序编写人员的思想觉悟水平,要认识到自身工作的重要性,使自己能够尽职尽责的工作,严格约束自己的行为,禁止出现违反职业道德的行为,从根本上保护计算机系统的安全性。
3.2 增强设备性能,优化计算机网络设计。计算机网络可靠性提高需要增强使用设备的性能,并且优化计算机网络的设计。一方面,使用设备要跟上时代步伐,具备较强的适应性,能够承担越来越多用户带来的负担,设备在运行过程中要减少局部出现故障的现象,以防止由于设备原因影响计算机网络可靠性的情况。另一方面,计算机网络的设计要进一步的改进,使计算机网络一旦出现问题能够更加智能的采取一系列的补救措施,使损失降到最低。如在计算机网络设计中采取双网络结构设计,一旦主网络不能够实用,另一层网络能够维持整个网络的正常运行。
3.3 规范计算机用户的上网行为,提高防范意识,抵制不良诱惑。在实际上网行为中,许多情况是因为计算机用户主动打开了某些程序而导致了系统受到攻击,所以计算机用户要具备较强的防范意识,对于危险的程序要具备一定的判断能力,自觉抵制不良信息网站的诱惑,减少木马病毒的传播概率。同时要定期对电脑进行漏洞扫描和病毒查杀,要采用比较正规的杀毒软件,提高杀毒的质量。
3.4 净化计算机网络的环境,严厉打击网络违法犯罪行为。国家要加大监督执法力度,规范大众的上网行为,净化计算机网络环境,对于那些网络违法行为要予以严厉的打击,起到警示的作用,以减少犯罪行为的发生。同时要加大健康文明上网的宣传力度,唤起全民抵制违法犯罪的思想认识,监督并及时制止危害计算机系统安全的行为,树立起良好的社会风气。
4 结束语
在信息化时代的今天,计算机网络在社会主义发展建设的各个领域都占有者十分重要的地位,所以提高计算机安全系数,及时地找出并弥补系统漏洞,具有十分重要的现实意义。作为一项任务艰巨而又长期的工作,需要从多方面进行努力,才能实现真正的网络系统安全。
参考文献:
[1]陈骏铭,王景中.一种基于SNMP协议网络安全管理平台反病毒模块的设计[A].2006北京地区高校研究生学术交流会――通信与信息技术会议论文集(上)[C].2006.
[2]韩春晓,常泽威,刘永强.三网融合下的网络安全问题研究[A].2011年通信与信息技术新进展――第八届中国通信学会学术年会论文集[C].2011.
[3]文齐,印桂生,杨光.基于端口扫描和插件的网络漏洞扫描器的设计[A].2006北京地区高校研究生学术交流会――通信与信息技术会议论文集(下)[C].2006.
[4]李国兵.探讨计算机网络安全应用的相关问题[J].城市建设理论研究,2012(04).
关键词:网络;病毒;防范
Abstract: This paper analyzes the current computer virus in the net age characteristics, and put forward the corresponding preventive measures, on the future of the virus prevention trend forecast and judgement.
Key words: network; virus; guard against
中图分类号:G623.58
引言:随着计算机在 社会 生活各个领域的广泛运用,计算机病毒攻击与防范技术也在不断拓展。据报道,世界各国遭受计算机病毒感染和攻击的事件屡屡发生,严重地干扰了正常的人类社会生活,给计算机网络和系统带来了巨大的潜在威胁和论文破坏。同时随着网际互联网的迅猛 发展 , 电子 邮件成为人们相互交流最常使用的工具,于是它也成电子邮件型病毒的重要载体,最近几年,出现了许多危害极大的邮件型病毒,如“LOVEYOU"病毒、“库尔尼科娃”病毒、“Homepage”病毒以及“求职信”病毒等,这些病毒主要是利用电子邮件作为传播途径,而且一般都是选择Microsoft Outlook侵入,利用Outlook的可编程特性完成发作和破纠。因此,防范计算机病毒将越来越受到世界各国的高度重视。
1、计算机病毒的特点
计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。广义的计算机病毒还包括逻辑炸弹、特洛伊木马和系统陷阱入口等等。计算机病毒虽是一个小小程序,但它和通的计算机程序不同,具有以下特点。
(1)计算机病毒的程序性(可执行性)计算机病毒与其他合法程序一样,是一段可执行程序,但它不是一个完整的程序,而是寄生在其他可执行程序上,因此它享有—切程序所能得到的权力;
(2)计算机病毒的传染性:传染性是病毒的基本特征,计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机。病毒程序代码一旦进入计算机并得以执行,它就会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的;
(3)计算机病毒的潜伏性:一个编制精巧的计算机病毒程序,进入系统之后一般不会马上发作,可以在几周或者几个月内甚至几年内隐藏在合法文件中。对其他系统进行传染,而不被人发现;
(4)计算机病毒的可触发性:病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性;
(5)计算机病毒的破坏性系统被病毒感染后,病毒一般不即时发作,而是潜藏在系统中,等条件成熟后,便会发作,给系统带来严重的破坏;
(6)攻击的主动性:病毒对系统的攻击是主动的,计算机系统无论采取多么严密的保护措施都不可能彻底地排除病毒对系统的攻击,而保护措施充其量是一种预防的手段而已;
(7)病毒的针对性计算机病毒是针对特定的计算机和特定的操作系统的。例如,有针对IBM PC机及其兼容机的,有针对Apple公司的Macintosh的,还有针对UNIX操作系统的。例如小球病毒是针对IBMPC机及其兼容机上的DOS操作系统的。
2、计算机病毒的技术分析
长期以来,人们设计计算机的目标主要是追求信息处理功能的提高和生产成本的降低,而对于安全问题则重视不够。计算机系统的各个组成部分,接口界面,各个层次的相互转换,都存在着不少漏洞和薄弱环节。硬件设计缺乏整体安全性考虑,软件方面也更易存在隐患和潜在威胁。对计算机系统的测试,目前尚缺乏自动化检测工具和系统软件的完整检验手段,计算机系统的脆弱性,为计算机病毒的产生和传播提供了可乘之机;全球万维网(www)使“地球一村化”,为计算机病毒创造了实施的空间;新的计算机技术在电子系统中不断应用,为计算机病毒的实现提供了客观条件。国外专家认为,分布式数字处理、可重编程嵌入计算机、网络化通信、计算机标准化、软件标准化、标准的信息格式、标准的数据链路等都使得计算机病毒侵入成为可能。
实施计算机病毒入侵的核心技术是解决病毒的有效注入。其攻击目标是对方的各种系统,以及从计算机主机到各式各样的传感器、网桥等,以使他们的计算机在关键时刻受到诱骗或崩溃,无法发挥作用。从国外技术研究现状来看,病毒注入方法主要有以下几种:
1.无线电方式。主要是通过无线电把病毒码发射到对方电子系统中。此方式是计算机病毒注入的最佳方式,同时技术难度也最大。可能的途径有:①直接向对方电子系统的无线电接收器或设备发射,使接收器对其进行处理并把病毒传染到目标机上。②冒充合法无线传输数据。根据得到的或使用标准的无线电传输协议和数据格式,发射病毒码,使之能够混在合法传输信号中,进入接收器,进而进入信息网络。③寻找对方信息系统保护最差的地方进行病毒注放。通过对方未保护的数据链路,将病毒传染到被保护的链路或目标中。
2.“固化”式方法。即把病毒事先存放在硬件(如芯片)和软件中,然后把此硬件和软件直接或间接交付给对方,使病毒直接传染给对方电子系统,在需要时将其激活,达到攻击目的。这种攻击方法十分隐蔽,即使芯片或组件被彻底检查,也很难保证其没有其他特殊功能。目前,我国很多计算机组件依赖进口,困此,很容易受到芯片的攻击。
3.后门攻击方式。后门,是计算机安全系统中的一个小洞,由软件设计师或维护人发明,允许知道其存在的人绕过正常安全防护措施进入系统。攻击后门的形式有许多种,如控制电磁脉冲可将病毒注入目标系统。计算机入侵者就常通过后门进行攻击,如目前普遍使用的WINDOWSXP,就存在这样的后门。
4.数据控制链侵入方式。随着因特网技术的广泛应用,使计算机病毒通过计算机系统的数据控制链侵入成为可能。使用远程修改技术,可以很容易地改变数据控制链的正常路径。
3、计算机病毒的防范措施
计算机网络中最主要的软硬件实体就是服务器和工作站,所以防治计算机网络病毒应该首先考虑这两个部分,另外加强综合治理也很重要。
2.1基于工作站的防治技术
工作站就像是计算机网络的大门。只有把好这道大门,才能有效防止病毒的侵入。工作站防治病毒的方法有三种:一是软件防治,即定期不定期地用反病毒软件检测工作站的病毒感染情况。软件防治可以不断提高防治能力,但需人为地经常去启动软盘防病毒软件,因而不仅给工作人员增加了负担,而且很有可能在病毒发作后才能检测到。二是在工作站上插防病毒卡。防病毒卡可以达到实时检测的目的,但防病毒卡的升级不方便,从实际 应用 的效果看,对工作站的运行速度有一定的 影响 。三是在网络接口卡上安装防病病毒芯片。它将工作站存取控制与病毒防护合二为一,可以更加实时有效地保护工作站及通向服务器的桥梁。但这种方法同样也存在芯片上的软件版本升级不便的 问题 ;而且对网络的传输速度也会产生一定的影响。
3.2 基于服务器的防治技术
网络服务器是计算机网络的中心,是网络的支柱。网络瘫痪的—个重要标志就是网络服务器瘫痪。网络服务器—旦被击垮,造成的损失是灾难性的、难以挽回和无法估量的。目前 基于服务器的防治病毒的方法大都采用防病毒可装载模块(NLM),以提供实时扫描病毒的能力。有时也结合利用在服务器上的插防毒卡等技术,目的在于保护服务器不受病毒的攻击,从而切断病毒进一步传播的途径。
3.3 加强计算机网络的管理
计算机网络病毒的防治,单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的,只有把技术手段和管理机制紧密结合起来,提高人们的防范意识,才有可能从根本上保护网络系统的安全运行。目前在网络病毒防治技术方面,基本处于被动防御的地位,但管理上应该积极主动。应从硬件设备及软件系统的使用、维护、管理、服务等各个环节制定出严格的规章制度、对网络系统的管理员及用户加强法制教育和职业道德教育,规范工作程序和操作规程,严惩从事非法活动的集体和个人尽可能采用行之有效的新技术、新手段,建立”防杀结合、以防为主、以杀为辅、软硬互补、标本兼治”的最佳网络病毒安全模式。
