計算機病毒檢驗技術分析

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了計算機病毒檢驗技術分析范文，希望能給你帶來靈感和參考，敬請閱讀。

1概述

“計算機病毒”一詞最早用來表達此意是在弗雷德•科恩（FredCohen）1984年的論文《電腦病毒實驗》中，隨著網絡的不斷延伸以及人們對計算機的依賴程度的加深，計算機病毒的危害程度也呈現幾何倍數增長。1999年的“Melissa”、2000年的“Iloveyou”、2003年的“沖擊波Blaster”，以及我國2006年著名的“熊貓燒香病毒”，其造成的經濟損失都是上億美元。伴隨著病毒攻擊和破壞行為的日益普遍化和多樣化，信息系統安全受到了嚴重的挑戰，因此，剖析計算機病毒的基本原理并研究相應的防治技術，保障計算機系統的安全和可靠性是很有必要的。

2計算機病毒的分類和特點

按照我國1994年2月18日頒布實施的《中華人民共和國計算機信息系統安全保護條例》第二十八條的定義“，計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼”。

2.1計算機病毒的功能結構計算機病毒主要由感染機制、載荷機制、觸發機制組成，三個機制間相互關聯，感染機制通過一定的載荷，尋找目標空間，開啟觸發機制進行病毒的破壞動作。感染模塊是病毒進行感染時的動作部分，通過感染模塊，病毒首先尋找到一個可執行文件，然后檢測該文件是否有感染標記，若沒有，則將病毒代碼寫入宿主程序，進行目標感染。觸發模塊則是按照預先設置好的條件，控制病毒的感染或破壞動作。觸發條件中包含病毒的感染或破壞動作的頻率，以及病毒的狀體是隱蔽還是直接進行文件或系統的感染或破壞。病毒的觸發條件的形勢包括時間、日期、感染的次數、發現特定程序、特定中斷的調用次數等等。病毒的破壞模塊主要負責實現病毒破壞動作，模塊內部是實現病毒編寫者預定破壞動作的代碼。破壞動作可能是破壞文件、數據，也可能是破壞計算機的時間效率和空間效率或者使機器崩潰。

2.2計算機病毒的分類計算機病毒的分類標準有很多，可按攻擊的系統、機型或是病毒的鏈結方式、破壞情況、寄生部位或傳染對象以及激活時間等標準分類。按照病毒的鏈接方式，病毒主要分為源碼型病毒、嵌入型病毒、外殼型病毒、操作系統型病毒四類。源碼型病毒主要攻擊高級語言編寫的程序，在程序編譯前將病毒程序插入到源程序中，使源程序與病毒程序經編譯后成為一體；嵌入型病毒主要是將自身嵌入到現有程序源碼中，以插入的方式將計算機病毒的主體程序與其攻擊的對象鏈接；外殼型病毒主要將其自身包圍在主程序周圍，不修改源程序；操作系統病毒主要是通過病毒運行將病毒邏輯部分取代操作系統的合法程序，導致整個系統的癱瘓或效率降低。典型的操作系統型病毒有圓點病毒和大麻病毒。另外按照病毒傳染對象可分為磁盤引導區傳染的計算機病毒、操作系統傳染的計算機病毒、可執行程序傳染的計算機病毒等，按照寄生方式和傳染途徑可分為引導型病毒、文件型病毒等。

2.3計算機網絡病毒的特點計算機病毒主要有以下特點：①寄生性，可以寄生在正常程序中，可以跟隨正常程序一起運行，但是病毒在運行之前不易被發現。②傳染性，可以通過種種途徑傳播。③潛伏性，計算機病毒的作者可以讓病毒在莫一時間自動運行。（統一的，在莫一時間大規模的爆發）④隱蔽性，不易被發現。⑤破壞性，可以破壞電腦，造成電腦運行速度變慢.死機.藍屏等問題。⑥可觸發行，病毒可以在條件成熟時運行，這樣就大大增加的病毒的隱蔽性和破壞性。

3計算機病毒檢測方法

根據檢測的原理不同、檢測所需的開銷不同、檢測的范圍不同，計算機網絡病毒的檢測方法也存在區別，常見的方法有長度檢測法、病毒簽名檢測法、特征代碼檢測法、校驗和法、行為監測法、感染實驗法、生物免疫法、人工智能方法等。

3.1長度檢測法。當程序感染病毒時，最明顯的癥狀就是起宿主程序增長，一般增長幾百字節。長度檢測法就是通過定期的監視文件長度的變化，從而獲取文件長度的非法增長信息，以此來判定病毒程序的存在。通過長度增加的多少，與病毒庫文件大小進行對比，就可以判斷病毒的種類和類型。但有時文件的長度是合法的，而且源程序在不知情情況下的修改也可能造成長度的變化，或是在不同版本的操作系統性也會引起文件長度的變化，因此，長度檢測法不能識別保持宿主程序長度不變的病毒。

3.2病毒簽名檢測法。有些病毒感染宿主程序時，會在宿主程序中的不同位置放入特殊感染標記。因此，通過病毒樣本剖析，可以了解部分病毒簽名的內容和位置，然后通過對可疑程序的特定位置搜索病毒簽名的方式，來獲取病毒感染信息。并通過與病毒簽名庫的對比，獲取相應的病毒種類和類型。該法的局限性在于：首先必須通過剖析病毒，把握各種病毒的簽名，預先知道病毒簽名的內容和位置；其次，由于正常程序在特定位置具有和病毒簽名完全相同的代碼，可能存在虛假報警。

3.3特征代碼檢測法。有些病毒在判斷宿主程序是否受到感染時，是以宿主程序中是否含有某些可執行代碼段做為判斷依據的。因此，通過，采集已知病毒樣本；在病毒樣本中，抽取特征代碼；將特征代碼納入病毒數據庫；在被打開被檢測文件中，搜索、檢查文件中是否含病毒特征代碼；若發現病毒特征代碼，通過與病毒數據庫比對，就可以查出文件中患有何種病毒。該法檢測準確、快速、誤報率低，同時可判斷病毒種類和類型。

3.4校驗和法。對正常文件的內容，計算其校驗和，將該校驗和寫入文件中或寫入別的文件中保存。在文件使用過程中，定期地或每次使用文件前，檢查文件現在內容算出的校驗和與原來保存的校驗和是否一致，因而可以發現文件是否感染，該法稱為叫校驗和法。該法優點在于既能發現已知病毒又可發現未知病毒。但缺點是無法發現病毒的種類和具體名稱，存在誤報警，對隱蔽性病毒該方法無效。

3.5行為監測法。該法主要是利用病毒的特有行為特性來查找病毒程序。該方法的優點是可以發現未知病毒，并且可以對未知的多數病毒進行相當準確地預報;但該方法的短處存在可能誤報警，病毒名稱不能識別，在具體的操作時有一定難度。

3.6軟件模擬法。該法是為了檢測多態性病毒而研發的新的病毒檢測方法。主要思想是用軟件方法來模擬和分析程序的運行。

3.7感染實驗法。該方法的原理就是利用所有病毒都會進行感染的特征。一旦感知系統存在異常，而最新的病毒檢測工具也無法檢測出病毒時，可以先運行可疑系統中的程序，然后運行確定不帶毒的安全程序，觀察正常程序的文件名長度或是校驗和是否發生變化，如果正常程序被感染而發現異常，則可斷定系統中存在病毒。

3.8基于生物免疫系統的計算機病毒檢測方法。該方法能夠快速、自動地檢測出已知和未知的病毒。該方法主要由以下幾個部分組成：首先對已知的病毒進行分析，提取這些病毒的基本特征信息，將這些信息以類似疫苗的形式注入病毒檢測系統中，通過接種疫苗和免疫檢測來實現對計算機病毒的檢測。

4結論

由于計算機網絡病毒危害性、多樣性和復雜性的同步增長，目前，病毒已成為計算機系統安全性的最大威脅。因此，研究計算機病毒的智能檢測技術，病毒檢測與清除、病毒傳播抑制、漏洞修復、病毒代碼的行為阻斷等多種防范措施，保障計算機系統的安全是一項很有必要和具有重要意義的工作。