计算机病毒的原理与防范

摘要

结合现在这个阶段的实际情况来看,计算机病毒的波及范围是愈发广泛了,而且已经为电脑网络的安全性造成了很大的威胁。只有知道更加详细、全面的电脑知识,方可以无惧任何的电脑病毒。故而笔者在这篇文章当中就专门针对电脑病毒的一些情况来展开相应的介绍,从而获得更为理性的了解,并基于此而提出部分更为有效的预防手段,希望可以尽可能的避免由于电脑病毒而造成的各种危害。所以这也就充分说明了,更为有效的防范措施对于电脑病毒预防来讲,是最为有效的和经济的,也应当被大家所重视。在这一过程中,应该先对电脑病毒进行充分的了解和感知,进而去对其造成的攻击进行预防,在有效保护电脑相关数据安全的基础上,让互联网的积极作用被充分的发挥出来。

关键词:计算机;病毒;传播途径;预防

第1章 计算机病毒的概念及危害

1.1 计算机病毒的概念

这种病毒指的是通过相关研制人员在电脑程序内添加了具有破坏性的功能或数据的相关代码,从而对电脑的应用造成影响,并且可以进行自主复制的一组电脑指令或程序代码。

计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。计算机病毒的生命周期:开发期→传染期→潜伏期→发作期→发现期→消化期→消亡期。

其实这种病毒通常表现为一个程序,当然优势也会表现为一段可执行码,如同生物病毒那般,存在着自我繁 衍、彼此感染、激活与重生等这些鲜明特点。也正是因为电脑病毒存在比较特殊的复制功能,所以说可以迅速的扩散开来,且很难完全清除,它们可以附着于不同类型的文件当中,只要文件使用者在实施复制、或者是传送操作的时候,这些病毒同样会随之转移,并继续扩散。[1]

1.2 计算机病毒的特征

1.繁殖性

这一病毒与生物病毒有一定的相似度,那就是能够不断的繁殖,它会在正常程序被使用时随之出现自主复制。因此我们可以通过它的感染以及其繁殖特征来进行判定。[2]

2.破坏性

当电脑染上病毒以后,也许就会造成正常程序难以使用,而且也会将电脑里面的部分文件予以删除、或者是直接被损坏,甚至也可能会对其硬件环境造成很大的不利影响。

3.传染性

这里的传染性指的是电脑病毒经由改变其他程序把自己的复制品或者是相关变体传播到别的没有病毒的对象中,而此类对象就包括程序、系统的某部件等。

4.潜伏性

这里的潜伏性指的是此种病毒能够附着在别的媒体上并进行寄生的能力,当某电脑被感染后,其病毒会潜伏到所需条件成熟的时候才会呈现出来,从而导致电脑在其运行过程当中非常卡。

5.隐蔽性

通常来讲,大部分的计算机病毒均存在着比较强的隐蔽性,而病毒软件的检测也往往很难检测出来。另外,这些具有较强隐蔽性的病毒还是不断变化的和时隐时现的,故而在对其进行处理时有着极大的难度。[3]

6.可触发性

计算机病毒通常在研制的时候就对其配置了部分触发的条件,比方说,在电脑系统的时钟显示出某个时间或者是日期时;又比方说当电脑系统使用了某个程序时。只要病毒所需的条件得以满足,那么便会“发作”,从而让电脑系统遭受不同程度的破坏。

1.3 计算机病毒的结构

一是触发模块:经过对是否满足指定的触发条件进行评估,以控制病毒的感染与破坏活动。二是感染模块:经过对是否满足指定的触发条件进行评估,以控制感染与破坏动作的频率,让病毒在隐藏的情况下实施感染与破坏活动。三是破坏模块:它主要涵盖了破坏条件的判断部分,以确定有没有被破坏,在什么时候被破坏。四是主控模块:病毒运行时,首先要对病毒的主控模块予以运行。再由主控模块去带动病毒的运行。五是感染标志:当病毒对宿主程序进行感染时,应该将感染标志写进宿主程序中,意味着该程序已经被感染。[4]

第2章 未来计算机病毒的发展趋势

2.1 利用网络进行传播的病毒成为最主要的病毒类型

网络的发展不仅让大家的生活方式出现变化,还让病毒的传播途径越来越广泛。如今,病毒研发人员在释放病毒时的第一选择就是网络途径,因为这在瞬间便可以侵害整个互联网,并导致极大损失,最常见的网络病毒包括有蠕虫和木马。

2.2 木马病毒日益突显

它和一般病毒造成的破坏性并不一样,通常不会对主机进行直接感染,会隐藏在主机里面,再利用远程控制,让别的电脑来破坏被控制的主机,并对其中的机密文件进行窃取。

2.3 病毒技术不断发展

病毒的研发总是会对先进的计算机技术进行使用。所以,只要产生了新计算机技术,那么研发病毒的人马上就会对这项技术进行学习,从而把它用在病毒程序的编写中,这样会让病毒程序产生更大的破坏力,并难以被检测到常用的有Rootkit技术和映象劫持技术等这些。[5]

第3章 计算机病毒的传播与传播模型

3.1 基于网络的病毒传播模式

3.1.1 通过Email进行传播

只要把病毒代码添加到Email里,就可以实施传播,这属于网络病毒扩散的方式之一。因为现在很多年轻人都倾向于使用电子邮箱,从而也就为那些心怀不轨之人提供了可趁之机,最终导致此类传播方法被很多病毒研制者所使用。此种传播方式主要包括如下这两类:首先,直接把那些存在危险的代码引进到Email中;其次,把那些存在危险的代码URL连接引进到Email里面。除此之外,病毒借助于Email实施扩散主要包括以下几步:

(1)寻找目标地址

病毒会对被感染电脑的Email地址簿、历史记录以及其硬盘进行可用Email地址的搜索。比方说在临时Internet文件夹内被保存的HTML文件就有可能会含有病毒传播所适合的Email地址。若使用者安装并使用了如outlook的软件,那么病毒就会对其中的邮件地址进行搜索。[6]

(2)将自身复制并发送出去

在病毒搜索到了能够利用的目标地址以后,便能够把自己进行复制,然后再发送出去。由于大多数病毒是十分隐蔽的,因此说在进行邮件发送时,其并非是直接显示病毒的,而是对于使用者所用的信纸进行感染,并经由改变系统的相关设定去让邮件信纸默认成HTML格式。如此一来,在使用者进行邮件发送的时候,病毒便会主动对邮件的正文进行感染。

(3)激活病毒代码

当病毒代码随着邮件到了接收端以后,并非是自动激活的,这就需要使用者在某些操作中将其激活。所以说,病毒就会采取一些方式去引导使用者对其代码进行激活,比方说病毒会显示一些存在着欺骗性的标题以及内容等,进而在使用者好奇或者是不清楚的情况下打开此类附件,此时就会将病毒代码给完全激活。              

3.1.2 通过扫描系统漏洞传播

在多种计算机病毒中,蠕虫病毒代码则采用了独立程序形式存在,并不会“寄生”在其他文件中。这一病毒的传播方式则是借助于远程扫描Internet内所具有的漏洞,再借助此类漏洞把自己传送到其他的主机中,然后夺取系统的控制权并对主机实施攻击和破坏。[7]

对于蠕虫病毒来讲,其获取系统权限的基本方式包括以下这些:

(1)利用系统漏洞

它通常会借助于部分系统或者是软件所存在的漏洞去实施传播。比如说一些浏览器为让预览功能得以实现,就会自主运行相关的EML文件。蠕虫和Email传播存在着较大的差异,其往往是借助于系统的漏洞,从而能够经由远程去获取已联网计算机的控制权。

(2)利用局域网传播

如果说部分局域网的管理者出现了疏忽,从而导致其中的电脑文件夹能够被远程控制,这就会给蠕虫病毒可钻的空子。蠕虫能够直接对自己进行拷贝,进而复制到局域网内的能够被改写的启动目录中,最终实现传播的目的。也有一部分病毒能够在局域网内找到可写的win.ini、或者是改变注册表,从而导致被感染的主机在重新启动时被蠕虫所利用。

(3)利用服务器漏洞

蠕虫其实也能够借助于部分较多见的服务器漏洞,比如说IIS漏洞等,进而得到远程服务器的控制权,然后就能够随意的把恶意代码传送到服务器中,最终造成所有访问这个服务器的电脑均被感染。

3.1.3 通过无线电的方式传播

其实无线电同样也可以把病毒扩散到其他的电子系统中,再经接收设备把病毒传送到口标机器中;另外,还能够假冒合法的无线传输数据进行病毒码的发送,进而对网络系统实施感染以及攻击。

3.2 几个经典的计算机病毒传播模型

3.2.1 SIS模型

我们一般把Susceptible-Infected-Susceptible模型给简单的叫做SIS模型,主要是把网络内的个体划分成易感染(S)与感染(I)两类状态。在病毒对某易感染节点予以感染以后,就会变成感染节点,当这一节点被处理好以后就又变成易感染节点,所以说,病毒能够在群体中进行反复传播,进而得以长时间的存在。它的传播模型在下图3.1中可以看见:

我们根据以上这些方程来看,当中所代表的是沾染病毒的一个机率所代表的是将病毒给彻底清除掉的一个机率所代表的是单位时间中被处理好的感染者数量,N所代表的是网络内所含的节点总数量,所代表的是刚开始传播病毒时被感染的电脑数量。在SIS模型中,其实也没有对易染节点经由反病毒手段获取免疫的相关问题进行认真思考。

3.2.2 SIR模型

Susceptible-Infected-Removed模型可缩写为SIR模型。主要是把网络内的节点划分成易感染((S)、感染(I)以及免疫(R)这三类不同的状态。其中的免疫状态,则指的是此节点对于病毒感染存在着抵抗能力,也不会再被这种病毒所感染,此时的主机也就脱离了病毒侵害的过程,故而我们也能够把此类状态叫做移除状态。[8]

我们根据以上这些方程来看,当中所代表的是病毒感染机率所代表的是病毒的清除机率,N所代表的是网络内所含的节点总数量。

基于生物学模型进而设立了SIS与SIR两种模型,但是,对于计算机病毒来讲,本身和生物学病毒具有着较大的差异,如果生硬的进行模型套用则必定会出现不适合的地方。比如说着两种模型对于病毒的传播只考虑常,并未对外来因素所形成的影响进行考虑。所以,人们又对这些模型进行了相应的完善。 [9]

3.2.3 SEIR模型

我们一般是把Susceptible-Exposed-Infected-Removed模型给简单的叫做SEIR模型。其基于SIR模型增加了一项潜伏状态,主要是对于一些已收到病毒代码,但是还没有表现出病毒特点的个体予以阐述。而别的状态则和SIR模型中的定义相同。其认为病毒在传播的过程中具有着感染延迟的情况,具有着一个潜伏期,只有被相关操作激活后才能够对个体进行感染,而在这个潜伏期中,感染个体是不会呈现出被感染症状的。因此说,从这个模型来看的话,即便是已被治愈的节点,还是存在一定的几率变成易感染节点。[10]

对于SEIR模型的实质来讲,其属于SIS与SIR两个模型的有效结合。这个模型不但考虑了被治愈后的节点拥有了免疫的现象,而且还对于感染节点会再次被别的病毒感染而变成易染节点的状况进行了考虑。也就是说比较适合对于把全部病毒都当成整体的情况进行阐述。在SEIR模型和SIR模型进行对比时,前者所具有的优点就是对病毒传播过程进行了更加详细的考虑。按照前面所述的状态转换图,我们最终能够得出SEIR模型的相应数学模型:

3.2.4 SIDR模型

Susceptible-Infectious-Detected-Removed模型,简称SIDR模型〔191。是一个描述病毒传播和清除过程的模型。有以下这几种状态:

Susceptible ( S)表示该节点有感染病毒的可能,Infectious ( I)说明节点已经感染病毒,而且会向外传播,Detected ( D)说明节点被感染,不过已被检测到并遏制其向外传播,Removed ( R)说明节点对病毒有免疫力,不会被同一种病毒感染。

3.2.5 双因素模型

这种模型不仅将蠕虫的防御措施考虑在内,还涉及到感染率对病毒传播造成的影响。当病毒进行扩散时,大家肯定就能了解到这种病毒的危害性,然后积极使用有效措施。

通常用以下微分表达式去表示双因素传播模型:

第4章 计算机病毒防御策略

有效的防范是处理病毒攻击的最佳方式,能够对其传播进行有效的抑制。然而,因为网络自身所具有的复杂 性,以及相关技术上的制约,对于病毒的防范也是比较困难的一件事。何况从现在这个阶段来看的话,也只是采用了检测与排除的方式为主,基本上都是对以下防御对策进行使用:

4.1 基于主机的检测策略

以主机为主要依据的病毒防御又可以分为下面这三类:

首先是对于特征码的匹配:经对于主机所接收的代码实施扫描,然后和病毒特征库内所含的特征码实施匹配,进而去判定所接收的代码是不是恶意的。在这一方面,若是病毒和它的变种存在着共性的话,就能够把此类共性看作是“特征码”,再依照这些具有特点的码去搜查出病毒。那么新病毒的出现就会出现新的“特征码”,因此说此方式需要持续的实施更新,才能最大程度的减少新病毒的感染几率。

其次是对于权限实施管控的技术:当主机被恶意代码侵入后,就一定要夺取使用权限后才可以导致破坏。所以说,若可以更好的管控主机中的程序权限,则能够尽可能的降低恶意代码的破坏能力。此类病毒检测技术必须要对可疑程序代码的指令序列进行检测和识别,并将它的安全级别实施合理排序,还要依照病毒代码的相应特征去进行相关权值的设定。若某程序指令序列所具有的总加权值高于许可的闭值,则反映出这个程序内具有着病毒代码。

最后是完整性技术:一般情况下,病毒代码多为嵌入或着是附着在别的文档程序中来进行传播的,而被感染的文件或者是程序在完整性上就往往是有所欠缺的。故而,在应用文件之前对其进行检测,以判断是不是和最初保存的相同,进而就能够判定其是不是被感染了。对于文件的完整性进行检测的技术成为了一个比较高效的检测方式,这是因为病毒对文件进行感染时也必定会对原文件进行修改。

总而言之,以主机为基础的病毒防治措施就要求使用者的主机中必须安装相关防毒软件,并要对防毒软件进行及时的更新。所以说,其不足之处就是可管理性比较差以及成本比较高等。

4.2 基于网络的检测策略

以网络为基础的病毒检测分为下面两类技术:

首先是对于异常情况进行检测:当病毒进行传播的时侯,往往要发送很多网络扫描探测包,这就会造成网络流量的显著变化,所以说,对于这种异常行为实施检测和有效的管控就成为了一类比较有效的反病毒措施。这种方式的优点就是可以非常快的寻找出网络流量所出现的异常,从而对其进行有效的处理措施,不但可以对已经知道的病毒进行检测,还可以检测出那些还未探知的病毒。但是,不足之处就是形成了较多的误报情况。

其次是在误用方面进行检测:以特征码为基础,对于待测数据流进行有效的检测和比对,进而剖析其是不是带有病毒。用于检测的特征码规则可分为多种,如协议类型、数据包长度等。这一检测方式的优势就是有较高的准确率,可以获知病毒的具体类型,但不足之处就是无法检测出病毒库中没有收录的新病毒,这是需要进一步提高和解决的问题。

以网络为基础的防治措施,可以从宏观方面去对病毒传播实施管控,而且是比较容易实现的,在维护方面也更加便捷。

对于计算机的传播模型实施深入的探讨,主要目的就是能够更好的去认识病毒传播的相应特征,进而制定出更加高效的检测以及防御病毒的方案,让使用者的计算机应用得以有效的保护。

4.3 建立起一套行之有效的计算机病毒防护体系,并把好硬件的安全关

对于这个防护体系来讲,它本来是由多重防护层构成的,包括了病毒检测层、清理层以及系统恢复层等这些,而且各层均是在软、硬件共同支持下去实施规范性操作的。其中,闭硬件就是计算机防护中的一个关键性条件,此类信息系统所使用的设备均要符合国家的相关规定。

4.4 加强工作站的防治技术

工作站如同预防网络病毒的一座大门,在它的相关设备上就安设了防病毒卡,因此能够对计算机中隐藏的病毒进行检测,而定期的对其实施升级便能够在很大程度上提高其工作速度;另外,在网络接口位置安设防病毒芯片,也能够起到管控与防范的作用,不仅对工作站产生保护,能让网络传输速度增快,还能够经定期的病毒检测去选择更加合适的病毒防治软件。

4.5 从安全、可靠的渠道下载软件

现在有很多网站都提供了软件下载的功能,可是我们并不知道哪些渠道是真正安全可靠的,所以这种局面下,最好是在有良好信誉和口碑的网站中实现下载功能,以充分保证计算机不会受到病毒的入侵,而且该方法是十分简单。

4.6 采用服务器的防治技术

作为网络中的重要组成部分,服务器如果出现瘫痪的情况,那么必然会导致无法衡量的损失。只有确保服务器免遭病毒的入侵,才可以对病毒的传播进行遏制。这就要求我们在平时用电脑时千万不可以随便打开来自陌生对象发送的邮件,即使存在附件说明,也建议不要打开,否则将很容易在打开邮件的过程中将病毒带入到计算机中。

结论

对于电脑的病毒传播模型以及相关的防范措施进行深入的探讨,就是为了能够更加深入的认识当前电脑病毒传播的现状,进而去制定出更好的应对措施,尽可能的减少因计算机病毒而带给使用者的各种损害,更好的建立起健康的和安全的互联网大环境。对于这些方面的研究,目前已经被全世界的相关专家所重视。但是,已经取得的部分研究成果还无法很好的满足病毒传播的具体数据。

本站文章通过互联网转载或者由本站编辑人员搜集整理发布,如有侵权,请联系本站删除。

本文链接:https://www.ttxsai.com/news/2251.html

滚动至顶部