計算機(jī)病毒檢測技術(shù)分析

摘要：計算機(jī)病毒是在計算機(jī)快速發(fā)展中演變而來的，其對計算機(jī)網(wǎng)絡(luò)安全以及計算機(jī)本身的使用性都有很嚴(yán)重的損害，目前計算機(jī)病毒的形式越來越多，且讓人更加猝不及防，嚴(yán)重威脅計算機(jī)和計算機(jī)網(wǎng)絡(luò)安全。本文通過分析計算病毒檢測技術(shù)，并如何對不同病毒檢測及預(yù)防做分析，提高計算機(jī)安全。

關(guān)鍵詞：計算機(jī)病毒；檢測技術(shù)；分析

中圖分類號：TP309 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9599 （2012） 21-0000-02

1 前言

計算機(jī)病毒剛開始出現(xiàn)時不叫病毒也不屬于有害物質(zhì)，只是隨著計算機(jī)技術(shù)的不斷進(jìn)步和各種問題趨于利益化，使有些人通過制造計算機(jī)病毒侵入到他人的計算機(jī)中進(jìn)行竊取資料或摧毀計算機(jī)程序，使他們計算機(jī)私密資料被竊取，嚴(yán)重威脅人們的信譽(yù)和財產(chǎn)安全。中國計算機(jī)使用安全準(zhǔn)則對計算機(jī)病毒的定義為：“病毒制造者通過編制一些能夠傳播和自動復(fù)制的程度侵入到他人的電腦中，對他們計算機(jī)進(jìn)行破壞的一種程序代碼[1]?！蹦壳坝嬎銠C(jī)病毒的傳播途徑類型多樣，如郵件傳播、圖片傳播、文件傳播以及比較隱性的下載視頻資料等附在其中傳播，是一種比較可怕的、危害性極大、且傳播速度極快的代碼。為了在病毒沒有被激活損壞計算機(jī)之前需要通過病毒檢測工具進(jìn)行檢測，及時發(fā)現(xiàn)并殺毒，保護(hù)計算機(jī)安全。

2 常見計算機(jī)病毒類型

計算機(jī)病毒多種多樣，除了國家計算機(jī)保護(hù)法定義的病毒類型外，在計算機(jī)具體使用中能夠危害到計算機(jī)程序的編碼均認(rèn)為是病毒。現(xiàn)在比較常見和出名的計算機(jī)病毒類型有：（1）木馬病毒。木馬病毒是當(dāng)前最主要的一種病毒，計算機(jī)病毒軟件在檢測時主要為檢測木馬病毒的存在，由于其是在用戶不知情的情況下安裝某些程序附帶進(jìn)來影響計算機(jī)運(yùn)行的，且無意中激活之后將無法停止，一直在損壞計算機(jī)的程序，使計算機(jī)某些功能無法正常運(yùn)行或者運(yùn)行速度很慢。（2）蠕蟲病毒。蠕蟲病毒主要通過郵件和網(wǎng)絡(luò)的復(fù)制進(jìn)行傳播，在被激活之后會吃掉屏幕上的所有字母，其路徑和形態(tài)像蟲子，也是目前很常見的一種計算機(jī)病毒。（3）腳本病毒。通過破壞程序的腳本達(dá)到破壞計算機(jī)使用功能目的，常見HTML腳本。（4）黑客程序。黑客也是一種計算機(jī)病毒，其主要目的就是對他人的計算機(jī)進(jìn)行惡意攻擊，使對方計算機(jī)正常使用。如日本在釣魚島處理問題時，其官方網(wǎng)站就出現(xiàn)無法運(yùn)行且其中有“釣魚島是中國”的字樣，還有中國國旗插在其中，使其網(wǎng)站直接癱瘓，這種病毒需要較好的計算機(jī)技術(shù)。

計算機(jī)病毒除了以上幾種還有很多，如傳統(tǒng)病毒、宏病毒等等，總之目前要保護(hù)好計算機(jī)的安全就需要依靠病毒檢測技術(shù)。

3 常見的計算機(jī)病毒的檢測技術(shù)類型

3.1 自動防御檢測技術(shù)

這種檢測技術(shù)首先在電腦中設(shè)置常規(guī)軟件的一個行為規(guī)范，然后進(jìn)行防御開啟，當(dāng)發(fā)現(xiàn)某些程序的運(yùn)行行為同規(guī)范要求有出入，則彈出提示框，提示用戶停止運(yùn)行或主動進(jìn)行終止。其主要原理就是分析運(yùn)行程序的一些行為是否有一些類似犯罪病人犯罪時出現(xiàn)的一些比較不符合常規(guī)的動作，如病毒程度在運(yùn)行時軌跡比較可疑且總是有破壞的傾向或者行為，則自動防御檢測技術(shù)則對這些程序進(jìn)行分析警告甚至是終止。但是這種技術(shù)由于是分析程序行為的正常與否來斷定防御病毒，因此當(dāng)由于計算機(jī)其他程序混亂或者網(wǎng)絡(luò)技術(shù)問題甚至是人為的一些操作等，這種技術(shù)即會主動出現(xiàn)造成誤殺，而對于行為比較正常的較高技術(shù)的病毒則無法檢測出來。

這個檢測技術(shù)的基本運(yùn)行步驟為：在電腦中安裝并建立好應(yīng)用程序的調(diào)用接口（API），通過殺毒工具對所有運(yùn)行中的程序進(jìn)行掃描檢測，當(dāng)出現(xiàn)可疑的程序腳本則發(fā)出警告提示用戶，當(dāng)用戶允許這一進(jìn)程繼續(xù)進(jìn)行則放行。之后進(jìn)行繼續(xù)監(jiān)視，當(dāng)發(fā)現(xiàn)用戶打開的某一文件中具有PE格式，則需要注意，分析是否中了PE文件病毒，并及時彈出警告窗提示用戶[2]。同樣在發(fā)現(xiàn)其他類型的可疑性文件時均要彈出警告窗，提示用戶。Exe為擴(kuò)展名的文件由于在計算機(jī)運(yùn)行中比較重要，因此在殺毒軟件設(shè)定病毒中這一擴(kuò)展名文件是通行的，因此病毒就喜歡附在這些文件傳播到電腦中進(jìn)行破壞，如Global.exe病毒、comine.exe病毒、ntsd.exe病毒yeyinhi.exe與rujrmue.exe病毒等。

3.2 啟發(fā)式病毒掃描檢測技術(shù)

啟發(fā)就是開導(dǎo)點(diǎn)明，啟發(fā)式技術(shù)也就是指通過在殺毒軟件內(nèi)部設(shè)置一個記憶功能，存入已確定的病毒類型，在計算機(jī)出現(xiàn)該種病毒或者類似這種病毒時能夠及時認(rèn)出并進(jìn)行處理，或者通過警告用戶終止。這種技術(shù)能夠在電腦仍正常運(yùn)行的情況下檢測并查殺出電腦未知的病毒。同自動防御檢測技術(shù)的工作流程相同。均是掃描所有程序，對潛在的病毒進(jìn)行分析和查處，提示用戶進(jìn)行處理。但是由于這種啟發(fā)式掃描技術(shù)不能夠?qū)σ恍┍容^模棱兩可的病毒進(jìn)行準(zhǔn)確的分析，因此也常出現(xiàn)誤報或虛報情況。如編輯殺毒軟件者將熊貓燒香病毒的主要形式和病毒傳播方式以及顯示方式等存入病毒軟件中，將軟件安在電腦中，開啟運(yùn)行，當(dāng)電腦出現(xiàn)類型熊抱燒香病毒的程序時立即關(guān)注并分析記憶，同時馬上提出警告，提示用戶是否停止運(yùn)行程序[3]。

3.3 智能型廣譜式的病毒檢測技術(shù)

通過對非連續(xù)性和轉(zhuǎn)變性極大的病毒的所有字節(jié)進(jìn)行分析整合后確認(rèn)高變種的病毒的一種技術(shù)，則稱之為智能廣譜計算機(jī)病毒掃描技術(shù)。這種技術(shù)是根據(jù)當(dāng)前病毒類型和形式越來越多樣以及轉(zhuǎn)變形式千變?nèi)f化情況下研發(fā)出來的。由于傳統(tǒng)的病毒形式在目前的很多殺毒軟件中都有資料，因此檢測比較簡單，為了使殺毒軟件無法快速找出病毒，病毒程序的編程者將病毒的形式不斷的轉(zhuǎn)變，且從不相同，當(dāng)出現(xiàn)一次之后下次再出現(xiàn)則為其他形式，傳統(tǒng)的病毒檢測技術(shù)對這種比較新型病毒檢測效果比較差。智能型廣譜式能夠?qū)Σ《镜拿恳粋€字節(jié)進(jìn)行分析，不同段的分析，不受整體形式的影響，當(dāng)發(fā)現(xiàn)程序代碼的字節(jié)中出現(xiàn)相同或相近的兩個或兩個以上的病毒編碼則確定為病毒，在同一個堆棧中找到組成病毒的小字節(jié)代碼，則能夠快速找出病毒，這種方式準(zhǔn)確性比較高，且對嚴(yán)重隱蔽形的病毒能夠及時找出來并移除。

3.4 特征碼計算機(jī)病毒檢測技術(shù)

這種病毒檢測技術(shù)同啟發(fā)式和自動防御式有一些相同點(diǎn)，均是通過已知的病毒進(jìn)行分析和記憶貯存使殺毒軟件有記憶功能，能夠快速發(fā)現(xiàn)病毒的存在。因此這種技術(shù)只能進(jìn)行有特征碼的病毒的檢測，對其他如能夠任意變形的新型病毒則無從查起。這種技術(shù)的流程為：專業(yè)技術(shù)人員對已知病毒內(nèi)部的特征碼進(jìn)行提取，一般為十六進(jìn)制的字串，再進(jìn)行如啟發(fā)式技術(shù)一樣根據(jù)原有病毒形式掃描病毒，從而找出具有相同特征碼的病毒，并進(jìn)行殺毒，保障計算機(jī)安全[4]。

4 計算機(jī)病毒檢測技術(shù)有效性

通過在計算機(jī)中安裝病毒檢測技術(shù)，對計算機(jī)和計算機(jī)網(wǎng)絡(luò)安全均有比較顯著的作用，如嚴(yán)防病毒傳播接口，防止病毒入侵并蔓延；對計算機(jī)的機(jī)密文件和私密資料起到很好的保護(hù)作用；對一些出現(xiàn)過的病毒能夠起到免疫作用，避免再受毒害；對瘋狂蔓延型的病毒盡快防御和制止；能夠延長計算機(jī)的使用壽命，提供良好的程序運(yùn)行環(huán)境；同時提高人們財產(chǎn)安全。

總之計算機(jī)病毒檢測技術(shù)能夠很大程度上提高計算機(jī)的安全，將病毒的威脅降到最低，保障計算機(jī)網(wǎng)絡(luò)安全和提高人們使用計算機(jī)的信心。

參考文獻(xiàn)：

[1]胡慧雅.計算機(jī)病毒的技術(shù)預(yù)防措施[J].科技經(jīng)濟(jì)市場，2008，6（03）：56-58.

[2]余斌，劉宏培.淺析計算機(jī)病毒檢測方法[J].福建電腦，2009，10（08）：98-99.

[3]王永達(dá).淺談計算機(jī)病毒及其檢測與預(yù)防[J].今日科苑，2010，23（02）：106-107.

[4]左小翠，張學(xué)亮.一般性計算機(jī)病毒代碼分析和檢測方法[J].電腦編程技巧與維護(hù)，2010，33（04）：62-64.