從計算機(jī)病毒的入侵特點(diǎn)探究反病毒技術(shù)

高雪梅

（深圳信息職業(yè)技術(shù)學(xué)院教務(wù)處，廣東 深圳 518172）

從計算機(jī)病毒的入侵特點(diǎn)探究反病毒技術(shù)

高雪梅

（深圳信息職業(yè)技術(shù)學(xué)院教務(wù)處，廣東 深圳 518172）

隨著計算機(jī)病毒和反病毒技術(shù)的快速發(fā)展，人們越來越重視計算機(jī)安全。本文對計算機(jī)病毒的概念、入侵方式作了詳細(xì)解釋，介紹了當(dāng)今流行的計算機(jī)病毒，如宏病毒、蠕蟲病毒和木馬病毒等,并結(jié)合反病毒技術(shù)的相關(guān)知識進(jìn)行了歸納總結(jié)。

計算機(jī)病毒；入侵方式 ；反病毒技術(shù)

2014年1月23日出現(xiàn)一些知名網(wǎng)站無法登錄，甚至無法訪問的情況，是由于國內(nèi)根域名服務(wù)器異常帶來的后續(xù)影響，需要通過修改DNS設(shè)置或相關(guān)安全軟件進(jìn)行修復(fù)?？梢姡瑢τ嬎銠C(jī)病毒相關(guān)知識的掌握非常重要。本文通過介紹計算機(jī)基本知識，分析典型病毒的特征，結(jié)合反病毒經(jīng)驗(yàn)加以總結(jié),建構(gòu)出一套信息安全體系，解開了計算機(jī)病毒的神秘面紗。

1 計算機(jī)病毒的概念及危害

1.1 計算機(jī)病毒的定義、特征和結(jié)構(gòu)

（1）病毒，是借用醫(yī)學(xué)概念，因其危害而得名。計算機(jī)病毒較為通用的定義為編制者在計算機(jī)程序中插入的破壞計算機(jī)功能或者破壞數(shù)據(jù)，影響計算機(jī)使用并且能夠自我復(fù)制的一組計算機(jī)指令或者程序代碼[1]。簡而言之，就是為達(dá)到特殊目的而制作和傳播的計算機(jī)代碼和程序，也稱“惡意代碼”。

（2）計算機(jī)病毒有五個特征：（a）非法性；(b)潛伏性；(c)隱蔽性，不易被發(fā)現(xiàn)；(d)破壞性，可以破壞電腦，造成電腦運(yùn)行速度變慢、死機(jī)、藍(lán)屏等問題；(e)可觸發(fā)行。

（3）計算機(jī)病毒的結(jié)構(gòu)如圖1所示：

圖1 計算機(jī)病毒結(jié)構(gòu)Fig.1 Structure of computer virus

1.2 計算機(jī)病毒的入侵方式

（1）通過攻擊高級語言編寫的源程序，在源程序編譯之前插入，同源程序一起編譯、連接成可執(zhí)行文件，較為少見，也相對難以編寫的稱為源碼型病毒。

（2）主要是通過它自身的病毒代碼取代某個入侵程序的整個或部分模塊，攻擊特定的程序，雖然針對性較強(qiáng)，卻不易被發(fā)現(xiàn)，清除起來也較困難，稱為代碼取代攻擊型病毒。

（3）通過自身部分加入或替代操作系統(tǒng)的一部分功能，因其直接感染操作系統(tǒng)，這類病毒的危害性很大，稱為操作系統(tǒng)型病毒。

（4）通過將自身附在正常程序的開頭或結(jié)尾，相當(dāng)于給正常程序加了個外殼,稱為外殼型病毒。

1.3 計算機(jī)病毒的危害

主要危害：病毒激發(fā)對計算機(jī)數(shù)據(jù)信息的直接破壞作用；占用磁盤空間和對信息的破壞；搶占系統(tǒng)資源；影響計算機(jī)運(yùn)行速度；計算機(jī)病毒錯誤與不可預(yù)見的危害以及計算機(jī)病毒的兼容性對系統(tǒng)運(yùn)行的影響。

2 幾種常見病毒的處理方法

2.1 宏病毒

(1)宏病毒的主要檢測方式：這種病毒屬于源碼型病毒的入侵方式。首先，我們可以通過打開office程序，進(jìn)入“工具-宏”里，查找Auto開頭的文件，如果不是用戶自己命名的，那可以判定感染了宏病毒。第二，若是用戶自己本身創(chuàng)建的自動宏，可以打開并查看是否與原來創(chuàng)建時的內(nèi)容一致，如果有差異，說明你編制的自動宏已經(jīng)被宏病毒修改。另一種方式，用戶打開Word，進(jìn)入“工具-宏”，查看模板：Normal.dot，若發(fā)現(xiàn)有Filesave、Filesaveas等文件操作宏或者類似AAAZAO、AAAZFS奇怪名字的宏，說明系統(tǒng)感染了宏病毒。

(2)清除宏病毒的方法如下：如果確認(rèn)感染了宏病毒，我們可以直接刪除，但即使進(jìn)入“工具宏”刪除了所有的病毒宏，也不徹底。因?yàn)椴《驹w還在文本中，就像火山一樣，只是暫時不活動了，不在 它的活躍期，很可能死灰復(fù)燃。做到徹底清除宏病毒，可采取下列步驟：進(jìn)入“文件-新建”，選擇“模板”，在“文件模板”處見到“Normal.dot”，如果沒有，說明文檔模板文件Normal.dot已被病毒修改了，我們就要利用之前備份好的干凈的Normal.dot覆蓋當(dāng)前的Normal.dot；如沒有備份，則可以直接刪除Normal.dot，重新進(jìn)入Word，在“模板”里，重置默認(rèn)字體等選項(xiàng)后退出Word，系統(tǒng)就會自動創(chuàng)建一個干凈的Normal.dot。通過將原文件的全部內(nèi)容拷貝到新文件中，關(guān)閉感染宏病毒的文本，最后將新文本修改為原文件名后保存。這樣，宏病毒感染就徹底清除了，原文件才真正恢復(fù)，這時的文件就可以進(jìn)行編輯、修改和存儲了。

(3)對于病毒，最重要的就是防范于未然，如何防范宏病毒：首先，避免多個用戶共用同一個Office程序，并注意加載實(shí)時的病毒防護(hù)功能。病毒的變種能附帶在郵件的附件里，在用戶打開郵件或預(yù)覽郵件的時候執(zhí)行，所以必須注意查殺。一般的殺毒軟件都可以清除宏病毒。其次，在調(diào)用Word文檔時先禁止所有以Auto開頭的宏的執(zhí)行進(jìn)程，這樣能保證用戶在安全啟動Word文檔后，再進(jìn)行必要的病毒檢查。最后，點(diǎn)擊“工具-選項(xiàng)”，然后單擊“常規(guī)”，選擇“宏病毒防護(hù)”，使其有效，這樣，當(dāng)前打開的Word文檔所使用模板就有了防止“自動宏”（以Auto開頭命名）執(zhí)行的功能。當(dāng)以后使用這個模板的文檔時，如果打開的文檔帶有“自動宏”，并詢問用戶是否執(zhí)行這些宏，這時選擇“取消宏”進(jìn)入Word并打開文檔，再進(jìn)一步對文檔進(jìn)行“宏”檢查。做到以上3點(diǎn)，對宏病毒的方法有很大幫助。

2.2 蠕蟲病毒

這種病毒屬于操作系統(tǒng)型病毒的入侵方式，之前危害比較嚴(yán)重的“尼姆亞”病毒就是蠕蟲病毒的一種，常見的“熊貓燒香”以及其變種也屬蠕蟲病毒[2]。這一病毒利用了微軟視窗操作系統(tǒng)的漏洞，計算機(jī)感染這一病毒后，會不斷自動撥號上網(wǎng)，并利用文件中的地址信息或者網(wǎng)絡(luò)共享進(jìn)行傳播，最終破壞用戶的大部分重要數(shù)據(jù)。

可以通過下面的方式刪除安全軟件在注冊表中的鍵值:

同時修改以下值不顯示隱藏文件:

2.3 木馬病毒

談虎色變，在計算機(jī)領(lǐng)域里可以說，談“馬”才真色變，對于遭受木馬病毒困擾，有過“中招”經(jīng)歷的用戶，面對曾出不窮的惡意攻擊，對于這種外殼型病毒的入侵方式,應(yīng)如何判斷和刪除：

(1)在沒有專業(yè)檢測工具的前提下，如何確定是否感染木馬病毒，我們可以使用Windows自帶的網(wǎng)絡(luò)命令來測試:可輸入命令格式：netstat -an，監(jiān)控計算機(jī)上的連接情況，另外，當(dāng)計算機(jī)即使進(jìn)行了系統(tǒng)重新啟動后,速度運(yùn)行依然很慢，使用優(yōu)化軟件也無法解決問題，同時殺毒軟件卻查不出問題，那很可能是別人通過入侵你的計算機(jī)后給用戶開放了特別的某種服務(wù)，比如IIS信息服務(wù)等[3]，這種情況下,可以通過“net start”來查看系統(tǒng)中究竟有什么服務(wù)在開啟，如果發(fā)現(xiàn)了不屬于自置的服務(wù)，需要有針對性地禁用這個服務(wù)了。用戶可以通過輸入“net start”來查看服務(wù)，然后用“net stop server”來禁止服務(wù)。

(2)新型虛擬貨幣-比特幣在網(wǎng)絡(luò)上流通的很廣，黑客發(fā)現(xiàn)了其中的商機(jī)，制造了大量病毒。該類病毒以Trojan.CoinMiner家族為主。由于“挖掘”比特幣需要消耗大量的電腦資源，所以黑客通過木馬病毒來控制網(wǎng)絡(luò)用戶電腦，組成僵尸網(wǎng)絡(luò)，在系統(tǒng)后臺運(yùn)行挖礦軟件以便獲取比特幣，被感染電腦的顯卡資源產(chǎn)生大量被比特幣程序占用的情況。這時，用戶通過點(diǎn)擊“開始”選擇“運(yùn)行”輸入“msconfig.exe”回車，打開系統(tǒng)配置實(shí)用程序，然后 在“服務(wù)”選項(xiàng)卡中勾選“隱藏所有Microsoft服務(wù)”，這時列表中顯示的服務(wù)項(xiàng)都是非系統(tǒng)程序。再點(diǎn)擊“開始”選擇“運(yùn)行”，輸入Services.msc回車，對比兩張表，在該“服務(wù)列表”中可以逐一找出剛才顯示的非系統(tǒng)服務(wù)項(xiàng)。打開“系統(tǒng)服務(wù)管理”如果有第三方服務(wù),指向的路徑是在系統(tǒng)目錄下，那么他就是“木馬”。我們便可以選中他，并勾選上表中的“禁止”，修改后重新啟動計算機(jī)[4]。

(3)利用云技術(shù)防范木馬病毒：病毒種類和類型不斷升級，殺毒工具也不斷更新病毒庫，采用最先進(jìn)的技術(shù)查殺病毒。云技術(shù)是基于云端的設(shè)計，能實(shí)現(xiàn)設(shè)備快速共享來自整個互聯(lián)網(wǎng)的病毒木馬特征庫。傳統(tǒng)的特征庫更新模式已經(jīng)無法適應(yīng)日新月異的互聯(lián)網(wǎng)環(huán)境，采用云查殺這種模式，才能更好地保障大型用戶網(wǎng)絡(luò)的安全。

3 反病毒技術(shù)的探究

針對計算機(jī)病毒的侵入方式，采用邊界防病毒方案能夠更好地避免病毒的侵襲。它在網(wǎng)絡(luò)入口處對進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)和行為進(jìn)行檢查，以在第一時間發(fā)現(xiàn)病毒并將其清除，有效地防止病毒進(jìn)入內(nèi)部網(wǎng)絡(luò)，防病毒體系趨于立體化。以下是幾個反病毒技術(shù)的方式：

3.1 搭建分析實(shí)驗(yàn)室

(1)利用虛擬機(jī)軟件：VMware是著名的虛擬機(jī)軟件，是提供虛擬測試環(huán)境的有力工具。首先，通過配置向?qū)υ捒虬惭b好軟件.虛擬機(jī)的主要作用是判定一個新的未知病毒。在沒有特征這一靜態(tài)判據(jù)的條件下去根據(jù)動態(tài)判據(jù)去判定病毒。從理論上說，因?yàn)椴《驹谔摂M機(jī)中運(yùn)行的每個步驟都是可控和可觀測的，只要判據(jù)充分，就首先可以判斷是一個新的病毒。

(2)組建虛擬局域網(wǎng)：虛擬局域網(wǎng)可分為橋接模式的組網(wǎng)，NAT模式組網(wǎng)和Host-only模式的組網(wǎng)。

（a）通過單擊“開始→運(yùn)行”查詢主機(jī)所在網(wǎng)段,輸入cmd打開命令提示符,然后輸入命令:ipconfig /all得到網(wǎng)絡(luò)設(shè)置信息,其中包括IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)等.主機(jī)IP為192.168.21.100子網(wǎng)掩碼為255.255.255.0,主機(jī)網(wǎng)段與客機(jī)網(wǎng)段設(shè)置必須一致，通過這個方式建立起橋接模式的組網(wǎng)。

（b）同樣通過以上方法查詢網(wǎng)絡(luò)參數(shù),連接客機(jī)端(虛擬網(wǎng)卡為VMnet8)的IP地址為192.168.21.1,這就知道了NAT網(wǎng)段為192.168.21.0/24,然后在客機(jī)中保持IP等參數(shù)處于“自動獲取"狀態(tài),并在命令提示行中通過“ipconfig”找到網(wǎng)關(guān)地址為.這樣便獲得了NAT網(wǎng)段最基本的參數(shù)信息.最后要組建NAT模式的局域網(wǎng),只要將剛才獲取的網(wǎng)段、網(wǎng)關(guān)以及DNS參數(shù)填寫進(jìn)新增的虛擬系統(tǒng)即可建立NAT模式組網(wǎng)。

（c）在Host-only模式下,VMnet 1限制如果用戶嘗試將客機(jī)的IP地址配置成與主機(jī)同在一個網(wǎng)段中,這樣主客機(jī)也無法互訪,所以使用VMnet 1提供的IP是唯一的選擇.只能使用ICS和代理,因?yàn)橹挥羞@兩種方式可以在使用DHCP的情況下上網(wǎng)。

(3)搭建虛擬機(jī)網(wǎng)絡(luò)平臺。在沒有自帶IIS的情況下，可以打開Windows系統(tǒng)的“控制面板”，然后選擇“添加/刪除程序”，在彈出的對話框中再選擇“添加/刪除Windows組件”最后安裝“Internet信息服務(wù)”。單擊窗口中的“詳細(xì)信息”按鈕,在彈出的窗口中可以自定義選取需要的組件，然后單擊“下一步”按鈕，按向?qū)е甘揪涂梢酝瓿伞IS的安裝.IIS安裝后系統(tǒng)會自動創(chuàng)建一個默認(rèn)的Web站點(diǎn),此站點(diǎn)在系統(tǒng)里面的主目錄默認(rèn)路徑為c:\ Inetpub\.wwwroot,主頁文件就存放在這個目錄里面。從安全方面考慮,我們建議使用IIS的驅(qū)動器采用NTFS格式。

3.2 常用反病毒技術(shù)：

(1)實(shí)時監(jiān)視監(jiān)控技術(shù)。這個技術(shù)為計算機(jī)構(gòu)筑起一道動態(tài)、實(shí)時的反病毒防線，通過修改操作系統(tǒng)，使操作系統(tǒng)本身具備反病毒功能，拒病毒于計算機(jī)系統(tǒng)之門外。2014年在實(shí)驗(yàn)室誕生了一種病毒,通過“空氣”傳播，其實(shí),主要是通過移動設(shè)備和Wi-Fi熱點(diǎn)傳播，它在攻擊各個Wi-Fi熱點(diǎn)時，會千方百計尋找安全最薄弱的熱點(diǎn)。比如,當(dāng)它發(fā)現(xiàn)一個Wi-Fi熱點(diǎn)是加密的，或是安裝了防火墻，病毒將會自動跳過，尋找下一個更加薄弱的熱點(diǎn)。所以病毒在不斷更新,必須實(shí)行實(shí)時監(jiān)視,并更新技術(shù)。

(2)特征碼技術(shù)。這種技術(shù)是基于對已知病毒進(jìn)行分析、查解的反病毒技術(shù)。 它有效地再現(xiàn)了人工辨識病毒的一般方法，采用了“同一病毒或同類病毒必然是某一部分代碼相同”的原理。比方說,如果病毒及其變種或變形病毒具有同一性，則可以對這種同一性來進(jìn)行描述，并通過對程序體與描述結(jié)果進(jìn)行比較以便查找病毒。然而并非所有病毒都可以描述其特征碼，所以該技術(shù)也存在一定的局限性。

(3)全平臺反病毒技術(shù)。為了實(shí)現(xiàn)反病毒軟件做到與系統(tǒng)的底層無縫連接，能夠比較可靠地實(shí)時檢查和殺除病毒，需要在不同的平臺上使用相應(yīng)平臺的反病毒軟件，比如，用的是WINDOWS的平臺，則必須用WINDOWS版本的反毒軟件。也就是說，針對不同的平臺安裝相應(yīng)的病毒軟件，這樣才能真正做到網(wǎng)絡(luò)的真正安全和可靠。實(shí)時反病毒軟件作為一個任務(wù)，可以運(yùn)行在系統(tǒng)工作的整個過程中，對進(jìn)、出計算機(jī)系統(tǒng)的數(shù)據(jù)進(jìn)行監(jiān)控，保證系統(tǒng)不受病毒侵害。同時，用戶的其它應(yīng)用程序可作為其它任務(wù)并行在系統(tǒng)中運(yùn)行，與實(shí)時反病毒任務(wù)毫無沖突。Windows版實(shí)時反病毒技術(shù)輕松化解了傳統(tǒng)DOS版靜態(tài)反病毒計算機(jī)面臨的“可用性”難題。

4 小結(jié)

了解計算機(jī)病毒的入侵方式對我們防治計算機(jī)病毒有很顯著的幫助,但防病毒工作是一項(xiàng)比較復(fù)雜而長期的社會性工作。任何反病毒技術(shù)都不可能一成不變地徹底解決計算機(jī)病毒。所以及早發(fā)現(xiàn)計算機(jī)病毒，是有效控制病毒危害的關(guān)鍵。發(fā)現(xiàn)計算機(jī)病毒應(yīng)立即清除，將病毒危害減少到最低限度。同時，只有將反病毒技術(shù)“動”、“靜”結(jié)合起來綜合運(yùn)用，才有可能取得較好的反病毒效果。

References)

[1]韓筱卿.計算機(jī)病毒分析與防范大全[M].北京:電子工業(yè)出版社.2008.HAN Xiaoqing.Analysis and Prevention of Computer Virus Encyclopedia[M].Beijing:Electronic Industry Press,2008.(in Chinese)

[2]賈鐵軍.網(wǎng)絡(luò)安全實(shí)用技術(shù)[M].北京:清華大學(xué)出版社.2011.JIA Tiejun.Network Security and Practical Technology[M].Beijing:Tsinghua University Press,2011.(in Chinese)

[3]Bill Blunden.系統(tǒng)灰色地帶的潛伏者[M].姚領(lǐng)田,譯.北京:機(jī)械工業(yè)出版社，2013.Bill Blunden.System Gray Areas Lurker[M].Yao Lingtian.Beijing:Mechanical Industry Press,2013.(in Chinese)

[4]鐘晨鳴.Web 前端黑客技術(shù)揭秘[M].北京：電子工業(yè)出版社，2013.ZHONG Chenming.Web Front-end Hacking Secret[M].Beijing:Electronic Industry Press,2013.(in Chinese)

Anti-virus techniques discovered from computer virus intrusion

GAO Xuemei
（Office of Academic Affairs,Shenzhen Institute of Information Technology,Shenzhen 518172,P.R.China）

With the fast development for the computer virus and anti-virus technology,computer security has got more and more attention.In this paper,anti-virus techniques and the intrusion of computer virus are explored in detail.Current popular computer viruses,such as macro virus,worms and Trojan virus,are introduced.And the summarization is given combined with related anti-virus techniques.

computer virus;intrusion;anti-virus technique

TP309.5

：A

1672-6332（2014）01-0052-04

【責(zé)任編輯：楊立衡】

2014-2-10

高雪梅（1982-），女（漢），湖南邵陽人，本科，主要研究方向：計算機(jī)科學(xué)與技術(shù)；E-mail：gaoxm@sziit.com.cn。