病毒检测工具

1 引言
随着计算机技术的飞速发展,计算机应用日趋深入普及,逐步渗透到人类生活的各个方面,为社会发展做出了巨大的贡献。然而,科学技术都是在自身的矛盾中发展的,计算机技术的提高和计算机应用的普及使人们忽略了潜在的不安全因素,致使计算机的安全运行受到了病毒的严重威胁。有效地防范计算机病毒已成为计算机、互联网应用中迫切需要解决的突出问题。
互联网的现状和未来的发展决定了研究计算机病毒和病毒检测技术的重大意义。随着互联网的飞速发展，计算机病毒技术也在迅速发展。研究计算机病毒及反病毒相关技术可深入了解病毒及其相关原理，针对不同种类，不同性质的病毒采取不同的措施加以检测及防范，最大程度减少病毒的存在及传播，同时进一步加深对网络安全的认识和提高网络安全的意识。
2 计算机病毒与病毒检测技术概述
2.1 计算机病毒概述
计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义，病毒是“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 【买计算机毕业论文就到计算机毕业论文网】
1．计算机病毒具有以下几个特点： [来源：http://think58.com]
(1)寄生性
计算机病毒寄生在其他程序之中，当执行这个程序时，病毒就起破坏作用，而在未启动这个程序之前，它是不易被人发觉的。
(2)传染性
计算机病毒不但本身具有破坏性，更有害的是具有传染性，一旦病毒被复制或产生变种，其速度之快令人难以预防。
(3)潜伏性
有些病毒发作时间是预先设计好的。比如黑色星期五病毒，不到预定时间一般觉察不出来，等到条件具备的时候再暴发进而对系统进行破坏。
(4)隐蔽性
计算机病毒具有很强的隐蔽性，有的可以通过病毒检测软件检查出来，有的很难检测出来，有的则时隐时现、变化无常，因此处理起来通常很困难。
2．计算机病毒的表现形式
计算机受到病毒感染后，会表现出不同的症状，常见的要有：
(1)机器不能正常启动
通电后机器根本不能启动，或者可以启动，但所需要的时间比原来的启动时间变长。
(2)运行速度降低
如果发现在运行某个程序时，读取数据的时间比原来长，存取文件的时间都增加了，那就可能是由于病毒造成的。
(3)磁盘空间迅速变小
由于病毒程序要进驻内存，而且又能繁殖，因此使内存空间变小甚至变为0。
(4)文件内容和长度有所改变
一个文件存入磁盘后，它的长度和其内容都不会改变，可是由于病毒的干扰，文件长度可能改变，文件内容也可能出现乱码。有时文件内容无法显示或显示后又消失了。 copyright think58

(5)经常出现“死机”现象
正常的操作是不会造成死机现象的。如果机器经常死机，那可能是由于系统被病毒感染了。
(6)外部设备工作异常
因为外部设备受系统的控制，如果机器中有病毒，外部设备在工作时可能会出现一些异常情况。
3．计算机病毒的种类
计算机病毒根据感染形态大致可分为以下几种：
(1)引导型病毒：引导型病毒是病毒把自身的程序代码存放在硬盘的引导扇区中。由于计算机的启动机制，使得病毒可以在每次开机，操作系统还没有引导之前就被加载到内存中，这个特性使得病毒可以对计算机进行完全的控制，并拥有更大的能力进行传染和破坏。绝大多数引导型病毒有极强的传染性和破坏性，通常会格式化硬盘、修改文件分配表等，一旦发作，计算机的数据通常会全部丢失。
(2)文件型病毒：文件型病毒通常把病毒程序代码自身放在系统的可执行文件（如：*.COM、*.EXE、*.DLL等）中。当这些文件被执行时，病毒的程序也就被执行。文件型病毒依传染方式的不同，分为非常驻型以及常驻内存型两种。非常驻型病毒是将病毒程序自身放置于*.COM、*.EXE或是*.SYS的文件中，当这些中毒的程序被执行时，就会尝试把病毒程序传染给另一个或多个文件。该类病毒只在感染病毒的程序被调用执行时，传染给其它程序，病毒本身并不常驻内存；常驻内存型病毒躲在内存中，一旦常驻内存型病毒进入了内存，只要有可执行文件被执行，就可以对其进行感染。
(3)复合型病毒：复合型病毒具备引导型病毒和文件型病毒的特性，可以传染*.COM、*.EXE、*.DLL文件，也可以感染磁盘的引导扇区。由于这个特性，使得这种病毒具有很强的传染力。
(4)变型病毒：这一类病毒使用一个复杂的算法，使自己每传播一次都具有不同的内容和长度。一般的做法是：病毒由一段混有无关指令的解码算法和被变化过的病毒体组成。病毒之所以要进行自身代码的变化，主要原因是为了躲避杀毒软件的清除。
(5)宏病毒：宏病毒主要利用微软Office软件Word、Excel本身有宏命令的功能而写的一种病毒。所谓的宏，就是一段脚本程序，由于Word、Excel等软件在处理文档时，为了使程序更智能化地按人的意愿工作，允许在Word中加入VisualBasicScript(以下为VBS）程序，这给宏病毒提供了滋生的条件，宏病毒就是用这些VBS程序编写的程序。
(6)网页病毒：网页病毒主要利用系统软件的安全漏洞，通过执行嵌入在网页HTML语言内的VBS脚本程序、JavaScript脚本程序等可自动执行的程序，强行修改操作系统的注册表和系统配置，或非法控制系统资源，盗取用户文件。这种非法恶意程序能够自动执行，它完全不受用户的控制。一旦浏览含有该病毒的网页，便会被病毒感染，它会给系统带来不同程度的破坏。轻则消耗系统资源，使系统运行速度缓慢，直至重启；重则删除硬盘数据，甚至格式化硬盘。网页病毒发作通常有两种表现形式：一种是修改浏览器和注册表的各种设置，比如：IE的默认首页被修改，标题栏被添加非法信息，注册表被禁止打开等。另一种则是恶性结果，比如：开机出现对话框，格式化硬盘，全方位侵害封杀系统，最后导致瘫痪崩溃，非法读取或盗取用户文件等。网页病毒的预防通常是先打上IE补丁。接下来有两种方法：一是利用IE自身的设置进行预防，使浏览器自身不执行网页上的脚本程序，或屏蔽某些恶性网站。在IE6的internet选项的“常规”选项卡中，先选中某一网站区域，再点击“自定义级别”即可对IE6浏览器能执行的脚本程序进行限制。要注意的是：禁用IE的JS、VBS等脚本程序的运行后，很多网页特效就没办法显示了；另一种办法，就是使用病毒防火墙，或者直接用第三方IE保护软件来保护。 本文来自think58

[来源：http://think58.com]

(7)“蠕虫”型病毒：顾名思义，计算机蠕虫指的是某些恶性程序代码，会从一台计算机传播到另外一台计算机进行感染。一般来说蠕虫能感染文件，对自身进行复制，消耗系统资源。在互联网环境下，蠕虫病毒变得非常猖獗，它靠复制自己来传播，如果不对蠕虫的传播渠道进行控制（如操作系统的漏洞、文件共享的权限等），即使不执行任何外来文件，也会被感染。现在的病毒一般都是既能够感染文件，又可以通过E－mail、共享文件夹、HTML代码、寻找漏洞获得写权限传播病毒。
2.2 病毒检测概念及其发展历史
在与病毒的对抗中，及早发现病毒很重要。早发现，早处理，可以减少损失。检测病毒的最主要的方法有：特征代码法、校验和法、行为监测法、软件模拟法，这些方法依据的原理不同，实现时所需开销不同，检测范围不同，各有所长。
1．特征代码法
特征代码法是检测已知病毒的最简单、开销最小的方法。它的实现是采集已知病毒样本。病毒如果既感染COM文件，又感染EXE文件，对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码，由于特征代码与病毒一一对应，便可以断定，被查文件中患有何种病毒。 think58

[资料来源：THINK58.com]

采用病毒特征代码法的检测工具，面对不断出现的新病毒，必须不断更新版本，否则检测工具便会老化，逐渐失去实用价值。病毒特征代码法对从未见过的新病毒，自然无法知道其特征代码，因而无法去检测这些新病毒。
特征代码法的优点是：检测准确快速、可识别病毒的名称、误报警率低。
其缺点是：
(1)速度慢。随着病毒种类的增多，检索时间变长。如果检索5000种病毒，必须对5000种病毒特征代码逐一检查。如果病毒种数再增加，检病毒的时间开销就变得十分可观。此类工具检测的高速性，将变得日益困难。
(2)不能检查多形性病毒。特征代码法是不可能检测多态性病毒的。国外专家认为多态性病毒是病毒特征代码法的索命者。
(3)不能对付隐蔽性病毒。如果隐蔽性病毒先进驻内存，病毒检测工具后运行，隐蔽性病毒能先于检测工具，将被查文件中的病毒代码剥去，检测工具的确是在检查一个虚假的"好文件"，而不能报警，被隐蔽性病毒所蒙骗。
2．校验和法
将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染，这种方法叫校验和法，它既可发现已知病毒又可发现未知病毒。但是，它不能识别病毒类，不能报出病毒名称。由于文件内容改变并不一定是由于病毒引起的，而有可能是正常程序引起的，所以校验和法常常误报警。而且此种方法也会影响文件的运行速度。 内容来自think58

[版权所有：http://think58.com]

校验和法的优点是：方法简单能发现未知病毒、被查文件的细微变化也能发现。
其缺点是：发布通行记录正常态的校验和、会误报警、不能识别病毒名称。
3、行为监测法
利用病毒的特有行为特征性来监测病毒的方法，称为行为监测法。通过对病毒多年的观察、研究，有一些行为是病毒的共同行为，而且比较特殊。在正常程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警。
行为监测法的优点：可发现未知病毒、可相当准确地预报未知的多数病毒。
行为监测法的缺点：可能误报警、不能识别病毒名称、实现时有一定难度。
4、软件模拟法
软件模拟扫描技术专门用来处理某种病毒，这种病毒在每次传染时,都以不同的随机数加密于每个中毒的文件中,传统病毒特征码比对的方式根本就无法找到这种病毒。软件模拟技术则是成功地模拟CPU执行,在其设计的虚拟机器(Virtual Machine)下假执行病毒的变体引擎解码程序,安全并确实地将多型体病毒解开,使其显露原本的面目,再加以扫描。
2.3 病毒检测的发展趋势
未来的可能的反病毒技术： 虚拟现实。只要技术足够成熟，完全有可能出现类似人工智能的反病毒技术。 而未来反病毒的疑难之一就是永远无法写出一个完美的程序来检测和清除病毒。病毒同样能辨识和分析反毒程序，并对自身重新编程；而反毒程序可能同样地要对病毒进行探测，再进行自编程。病毒与反毒程序的角逐就变成了自编程能力的实现。 [资料来源：http://www.THINK58.com]
可以考虑用这种方式：人工进入计算网络世界的方法来查杀病毒。人有足够的智能和经验积累来完成对病毒的检测和杀除，而这就只剩下建立人与计算机之间的通信的问题了。 目前的虚拟现实技术重点放在了对人与人的自然界交流方式——“感官”的计算机描述的实现上，它如同人们所有的知觉都最终传感给大脑，大脑对这种传感做出一种体验上的描述，从而形成知觉意识。如果计算机将二进制代码流表述成脑电波的流信息，并通过神经传感给大脑，则完全可以描述并引导、控制人的一切思维。简单地说，人的思维与计算机语言存在了这样一个通用的接口。
这种理论如果得以实现，则虚拟现实技术将进入新的发展领域。虽然从理论上讲是不可能在对病毒未知的情况下对其做出精确判断从而预防，但是在实际应用中，经过反病毒专家多年的统计、分析、研究积累的经验，完全有可能以概率方式对病毒危险进行一种分级制测定并对其使用反病毒程序，在相当程度上达到较精确地防御未知病毒的侵入。
未来反病毒产品的特点： 防杀兼备、万能恢复。从技术的数学模型上来说，过去、现在、将来的反病毒软件都不可能有任何理论上的超越，即无法跨越不可判定性的鸿沟，特征码也好，启发式虚拟机也好，或者兼而有之，相互配合，暂时不会有新的突破。那么，具体到反病毒技术的产品，也基本上离不开这些模式。当然，即使是从工程学的角度上来说，在相同的技术起点上如何构筑出实现方式和最终效果完全不同的实用产品，仍然是一个永无止境的追求。 从手工查杀病毒，到早期散兵游勇式的查杀病毒，到与Internet技术接轨，直至今天担负起防杀兼备、万能恢复的第三代反病毒软件，反病毒技术在与病毒的斗争中不断进步，不断诞生各种为计算机用户解忧去患的反病毒产品。从早期的防病毒卡、手动查杀的dos版软件，到在线监控实时查杀的病毒防火墙，安全专家认为，真正的安全仅有查毒和杀毒是不够的，因为在电脑世界中，永远有捉摸不定的元素。除去泛滥的病毒，系统的漏洞、硬件或软件的冲突、人为的误操作、利用特洛伊木马恶意进攻、电脑本身的不稳定性、黑客袭击等形形色色的安全威胁不胜枚举。所以，一个好的安全软件，仅仅能查毒杀毒是不够的，必须把备份与灾难恢复相结合起来。 用户对于病毒的恐惧，并不是来自它的能够自我复制，尽管这才是病毒之所以成为病毒的根本，担心害怕的是病毒侵入并且发作，结果造成的大大小小的无可挽回的损失。这种客观的迫切的需要，成为新形势对反病毒技术和产品提出的最高要求。于是，第三代反病毒软件必须要做到突破单一查毒杀毒的局限性，针对用户经常面临急需数据抢修、系统恢复等难题，不仅可以杀灭入侵病毒、击溃来犯黑客、消灭有害数据，还有智能灾难恢复、全息数据救援、维护系统正常运行的全面保障信息安全的功能。 内容来自think58
我们期望有一种针对恶性病毒发作时可能实施的破坏行为的截获、阻止装置，对所有带有危险级别的、可能影响系统运行和信息资料安全的操作加以禁止，对一个将要执行的操作进行安全性判断。不难预料，这种在线式的以危险行为监控为特征的反病毒技术和产品也一定会出现，配合以前的第一代、第二代、第三代反病毒技术，实现更高意义上的更加可靠的信息安全。
copyright think58 [来源：http://www.think58.com]