1、AbstractWith the development of computer technology and the expansion of Internet, the computer has become essential part to peoples lives and work At the same time, computer virus is attacking computer and network day by day. In the open network environment, the computer virus has much more harm th
2、an before, especially in the recent years, the virus are spreading through the Internet rapidly,are also expanding the scope of damage, that brings huge economic losses. Therefore, it is an import and urgent research topic to enhance the prevention of computer virus in order to ensure the safety of
3、the computers information in the current process of computer. At the same time,.building a safe and healthy internet environment is the top priority to create harmonious society Firstly, the emergence and development background of the computer virus is introduced in the paper ,and which also describ
4、ed the structure and transmission of them There are thousands of existing types of computer viruses, they are classified by their characteristic in the paper the dangers are analyzed detailly to catch the attention of the peopleSecondly, with the combination of biological viruses spread model to ana
5、lyze SIS model and the SIR model spreading by computer viruses, and taking the influence of human factors into account, analyze the two-factor model in theoryFinally, there is a detailed analysis of the symptoms of computer infected by virus and virus detection technology. How to respond to the incr
6、easing computer viruses, the most important thing is to have a healthy online habits and know some basic anti-virus knowledge.Keywords: computer viruses, virus spreading model, classification ,hazard control strategies of virus一 计算机病毒概述计算机病毒与医学上的“病毒”不同,它不是天然存在的,而是某些人利用计算机软、硬件所固有的脆弱性,编制的具有特殊功能的程序。由于它
7、与生物学上的“病毒”同样有传染和破坏性。计算机病毒具有很强的复制能力、很强的感染性、一定的潜伏性、特定的触发性和很大的破坏性等,因此由生物学上的“病毒”概念引申出“计算机病毒”这一名词。从广义上来说,凡是能够引起计算机故障、破坏计算机数据的程序统称为计算机病毒。1.1计算机病毒的产生和发展背景病毒在最早期时,先驱者冯诺伊曼就曾经在他的论文中提出过模糊的病毒的想法.1975年美国科普作家约翰布鲁勒尔、1977年托马斯捷瑞安2位作家书中也提到了一些自己对病毒的遐想,而差不多在同一时间,美国著名的AT&T贝尔实验室中,三个年轻人用电脑各自也曾制造出类似有病毒特征的程序来作战游戏,1983年11月3日
8、,一位南加州大学的学生弗雷德科恩,他自己也写出了个会引起系统死机的程序,并发表言论.再2年后,一本科学美国人的月刊中的作者杜特尼把先前的那些古怪程序定论为“病毒”,之后这名字就开始相传了. 到了1987年,第一个电脑病毒C-BRAIN终于诞生了. 伴随着各类扫毒、防毒与杀毒软件以及专业公司也纷纷出现。一时间,各种病毒创作与反病毒程序,不断推陈出新,如同百家争鸣。计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。其产生的过程可分为:程序设计 传播 潜伏 触发、运行 实施攻击。其产生的原因不外乎以下几种:(1)一些计算机爱好者出于好奇或兴趣,也有的为了满足自己的
9、表现欲他们故意编制一些特殊的计算机程序,去整蛊别人的,以显示自己的才干。这种程序流传出去就演变成计算机病毒。(2)产生于个别的报复心理。此种病毒对电脑用户会造成一定的灾难。(3)用于研究或实验而设计的“有用”的程序,由于某种原因失去控制而扩散出来。(4)产生于游戏。编程人员在无聊时互相编制一些程序输入计算机,让程序去销毁对方的程序,如最早的磁芯大战。(5)来源于软件加密。一些商业软件公司为了不让自己的软件被非法复制和使用,运用加密技术,编写一些特殊程序附在正版软件上,如遇到非法使用,则此类程序自动激活,于是产生一些新病毒,如巴基斯坦病毒。我国在计算机防毒治毒上发展得相对比较落后,直至1994年
10、2月18日我国正式颁布实施了中华人民共和国计算机信息系统安全保护条例,在条例的第二十八条中明确指出:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”此定义具有法律性,权威性。 如今,计算机病毒变得更加活跃,木马、蠕虫、后门病毒等轮番攻击互联网,甚至出现了06年炒得火热的流氓软件。2000年以来,由于病毒的基本技术和原理被越来越多的人所掌握,新病毒的出现以及原有病毒的变种层出不穷,病毒的增长速度也远远超过的以往任何时期。根据最新的07年上半年病毒总结发现,紧上半年新增病毒就达11万种,其中以盗取用户信息为住的木
11、马程序就占到了7成。 科技的进步,总是带来技术的飞跃,技术的飞跃又总是带来新的课题。计算机技术被迅速掌握的同时,出现了大批以病毒盈利的程序开发者。有专家总结到,病毒发展到今天,开发者已经很少或不再以炫耀自己的技术为主要目的,更多的是把矛头对准了网络用户的信息,网络犯罪事件大大增加。幸好,如今国内外各大厂商已经十分重视网络安全问题,纷纷出台了不同的安全防范措施。科技的进步必将促进计算机病毒与反病毒技术的快速发展。1.2计算机病毒的结构如下图所示,计算机病毒的结构主要分为:引导模块、传染模块和破坏表现模块。引导模块传染模块传染条件判断部分传染部分破坏表现模块破坏或表现条件判断部分破坏或表现部分 图
12、1-1计算机病毒结构大致分解图有些病毒的引导是在内存中实现的,有些病毒则是感染到引导区(硬盘最开始的部分,启动操作系统首先读的一个区)。这也是杀毒软甲查杀病毒时,主要扫描内存和引导区。 传染模块中的条件判断部分同时也是防病毒一个手段。如针对操作系统漏洞的冲击波病毒,如果给系统打上补丁,则不会再受到该病毒的攻击。传染部分是将病毒再生体与传染对象及其寄生宿主程序相链接,来完成病毒的传染。 破坏或表现模块是病毒程序的核心部分,也是病毒设计者的意图体现,例如震荡波,其破坏性就不是很强,只是运行了一个自生文件,从而造成操作系统的频繁重启,通过给操作系统打补丁可以有效地控制它。1.3计算机病毒的传播途径计
13、算机病毒的传播途径有多种,它随着计算机技术的发展而进化。具有自我复制和传播的特点,因此了解计算机病毒的传播途径是极为重要的,目前主要有以下几种种途径:第一种途径:通过不可移动的计算机硬件设备进行传播,这些设备通常有计算机的专用ASIC芯片和硬盘等。 第二种途径:通过移动存储设备来传播这些设备包括软盘、磁盘、尤盘等。在移动存储设备中,软盘是使用最广泛移动最频繁的存储介质,因此也成了计算机病毒寄生的“温床”。第三种途径:通过Internet(计算机网络)进行传播。网络是人们现在生活不可缺少的一部分,越来越多的人利用它来获取信息、发送和接收文件、接收和发布新的消息以及下载文件和程序,正因为如此计算机
14、病毒也走上了高速传播之路。像病毒以附件的形式通过电子邮件进行传播,使得电子邮件成为当今世界上传播计算机病毒最主要的媒介;通过WWW浏览,目前互联网上有些别有用心的人利用Java Applets和ActiveX Control来编写计算机病毒和恶性攻击程序,因此WWW浏览感染计算机病毒的可能性也在不断地增加;利用BBS松散的安全管理,使之成为计算机病毒传播的场所;通过FTP(文件传输协议)文件下载,使互联网上的病毒传播更容易、更广泛,这一途径能传播现有的所有病毒;利用接收新闻组,这些信息当中包含的附件有可能使您的计算机感染计算机病毒。在信息国际化的同时,病毒也在国际化,这种方式已成为第一传播途径
15、。第四种途径:通过IM(即时通信系统,如QQ、MSN)和无线通道传播。目前,后者传播途径还不是十分广泛,但预计在未来的信息时代,无线通道途径很可能与网络传播途径成为病毒扩散的两大“时尚渠道”。其他未知途径:计算机工业的发展在为人类提供更多、更快捷的传输信息方式的同时,也为计算机病毒的传播提供了新的传播路径。二 计算机病毒的分类计算机病毒分类,根据多年对计算机病毒的研究,按照科学的、系统的、严密的方法,计算机病毒可分类如下:按照计算机病毒属性的方法进行分类,计算机病毒可以根据下面的属性进行分类。2.1 按照计算机病毒存在的媒体进行分类根据病毒存在的媒体,病毒可以划分为网络病毒,文件病毒,引导型毒
16、。网络病毒通过计算机网络传播感染网络中的可执行文件,文件病毒感染计算机中的文件(如:COM,EXE,DOC等),引导型病毒感染启动扇区(Boot)和硬盘的系统引导扇区(MBR),还有这三种情况的混合型,例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。2.2按照计算机病毒传染的方法进行分类根据病毒传染的方法可分为驻留型病毒和非驻留型病毒,驻留型病毒感染计算机后,把自身的内存驻留部分放在内存(RAM)中,这一部分程序挂接系统调用并合并到操作系统中去,他处于激活状态,一直到关机或重新启动.非驻留型病毒在
17、得到机会激活时并不感染计算机内存,一些病毒在内存中留有小部分,但是并不通过这一部分进行传染,这类病毒也被划分为非驻留型病毒。2.3根据病毒破坏的能力可划分为以下几种:无害型除了传染时减少磁盘的可用空间外,对系统没有其它影响。无危险型这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。危险型这类病毒在计算机系统操作中造成严重的错误。非常危险型 这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。这些病毒对系统造成的危害,并不是本身的算法中存在危险的调用,而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区,这些病毒也按照他们引起的破坏能
18、力划分。一些现在的无害型病毒也可能会对新版的DOS、Windows和其它操作系统造成破坏。例如:在早期的病毒中,有一个“Denzuk”病毒在360K磁盘上很好的工作,不会造成任何破坏,但是在后来的高密度软盘上却能引起大量的数据丢失。2.4 根据病毒特有的算法,病毒可以划分为:1. 伴随型病毒,这一类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随体,具有同样的名字和不同的扩展名(COM),例如:XCOPY.EXE的伴随体是XCOPY.COM。病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。2. “蠕虫”型病毒,通过计
19、算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其它机器的内存,计算网络地址,将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其它资源。3. 寄生型病毒 除了伴随和“蠕虫”型,其它病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播,按其算法不同可分为:练习型病毒,病毒自身包含错误,不能进行很好的传播,例如一些病毒在调试阶段。4. 诡秘型病毒 它们一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件缓冲区等DOS内部修改,不易看到资源,使用比较高级的技术。利用DOS空闲的数据区进行工作。5. 变型病毒(又称幽灵病毒) 这一类病
20、毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。三 计算机病毒的危害近两年来,“网游大盗”、“熊猫烧香”、“德芙”、“QQ木马”、“灰鸽子”等木马病毒日益猖獗,以盗取用户密码账号、个人隐私、商业秘密、网络财产为目的。调查显示,趋利性成为计算机病毒发展的新趋势。网上制作、贩卖病毒、木马的活动日益猖獗,利用病毒、木马技术进行网络盗窃、诈骗的网络犯罪活动呈快速上升趋势,网上治安形势非常严峻。3.1对计算机数据信息的直接破坏作用 大部分病毒在激发的时候直接破坏计算机的重要信息数据,所利用的手段有格式化磁盘、改写文件分配表和
21、目录,删除重要文件或者用无意义的“垃圾”数据改写文件、破坏CMO5设置等。3.2 占用磁盘空间和对信息的破坏 寄生在磁盘上的病毒总要非法占用一部分磁盘空间。引导型病毒的一般侵占方式是由病毒本身占据磁盘引导扇区,而把原来的引导区转移到其他扇区,也就是引导型病毒要覆盖一个磁盘扇区。被覆盖的扇区数据永久性丢失,无法恢复。文件型病毒利用一些DOS功能进行传染,这些DOS功能能够检测出磁盘的未用空间,把病毒的传染部分写到磁盘的未用部位去。所以在传染过程中一般不破坏磁盘上的原有数据,但非法侵占了磁盘空间。一些文件型病毒传染速度很快, 在短时间内感染大量文件,每个文件都不同程度地加长了,就造成磁盘空间的严重
22、浪费。3.3抢占系统资源 除VIENNA、CASPER等少数病毒外,其他大多数病毒在动态下都是常驻内存的,这就必然抢占一部分系统资源。病毒所占用的基本内存长度大致与病毒本身长度相当。病毒抢占内存,导致内存减少,一部分软件不能运行。除占用内存外,病毒还抢占中断,干扰系统运行。计算机操作系统的很多功能是通过中断调用技术来实现的。病毒为了传染激发,总是修改一些有关的中断地址,在正常中断过程中加入病毒的“私货”,从而干扰了系统的正常运行。3.4影响计算机运行速度病毒进驻内存后不但干扰系统运行,还影响计算机速度,主要表现在:(1)病毒为了判断传染激发条件,总要对计算机的工作状态进行监视, 这相对于计算机
23、的正常运行状态既多余又有害。(2)有些病毒为了保护自己,不但对磁盘上的静态病毒加密,而且进驻内存后的动态病毒也处在加密状态,CPU每次寻址到病毒处时要运行一段解密程序把加密的病毒解密成合法的CPU指令再执行; 而病毒运行结束时再用一段程序对病毒重新加密。这样CPU额外执行数千条以至上万条指令。(3)病毒在进行传染时同样要插入非法的额外操作,特别是传染软盘时不但计算机速度明显变慢, 而且软盘正常的读写顺序被打乱,发出刺耳的噪声。3.5计算机病毒错误与不可预见的危害 计算机病毒与其他计算机软件的一大差别是病毒的无责任性。编制一个完善的计算机软件需要耗费大量的人力、物力,经过长时间调试完善,软件才能
24、推出。但在病毒编制者看来既没有必要这样做,也不可能这样做。很多计算机病毒都是个别人在一台计算机上匆匆编制调试后就向外抛出。反病毒专家在分析大量病毒后发现绝大部分病毒都存在不同程度的错误。错误病毒的另一个主要来源是变种病毒。有些初学计算机者尚不具备独立编制软件的能力,出于好奇或其他原因修改别人的病毒,造成错误。计算机病毒错误所产生的后果往往是不可预见的,反病毒工作者曾经详细指出黑色星期五病毒存在9处错误, 乒乓病毒有5处错误等。但是人们不可能花费大量时间去分析数万种病毒的错误所在。 大量含有未知错误的病毒扩散传播,其后果是难以预料的。3.6计算机病毒的兼容性对系统运行的影响兼容性是计算机软件的一
25、项重要指标,兼容性好的软件可以在各种计算机环境下运行,反之兼容性差的软件则对运行条件“挑肥拣瘦”,要求机型和操作系统版本等。病毒的编制者一般不会在各种计算机环境下对病毒进行测试,因此病毒的兼容性较差,常常导致死机。3.7计算机病毒给用户造成严重的心理压力据有关计算机销售部门统计,计算机售后用户怀疑“计算机有病毒”而提出咨询约占售后服务工作量的60以上。经检测确实存在病毒的约占70,另有30情况只是用户怀疑,而实际上计算机并没有病毒。那么用户怀疑病毒的理由是什么呢?多半是出现诸如计算机死机、软件运行异常等现象。总之计算机病毒像“幽灵”一样笼罩在广大计算机用户心头,给人们造成巨大的心理压力,极大地
26、影响了现代计算机的使用效率,由此带来的无形损失是难以估量的。四 计算机病毒的传播模型为了进一步认识计算机病毒,人们努力用形式化的数学方法刻画计算机病毒。在传统的对计算机病毒的传播机制研究中,常常借用已有的传染病数学模型,但由于计算机病毒的攻击对象是文件系统,所以传统计算机病毒研究中把计算机作为传播个体并不适合。另外,已有的讨论传染病数学模型局限在固定总量的传播群体,而且只讨论传播的初始阶段和最后的稳定状态的特征,没有考虑快速传播阶段的特征。在计算机病毒的讨论中,认为网络的拓扑结构对病毒的传播具有决定性的影响,目前比较好的结果都是基于随机同构网络得到的。4.1 SIS模型Susceptible-
27、Infected-Susceptible模型,易染-感染-易染 ,简称SIS模型。我们假设在一定环境中,当某种群中不存在流行病时,其总种群(N)的生长服从微分系统: N= beaN dN (4-1)其中N=N(t)表示t时刻该环境中总种群的个体数量,beaN 表示种群中单位个体的生育率,d表示单位个体的自然死亡率,bd0,a0。当流行病存在于该种群中时,疾病的传染机制,如下图所示。 beaN S SI I rI ds (d+a)I 图4.1 病毒的传染机制这里,S,I分别表示易感者类和染病者类,其中所有的参数均为正常数。且l beaN表示外界对环境的输入;l 表示一个染病者所具有的最大传染力;
28、l r(r0)表示疾病的回复率;l d,a(a0)表示自然死亡率和额外死亡率。所以,流行病的传播服从双线性传染率SI(0)的SIS模型,即: S= beaN N SI- dS + rI (4-2) I=SI (d+a+r)I这是总种群的生长服从系统:N= beaNNdN aI (4-3)其中S = S(t)和I=I(t)分别表示t时刻易感类(S)和染病类(I)中个体的数量,N(t)= S(t) + I(t)。4.2 SIR模型Susceptible-Infected-Removed模型,感染-感染-隔离,简称SIR模型。众所周知,在计算机系统中有已感染病毒的可执行程序流入系统,只要其中被病毒感
29、染(带菌者)的可执行文件运行(运行就是接触,接触就能传播病毒),就会造成病毒在系统中的传播。SIR模型将网络中的节点的状态分为三种状态:(1)易感染状态(S),处于该状态的节点当前没有感染病毒,但是有可能会被病毒感染;(2)感染状态(I),处于该状态的节点当前已经感染病毒,并且能够将病毒传染给其他节点;(3)免疫状态(R),处于该状态的节点对病毒具有抵抗能力,不会再感染同一种病毒,也不会向外传播病毒。处于该状态的主机实际上已经脱离了病毒的传播过程。ISR 图4.2 SIR 病毒传播模型 该模型的状态方程如下: dS/dt = -SI dI/dt = SI I dR/dt = I (4-4) S
30、(0) = N - I o , I(0) = I o ,R(0) = 0 其中为感染率,为病毒清除率,N为网络中总的节点数。 SIS模型和SIR模型在生物学模型的基础上建立起来的。然而,计算机病毒与生物学病毒还是有很大的区别,生搬硬套地将其运用计算机病毒的模型当中,必然会存在许多不合理的地方。如SIS模型和SIR模型认为个体在某封闭群体内的状态换过程仅与长量和有关,而没有考虑到外来因素对病毒传播的影响,例如用户的免疫措施等。4.3双因素模型双因素模型考虑到了蠕虫的对抗措施和变化的感染率对于病毒传播的影响。在病毒的传播过程中,人们会逐渐意识到该病毒的危害性并采取相应的对抗措施。如:清除病毒、打补
31、丁、更新病毒库、防火墙或边缘路由器上安装过滤器。受带宽的限制,病毒在网络中传播也会造成拥塞,从而降低了病毒的感染率。该模型考虑了更对的外界因素对病毒的影响但不考虑网络拓扑结构的影响。双因素传播模型的微分表达式为: dR(t)/dt =I(t) dQ(t)/dt = S(t)J(t) dS(t)/dt = -(t)S(t)I(t)- dQ(t)/dt J(t) = I(t) + R(t) (4-5) N = S(t) + I(t) + R(t) + Q(t)其中(t)表示t时刻的感染率,定义如下: (t) =oI I(t)/N (4-6)在公式(4-5)中,R(t)表示t时刻被免疫的主机数,I(
32、t)表示t时刻感染病毒的主机数,Q(t)表示t时刻尚未被感染前就作了免疫处理的主机数,S(t)表示t时刻易感染主机的数目,J(t)则表示t时刻时已感染过的主机数。其中,o为常量。由上述公式能推导出如下关系表达式:dI(t)/dt =(t)N-R(t) - I(t) - Q(t) I(t) - dR(t)/dt (4-7)五 网络蠕虫的传播模型5.1蠕虫和普通病毒的区别网络蠕虫和计算机病毒都具有传染性和复制功能,这两个主要特性上的一致,导致二者之间是非常难区分的,尤其是近年来,越来越多的病毒采取了部分蠕虫的技术,另一方面具有破坏性的蠕虫也采取了部分病毒的技术,更加剧了这种情况。计算机病毒主要攻击
33、的是文件系统,在其传染的过程中,计算机使用者是传染的触发者,是传染的关键环节,使用者的计算机知识水平的高低常常决定了病毒所能造成的破坏程度。而蠕虫主要利用计算机系统进行传染,在蠕虫的定义中强调了自身副本的完整性和独立性,这也是区分蠕虫和病毒的重要因素。如表5.1所示,本质上蠕虫和普通病毒还是有许多不同之处。 表5.1 普通病毒和蠕虫的比较病毒蠕虫存在形式寄生独立个体复制机制插入到宿主程序中自身的拷贝传染机制宿主程序运行系统存在漏洞传染目标针对本地文件针对网络上的其他计算机触发传染计算机使用者程序自身影响重点文件系统网络性能、系统性能防治措施从宿主文件中摘除为系统打补丁对抗主体计算机使用者系统提
34、供者、网络管理员用户参与需要不需要网络蠕虫的行为特征有主动攻击,行踪隐蔽,利用系统、网络应用服务漏洞,造成网络拥塞,降低系统性能,产生安全隐患。蠕虫的可怕之处也就在于它不需要计算机用户的参与就悄不声息地传播,直至造成了严重的影响甚至是网络拥塞才会被人们所意识到,而此时,蠕虫的传播范围已非常广泛。5.2著名的蠕虫病毒熊猫烧香2006年年底,熊猫烧香开始大规模传播。这是一种典型的感染型蠕虫病毒。熊猫烧香会删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。熊猫烧香感染系统的.exe .com. f.src .html.asp文件,添加病毒网址,导致用户一打开这些网页文件,IE就会自
35、动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe,可以通过U盘和移动硬盘等方式进行传播,并且利用windows系统自动播放功能来运行,搜索硬盘中的.exe可执行文件并感染,感染后的文件图标变成了“熊猫烧香”图案。“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。图5.1 电脑感染熊猫烧香的症状Melissa(梅丽莎)病毒梅莉莎,这个彻底改变人们对网络与安全观念的病毒程式,改变了人们对电子商务安全的看法。1999年3月26日,星期五,W97Mmelissa梅丽莎病毒(又称“美丽杀手”)登上了全球各地报纸的头版。估计数字显示,这个W
36、ord宏脚本病毒感染了全球15%20%的商用PC。病毒传播速度之快令英特尔公司(Intel)、微软公司(Microsoft,下称微软)、以及其他许多使用Outlook软件的公司措手不及,为了防止损害,他们被迫关闭整个电子邮件系统。损失估计:全球约3亿6亿美元。“梅利莎(Melissa)”病毒首先感染Word通用模板Normal.dot文件,然后修改Windows注册表项HKEY_CURRENT_USERSoftwareMicrosoftOffice,在其中增加键“Melissa?”,并取键值为“ by Kwyjibo”。“梅利莎(Melissa)”病毒邮件通常为MIME编码,由两个部分组成。携
37、带该病毒的邮件被打开后,首先降低主机的宏病毒防护等级,然后检查注册表中相关参数,如符合病毒传播条件,则打开每个用户的电子邮件地址,向前50个地址发送被感染的邮件,并修改注册表中的该项参数。 图5.2电脑感染梅丽莎病毒的症状5.3蠕虫传播的动态模型根据蠕虫传播的一般过程,我们知道,蠕虫的传播在很大程度上受到网络带宽的限制。特别是在蠕虫传播的后期,有限的网络资源将成为蠕虫传播的一个瓶颈导致传播速度的下降。事实上,蠕虫在网络中的传播除了受到带宽的限制,还受到了其他多种因素的影响。如反病毒措施、网络拓扑结构等。本文在传统的流行病病毒传播模型SIR模型的基础上,提出了新的动态蠕虫传播模型。如下图SIR
38、(t) Q(t) 图5.3动态蠕虫的传播模型其中,S为易染主机,即网络中存在某种漏洞的主机。I为感染主机,即已经感染了蠕虫病毒的主机。R为具有抵抗力的主机,即能够抵抗蠕虫病毒,从而不会被感染的主机。S I:感染主机通过大量发送探测包,发现网络中存在漏洞的主机。I R:感染主机利用杀毒软件成功将蠕虫病毒清除后转化为具有抵抗力的主机,不会再感染同种蠕虫病毒。S R易染主机通过打补丁,对蠕虫病毒具有免疫力,转化为具有抵抗力的主机。根据上面得分析,我们得到模型状态的方程如下: dS/dt = -(t)SI- Q(t)S (5.1) dI/dt =(t)SI -I其 初始状态为(N-Io, Io),其中
39、N是网络中存在某种漏洞的主机总数。Io是初始时刻网络感染该蠕虫病毒的主机数。六 计算机病毒的防治策略经过长期的与病毒对抗,人们积累了大量反病毒的经验,掌握了很多实用的反病毒技术,并开发了一些优秀的抗病毒产品。如卡巴、金山毒霸、江民等杀毒软件。研究计算机病毒的防御策略主要研究病毒的检测、病毒的清除和病毒的预防。病毒的检测技术主要有特征值检测技术、校验和检测技术、行为监测技术、启发式扫描技术、虚拟机技术。人们可以通过现象观察法和使用抗病毒软件检查计算机是否感染病毒。6.1 计算机感染病毒的症状随着计算机和计算机网络的发展,计算机病毒的种类越来越多,计算机感染病毒的症状也随之而变化。伴随而来的计算机
40、病毒传播问题越来越引起人们的关注。计算机感染病毒的症状主要有以下几种:1、机器不能正常启动。加电后机器根本不能启动,或者可以启动,但所需要的时间比原来的启动时间变长了。有时会突然出现黑屏现象。 2、运行速度降低。如果发现在运行某个程序时,读取数据的时间比原来长,存文件或调文件的时间都增加了,那就可能是由于病毒造成的。 3、磁盘空间迅速变小。由于病毒程序要进驻内存,而且又能繁殖,因此使内存空间变小甚至变为“0“,用户什么信息也进不去。 4、文件内容和长度有所改变。一个文件存入磁盘后,本来它的长度和其内容都不会改变,可是由于病毒的干扰,文件长度可能改变,文件内容也可能出现乱码。有时文件内容无法显示
41、或显示后又消失了。 5、经常出现“死机”现象。正常的操作是不会造成死机现象的,即使是初学者,命令输入不对也不会死机。如果机器经常死机,那可能是由于系统被病毒感染了。 6、外部设备工作异常。因为外部设备受系统的控制,如果机器中有病毒,外部设备在工作时可能会出现一些异常情况,出现一些用理论或经验说不清道不明的现象。比如打印机工作不正常,如系统“丢失”打印机、打印状态异常等。7、平时运行正常的计算机突然经常性无缘无故地死机。病毒感染了计算机系统后,将自身驻留在系统内并修改了中断处理程序等,引起系统工作不稳定,造成死机现象发生。8、部分文档自动加密码还有些计算机病毒利用加密算法,将加密密钥保存在计算机
42、病毒程序体内或其他隐蔽的地方,而被感染的文件被加密,如果内存中驻留有这种计算机病毒,那么在系统访问被感染的文件时它自动将文档解密,使得用户察觉不到。一旦这种计算机病毒被清除,那么被加密的文档就很难被恢复了。 9、修改Autoexec.bat文件,增加Format C:一项,导致计算机重新启动时格式化硬盘。在计算机系统稳定工作后,一般很少会有用户去注意Autoexec.bat文件的变化,但是这个文件在每次系统重新启动的时候都会被自动运行,计算机病毒修改这个文件从而达到破坏系统的目的。 10、使部分可软件升级主板的BIOS程序混乱,主板被破坏。类似CIH计算机病毒发作后的现象,系统主板上的BIOS
43、被计算机病毒改写、破坏,使得系统主板无法正常工作,从而使计算机系统报废。 11、网络瘫痪,无法提供正常的服务。一般的系统故障是有别与计算机病毒感染的。系统故障大多只符合上面的一点或二点现象,而计算机病毒感染所出现的现象会多的多。根据上述几点,就可以初步判断计算机和网络是否感染上了计算机病毒。6.2病毒的检测技术 计算机病毒的检测是对主引导区、可执行文件、文件空间和病毒特征值进行对比分析,寻找病毒感染后留下的痕迹。 6.2.1特征值检测技术计算机病毒的特征值是指计算机病毒本身在特定的寄生环境中确认自身是否存在的标记符号,即指病毒在传染宿主程序时,首先判断该病毒欲传染的宿主是否已染有病毒时,按特定
44、的偏移量从文件中提出特征值。病毒检查可以由用户临时指定一个特征扫描(速度快),也可用特征值数据库扫描(自动化程度高)。 一个特征值数据库文件可以存放几万种病毒的特征值。用户还可换用不同的特征值数据库文件,因此实际上无数量限制。数据库的数据结构可由用户自己定义,如采用文本数据库,这种数据库可以用任何文字处理器编辑修改。特征值检测方法的优点是:检测准确快速、可识别病毒的名称、误报警率低,并且依据检测结果可做解毒处理。其缺点是:由于病毒种类多检索时间长,不能检查未知病毒和多态性病毒,不能对付隐蔽性病毒。6.2.2校验和检测技术 计算正常文件的内容和正常的系统扇区的校验和,将该校验和写入数据库中保存。
45、在文件使用/系统启动过程中,检查文件现在内容的校验和与原来保存的校验和是否一致,因而可以发现文件/引导区是否感染,这种方法叫校验和检测技术。 这种方法既能发现已知病毒,也能发现未知病毒,但是,它不能识别病毒种类,不能报出病毒名称。由于病毒感染并非是文件内容改变的惟一原因,文件内容的改变有可能是正常程序引起的,所以校验和检测技术常常误报,而且此种方法也会影响文件的运行速度。校验和检测技术的优点是:方法简单,能发现未知病毒,被查文件的细微变化也能发现。其缺点是必须预先记录正常文件的校验和,会误报警,不能识别病毒名称,不能对付隐蔽型病毒,并且效率低。6.2.3行为监测技术行为检测技术的优点是:可发现未知病毒,可相当准确地预报未知多数病毒。行为检测技术的不足是:可能误报,不能识别病毒名称和实现时有一定的难度。6.3.计算机病毒的预防 计算机病毒防范,是指通过建立合理的计算机病毒防范体系和制度,及时发现计算机病毒侵入,并采取有效的手段阻止计算机病毒的传播和破坏,恢复受影响的计算机系统和数据。计算机病毒防范工作,首先是防范体系的建设和制度
浙ICP备2021020529号-1 | 浙B2-20240490 
