1 計算機病毒的構成:
計算機病毒通常由3個單元和一個標誌構成:引導模塊、感染模塊、破壞表現模塊和感染標誌。
(1)感染標誌
計算機病毒在感染前,需要先通過識別感雜標誌判斷計算機系統是否被感染。若判斷沒有被感染,則將病毒程序的主體設法引導安裝在計算機系統,爲其感染模塊和破壞表現
模塊的引人、運行和實施做好準備。
(2)引導模塊
實現將計算機病毒程序引人計算機內存,並使得傳染和表現模塊處於活動狀態。引導模塊需要提供自我保護功能,避免在內存中的自身代碼不被覆蓋或清除。計算機病毒程序引人內存後爲傳染模塊和表現模塊設置相應的啓動條件,以便在適當的時候或者合適的條
件下激活傳染模塊或者觸發表現模塊。
(3)感染模塊
①感染條件判斷子模塊:依據引導模塊設置的傳染條件,判斷當前系統環境是否滿
足傳染條件。
②傳染功能實現子模塊:如果傳染條件滿足,則啓動傳染功能,將計算機病毒程序附加在其他宿主程序上。
(4)破壞模塊
病毒的破壞模塊主要包括兩部分:一是激發控制,當病毒滿足一個條件,病毒就發作;另一個就是破壞操作,不同病毒有不同的操作方法,典型的惡性病毒是瘋狂拷貝、刪除文件等。
2 診斷技術及各自的特點:
(1)特徵代碼法:
①採集已知病毒樣本
②打開被檢測文件,在文件中搜索,檢查文件中是否含有病毒數據庫中的病毒特徵代碼(唯一性)。
優點: 檢測準確快速、可識別病毒的名稱、誤報警率低、依據檢測結果,可做殺毒處理。
缺點: 速度慢;不能檢查多形性病毒;不能對付要隱蔽型病毒;不能檢測未知病毒;蒐集已知病毒的特徵代碼,費用開銷大、在網絡上效率低(在網絡服務器上,因長時間檢索會使整個網絡性能變壞)。
(2)檢驗和法:
首先把硬盤中的某些文件的資料彙總並記錄下來。在以後的檢測過程中重複此項動作,並與前次記錄進行比較,藉此來判斷這些文件是否被病毒感染。(因爲病毒在感染程序時,大多都會使被感染的程序大小增加或者日期改變)
優點: 方法簡單,能發現已知病毒,也能發現未知病毒,被查文件的細微變化也能被發現。
缺點: 由於病毒感染並非文件改變的唯一原因,文件的改變常常是正常程序引起的,所以檢驗和法的誤報率較高;效率較低;不能識別病毒類型和名稱;不能對付隱蔽型病毒。
(3)行爲檢測法:
病毒感染文件時,常常有一些不同於正常程序的行爲。利用病毒的特有行爲和特性監測病毒的方法稱爲行爲監測法。通過對病毒多年的觀察、研究,發現有一些行爲是病毒的共同行爲,而且比較特殊,而在正常程序中,這些行爲比較罕見。當程序運行時,監視其行爲,如果發現了病毒行爲,立即報警。
行爲監測法就是引人一些人工智能技術,通過分析檢查對象的邏輯結構。將其分爲多個模塊,分別引人虛報機中執行並監測,從而在出使用特定觸發條件的病毒。
優點: 不僅可以發現已知病毒,而且可以相當準確地預報未知的多數病毒。
缺點: 可能誤報警,不能識別病毒名稱,而且實現起來有一定的難度。
(4)虛擬機技術:
在計算機中創造一個虛擬系統。虛擬系統通過生成現有操作系統的全新虛擬鏡像,其具有真實系統完全一樣的功能而在這個全新的獨立的虛擬系統裏面進行,可以獨立安裝運行軟件,保存數據,不會對真正的系統產生任何影響。將病毒在虛擬環境中激活,從而觀察病毒的執行過程,根據其行爲特徵,從而判斷是否爲病毒。這個技術主要對加殼和加密的病毒非常有效。因爲這兩類病毒在執行時最終還是要自身脫殼和解密的,這樣,殺毒軟件就可以在其“現出原形”之後通過特徵碼查毒法對其進行查殺。
虛擬機技術是一種軟件分析器,用軟件方法來模擬和分析程序的運行。虛擬機技術一般結合特徵代碼法和行爲監測法一起使用。
Sandboxie(又叫沙箱、沙盤)即是一種虛擬系統。在隔離沙箱內運行程序完全隔離,任何操作都不對真實系統產生危害,就如同一面鏡子,病毒所影響的是鏡子中的影子系統而已。
在反病毒軟件中引人虛擬機是由於綜合分析了大多數已知病毒的共性,並基本可以認爲在今後一段時間內的病毒大多會沿襲這些共性。由此可見,虛擬機技術是離不開傳統病毒特徵碼技術的。
3 總結
總地來說,特徵代碼法查殺已知病毒比較安全徹底,實現起來簡單,常用於靜態掃描模塊中;其他幾種方法適合於查殺未知病毒和變形病毒,但誤報率高,實現難度大,在常駐內存的動態監測模塊中發揮重要作用。綜合利用上述幾種技術,互補不足,並不斷髮展改進,纔是反病毒軟件的必然趨勢。