计算机病毒的本质特征及检测

计算机病毒的本质特征及检测 计算机病毒的本质特征及检测 杨宝生 中国人寿宝鸡分公司 信息技术部陕西 宝鸡 ( , 721000) 摘要本文主要论述了计算机病毒的本质特征尤其对其传染过程进行了本质性的分析然后针对病毒的存在场所引导区磁盘文: , 。(、 件内存提出了一些未知病毒检测)、。 关键词计算机病毒检测特征宏: ; ; ; 中图分类号文献标识码文章编号: TP 393 : A : 1009- 3044(2007)17- 31304- 03 Es s e ntia l Cha ra cte r a nd De te ction of Compute r Virus YAN G Bao- sheng (Information Technology Department of Chinese Life Baoji Branch Company, Baoji 721000, China) Abs tra ct:The artical mainly described essential character of computer virus, especially analyze the infection process of computer virus in na- ture. and then proposed some unknown virus inspection ways in the light of virus place (booting area, disk file, EMS memory) Ke y words :computer virus; detection; character 栈然后可以从堆栈中获取该地址这样便完成了自我定位 ; , 。, 。引言1 完成传染性的最后一个任务是复制将自身写入目标文件 : 。计算机病毒正以惊人的速度蔓延对计算机系统的安全构成 , 未知计算机病毒的检测 3 了强烈威胁虽然反病毒专家采用了各种各样的方法来检测计算。 机病毒但新病毒还是层出不穷而且技术水平越来越高隐蔽性 就 病毒而言可以把病毒划分为引导区型病毒文件型病 , , , PC , 、 而且病既感染引导区又感染文件三类其中文件型病, 越来越强病毒技术与反病毒技术在矛盾中更新和发展()。 毒和混和型病毒。 毒检测总是滞后于病毒的出现目前针对已知病毒的特征码扫描 毒又包含感染 文件病毒和宏病毒两大类这种划分方法不但 。PE 。技术已很成熟 迫切需要一些针对未知病毒的检测方法以做到也指明了, , , 指明了不同种类病毒各自在计算机系统中的寄生部位 提前报警来确保系统的安全病毒的攻击对象我们可以针对各类计算机病毒寄生和攻击目标 。。 的特点对各类计算机病毒个个击破在计算机系统中病毒有三 , , 。计算机病毒的本质特征分析 2 [1] 种存在场所引导区磁盘文件和内存其中前两者是病毒的静: , 、。 控 制 权 获 计算机病毒要完成传染必须完成三个主要任 务:态存在场所也分别是引导区型病毒和文件型病毒寄生的攻击的 , 取自我定位和复制完成控制权获取是为了病毒的传染模块得、。到执行机会实际上控制权获取是完成任何病毒任务的基础自 , , ; 对象而内存则是病毒的动态存在场所, 。复制是将自身写入 ; 我定位是获取病毒自身副本在内存中的位置引导区中的病毒分析及检测技术 3.1 [2]目标程序中以便病毒随着目标程序的传播而传播, 。中 的引导过程为首先完成硬件检测后将引导 PC OS : , BIOS 病毒获取执行机会的方法通常有三种换 内 替换路径替 : “”、并跳到该地址执行, ; 区中的引导程序读到内存的一个固定地址容以及将自身作为 的调度单位OS 。 然后引导程序会读入 的初始化代码执行这时引导程 OS , BIOS。、替换路径是指替换描述正常代码位置的数据结构如文件 , :“”序和 初始化程序的执行顺序和位置关系如下图OS : 目录文件中程序入口地址中断向量表中中断服务程序的入、PE 、 口地址中 的入口地址等这样当 或者应用程序通 、DLL API 。, OS 实际上定位到, 过这些数据结构去定位它们所需要的服务代码时 的是病毒代码为了保证能够完成正常任务而达到病毒的隐蔽 。 引导区病毒可以将引导程序移到其它空闲扇区而用自身代 , 性病毒通常需要保存原有正常的数据结构以便完成病毒任务 , , 码覆盖引导扇区这样读入的将是病毒程序 , BIOS 。。后再由正常的数据结构定位正常代码以完成正常任务, , 。 替换内容则是指替换上述数据结构所指向的内容这样当 , 。 或应用程序要调用这些代码时实际上调用的是病毒代码 OS , 。 计算机病毒还可以创建病毒进程或者病毒线 程而将自身作第二种方法是 存在性检测通过检测字符串的存在来检测 “”: 为 的调度单位创建病毒进程时需要一个与进程对应的磁盘 OS 。病 毒 的 存 在 或 者 引 导 区 中 存 在 的 不 应 该 出 现 的 字 符 串 如 , , , 文件因此病毒首先会用自身副本在磁盘中创建一个可执行文 , , 病毒体中含有可以作为病毒信号 Stoned “Your PC is now stoned!”, 件然后再创建病毒进程如果该可执行文件的名称是固定不变 , 。 擎 如 果 引 导 区 中 含 有 这 样 的 字 符 串 则 说 明 引 导 区 已 被 。 , 报的则这样的病毒很容易被检测如果文件名是动态变化的则病 , , 。病互感染Stoned 。自身一定有某种方法判断病毒 , 毒为了保证不重复创建病毒进程第三种方法是缺少性检测通过检测引导区中必须具有的 使用与病毒同样的方法可以检测出系 : “”, 进程是否已经创建这样。统中是否己有该病毒创建病毒线程的方法比前一种方法要隐 。 字符串是否存在业检测病毒这些字符串包括系统文件名和错误。蔽一般情况下病毒为了常驻内存都会以常驻内存的进程作为 。, 这些字符串的缺少或被修改意味着引导区被病毒感提示信息 ,可以先得到系统中每个进程的每个 , 其宿主进程对于病毒线程。线程的入口地址然后使用特征码扫描法检测病毒线程 , 。染。完成传染性的第二个重要任务是自我定位得到自身副本在 : 文件中的病毒分析及检测技术3.2 执 , 内存中的位置病毒在内存中的自我定位都依赖于堆栈首先。。 文件型病毒包括数据文件中的病毒和可执行文件中的病毒。行过程调用指令则该调用指令的下一条指令的地址会被存入堆, 而数可执行文件中的病毒主要感染的是 格式的可执行文件PE , 据文件中的病毒则以宏病毒为代表等脚本语言编它用 , VBScript 写通过文字处理软件传播现在大量出现的邮件病毒也通过 , , 。 收稿日期: 2007- 08- 17 作者简介杨宝生男陕西省宝鸡人中国人寿保险公司宝鸡分公司信息技术部主要负责计算机应用与维护及信息安全管理 :( 1969- ) , , , , 。 等邮件收发工具传播因为每天通过 要交换无数通常宏病毒至少会包含一个以上的自动宏或者是一outlook 。Internet Word , , 的文档和邮件所以宏病毒的传播速度极快危害性也极大 个以上的标准宏如果某个文件感染了这类 宏病毒 , , 。。.DOC WORD ,执行文件型病毒分析及检测 则当 运行这类宏时实际上就是运行了病毒代码由自动 3.3 [3]WORD , 。可执行文件是病毒极好的寄生地尤其是库文件可执行文 其内容都具有把带病毒的宏移植到通, , 。宏和标准宏构成的宏病毒 难以被发现而数据文用宏的代码段也就是说宏病毒通过这种方式实现对其他文件的 可读性差, , , 。件中的病毒以二进制形式存在传染当 系统退出时它会自动地把所有通用宏保存到模板 。Word , 件中的病毒则要简单得多如在字处理软件中禁 也很容易对付, , 文件中当 系统再次启动时它又会自动地把所有通用宏 , WORD , 止使用宏便可防范宏病毒的入侵。从模板中装入一旦 系统再次启动时则以后每当系统进行 。Word , 可执行文件中的病毒靠替换开始代码入口点替换路径或 (“”)初始化时系统都会随着标准模板文件的装入而, ( NORMAL.DOT) 替换内容来保证在宿主程序被调入内存执行时病() 入口代码指令 进而在打开和创建任何文档时感染该文毒获得执行机会对可执行文件中病毒的第一种检测方法是内成为带毒的 系统Word , 。“容或路径完整性检测许多病毒会感染库文件拦截库函数的调 , ”。 档。, 用库文件中存在一个指出该库中所有库函数入口的数据结构。宏病毒的检测和防御4.2 计算机病毒通过修改该数据结构替换路径或函数入口代码替 ()(“”利用 提供的宏病毒防护功能 4.2.1 Word “”来拦截库函数的调用一般地病毒只会拦截某些特殊的 ), 。换内容防御宏病毒的一种比较简单的方法文档 就是在打开 , Word 函数如文件操作函数和网络访问函数检测程序可以备份这些 , 。以备后期进行对比 时先禁止所有自动执行的宏以 开头的宏的执行由于宏病, 特殊函数在库文件中的文件入口和入口代码(Auto ) 。 检测。毒的肆虐微软公司在 版本中提供了宏病毒防护的功, “”Word 97 第二种方法是结构完整性检测它检查可执行文件的内部 “”, 能选项如果打开的文件带有自动宏将自动弹出宏警 , Word 97 。“”用高级语言编写的程序通过编译链 :结构这种方法基于一个事实。告对话框来让用户选择是否执行宏如果选择了取消宏那么, , , “”和 Windows OS/2 接生成的可执行代码具有确定的内部结构如在 。这个 文档将用只读形式打开其包含的所有宏都没有执行Word , 。 的可执行文件中代码段通常放在所有段的前面而且数据段跟 , , 则可以作为病 但它有两个很大的, 在代码段的后面如果数据段的后面出现代码段, 这个方法在理论上能防住所有宏病毒的侵袭。 毒存在的信号来报警。缺陷一是它拒绝了所有宏的执行这会造 包括正常宏和病毒宏: , , 内存中的病毒分析及检测技术3.4 [4] 动二是宏病毒防护无法阻止启 成某些文档在打开时出现错误 :计算机病毒的第三个存在场所是内存病毒要完成传染任务 。时 中的宏和 中的宏的自动执行也Word Autoexec.dot Normal.dot 。 必须先进入内存引导区病毒依赖 读入内存文件型病毒则, BIOS , 就是说一旦 被宏 病 毒 感 染 过 生 成 了 带 毒 的 , Word , Autoexec.dot靠用户对文件的激活从是否驻留内存的角度来看病毒又可分 , 。或 那么宏病毒防护也就没有任何作用了所以宏病 Normal.dot, 。“为内存驻留病毒和非内存驻留病毒后者在内存的活动随着宿主 。 毒防护并不能彻底解决宏病毒的问题”“”。程序的终止而终止 而前者则相反它会继续留在内存监视系统, , 智能宏代码扫描技术 4.2.2 [5]并进行传染对于非内存驻留病毒其工作机制一般都比较简单 。, :因为宏病毒的存在而禁止使用所有的宏未必有点因噎废食 , 当感染这类病毒的程序被调入内存执行时病毒先获得控制权 , ,的味道所以应该考虑采取更为科学有效的方法来解决宏病毒问, 它的主要任务便是获取一个可被感染的新文件并将自身写到该 , 题。文件中然后将控制权交给宿主程序这时可以依赖前面的方法, 。解决方法是提供一种智能宏代码扫描技术来分析每个宏的 , 行为并判定宏的执行是否会带来破坏行为这样的方法甚至能 , 。对这种类型的病毒进行检测下面主要分析内存驻留病毒的驻留 。用来检测和清除那些最新的未知宏病毒智能宏代码扫描技术的 。 机理和检测方法。 示意图如下图所示。内存驻留病毒有两个主要任务 一是驻留内存二是 获 取 新 : ; 文件进行感染为了检测内存中的病毒需要对病毒的驻留机理 。, 进行深入剖析下面给出几种常见的内存驻留机制。。 修 改 中 断 向 量 表或 中 断 描 述 符 表或 者 替 (1)(DOS)( Windows) ; 换中断服务程序 作为驱动程序驻留内存; (2) 寄生到操作系统的库文件如 中的 (3)、Windows Kernel32.d11; 作为进程驻留内存 (4); 创建一个属于常驻内存进程的线程 (5)。 宏病毒的分析与检测 4 宏病毒作用机制 4.1 对于每个 文件首先定位和分离出文件所包含的宏代Office , 码因为宏病毒在文档和模板中是以 。.DOC .DOT BFF(Binary File 加密压缩格式存放的所以可能还需要解密解压缩才能得 Format), 文件是通过模板来创建的模板是为了形成最终文档Word , 到最初的宏代码先可以用已知宏病毒的特征码对文件进行 扫。而提供的特殊文档提供了几种常见文档类型的模板它自。Word , 描如果没有匹配到已知的宏病毒则用智能宏代码扫描技术对 , , 动将新文档基于缺少的公用模板模板在 可以看出( Normal.dot) 。, 宏代码进行分析搜索宏代码中是否含有有害代码, 。作为基类文档继承模板的属性, , , 建立整个文档中所起的作用于因 为 文 件 中 宏 的 创 建 和 运 行 都 基 于 对 象 链 接 和 嵌 入 Word 包括宏菜单和格式等、。技术所以可利用 技术定位和扩展文档中宏的关键信 (OLE), OLE 每种动作其处理文档需要同时进行各种不同的动作Word , 息例如这些宏命令的位置之当扩展到宏表时就获得包含宏的, , 实都对应着特定的宏命令。对象的位置这个宏病毒检测并不会搜查文件的文本部 “”)。 分因为文件的文本部分不可能包含病毒除了提高搜索性能这, , 。 样做还减少了在大文本搜索时可能带来的误报。智能宏代码扫描技术的核心在于智能的基于规则的分析它 , 当 , 能在检索到一些危险和破坏性的宏命令时向用户告警例如。用户就, 宏代码程序在没有征询用户意见的情况下就进行格式化 曹玉英浅析计算机病毒及防范科技信息科学教能得到告警提示因为当文件打开时一些宏病毒就会被激活所 [1]. [J]. ( 。, 以智能宏代码扫描应该先于任何应用程序打开待查文件之前进研 ),2007,(17).行检测 。逄玉萍计算机病毒及其防预 科技信息 科学教研 [2] . [J]. (), 智能宏代码扫描技术应用了启发式代码扫描的思想但是遗, 2007,(19). 公司并未公布 文档的技术内幕所因为 甘容李明东杨玉梅计算机病毒解析计算机与信息 憾的是Microsoft Office , [3], , . [J]. , 以我们并不能透 彻 研 究 文 档 的 结 构 特 征 和 宏 代 码 的 存 在Office ,2007,(4). 技术 与运行情况所以要实现以上技术有相当大的困难 彭海平计算机病毒防御新思路电信快报, 。 [4]. [J]. ,2007,(5). 李忠东识别计算机病毒科学 小时 [5]. [J]. 24 ,2007,(21).参考文献 : 页上接第 ( 1202 ) 开发影像的 大纲1) XML ( 据基于文本的影像查询方法就显得力不从心首先是提取注解 , 。 像 有 影大纲中定义的主要标签XML , image、comment、 所需要的工作量太大其次是对影像注解的主观性和不精确性可, 和 等用于描述影像及其宽度和高度等属性source、width height . 。能导致查询过程的失配医学影像的形状纹理颜色空间 再次, , 、、、同时也定义了 超链接标签用于定位具体的网络资源link , 。关系很难用文字进行精确的描述和注解鉴于以上原因系统 [3]。, 文档 编写的影像 ( 2) XML 应 当 具 备 基 于 内 容 的 影 像 检 索 功 能( Query By Image Content, 的特点是基于相似度而并非精确匹配这是医学影QBIC) 。QBIC , , 像检索策略的一个重要发展方向。 基于内容的医学影像检索的原理是先利用图像处 如图 ( 2) : 理技术对库里的影像提取灰度形状纹理拓扑等特征向量建 , , 、、、 对给定的查询例图先 , , 立相应的特征向量库在进行影像检索时。 然后将例图的特征向量与特征库中的特 , 提取该例图的特征向量showa medical image by XML 征向量进行匹配并根据匹配结果从影像库中搜索出所需的影 , 像。images/brain.jpg 为了满足基于内容的医学影像检索的需要在 档案服 , PACS 400 务器内设计构建一个影像特征库影像检索分为以下三个步骤, 。: 300/ 一是提取 当前所显示影像的特征二是将其与特征库里的特 CPR ; 征进行比较并取得目标影像的索引存储 三是根据索引从 , ; PACS 子系统中取得目标影像并发送至 CPR。 由于医学影像对于纹理特征的描述最为清晰所以在本系统 , 中采用的是基于共生灰度矩阵纹理特征的检索算法。 以 上 文 挡 描 述 的 是 一 幅 脑 部 影 像 数 据 源 是 XML , images/ 像素高度 像素当然实际应用中还必须 宽度 brain.jpg, 300 , 400 。, 在 和 等标签里加入病历的其它信息link message 。 表现影像的 文档利用 ( ) 3XSLT XML 在定义了影像 大纲和影像 文档之后要想让浏览 XML XML , 器显示出来还必须为其定义表现方式把此时可以利用 , , XSLT 文档翻译成合适的数据结构以供浏览器显示默认的 , XML XSLT 文件的后缀名为 .xsl。 结论 3 电子病历的集成是医院信息系统的重要研究内容之一本文 , 提出的基于 模式的电子 病 历 与 医 学 影 像 集 成 系 统 不 仅 仅 是 B/S 基于内容的医学影像检索原理图 2 而是具备了一 , 把病历中的文本信息与医学影像简单排放在一起实现电子病历的方法2.3 XML 定的智能化功能使医生能够很方便地查询比对当前病人及以 , 、结构化病历的处理是电子病历研究的一个重要方面由于要 往病例的医学影像进而对病情作出诊断该系统能较好地 将 , , 。与医院现有的 资源进行整合提高了医院特别是 CPR PACS、RIS , , 其内容就更加显得复杂, 。XML 求在病历中方便地查阅医学影像影像科的运作效率同时也提高了医生的工作效率另外还可以 , , 。是一种结构化语言采用了层次化的面向对象结构的描述方法 , ,为系统添加与远程医疗咨询与辅助决策等 子系统的接口、HIS , 为病历中复杂内容的描述提供了有效手段。使之具有良好的扩展性能 。之 前 已 经 有 很 多 文 献 介 绍 过 基 于 的 电 子 病 历 实 现 方 XML 参考文献:法在本系统中采用的是基于数据的分散式电子病历集成方法, , 。 即在 中不存在集中管理病人的信息库通过接口直接 CPR , , CPR 罗 述 谦周 果 宏医 学 图 像 处 理 与 分 析北 京科 学 出 版 [1], . [M]. :就是通 , 访问各个业务系统中的病人信息例如病人的医学影像。,2003. 社过其记录的地址从 中直接获取这种集成方法的优点在于PACS , 。庄峻蒋建荣孙健永等和 系统集成实施和应用 [2],,. PACS RIS 上海医学影像杂志 [J].,2003,12(2),84- 87. 可以与业务系统得到完全相同的数据实现数据的实时访CPR , 高贝贝张建国高性能 系统设计中的若干关键技术 [3],. PACS 问减少数据冗余图 中里的影像数据中心只是在逻辑, 。1 , CPR 红外月刊 [J].,2005,5,32- 42.上以虚拟中心的形式提供数据采集的代理功能当浏览器端发 “”。王建仁段刚龙基于 的电子病历集成方法研究陕 [4],. XML [J]. 虚拟中心就从异构数据库中查询, 出集成病历各项数据的请求后西工学院学报,2005,21(1),47- 49. 需要集成的数据再通过 转换器根据 或 , , XML XML Schema DTD叶兴茂如何用 在 浏 览 器 中 显 示 图 像电 脑 编 程 技 [5]. XML [J]. 成 所描述的规则把采集到的数据转换 ( Document Type Definite) , 巧与维护,2005,01,56- 57. 数据并做成统一的数据视图提供给浏览器端XML , [4]。 利用 显示医学影像的基本步骤如下XML [5]: