计算机病毒的本质特征及检测

计算机病毒的本质特征及检测 计算机病毒的本质特征及检测,网络通讯及安全, 杨宝生 约5668字 摘要:本文主要论述了计算机病毒的本质特征，尤其对其传染过程进行了本质性的分析。然后针对病毒的存在场所(引导区、磁盘文件、内存)提出了一些未知病毒检测方法。 关键词:计算机病毒;检测;特征;宏 中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)17-31304-03 Essential Character and Detection of Computer Virus YANG Bao-sheng (Information Technology Department of Chinese Life Baoji Branch Company, Baoji 721000, China) Abstract:The artical mainly described essential character of computer virus, especially analyze the infection process of computer virus in nature. and then proposed some unknown virus inspection ways in the light of virus place (booting area, disk file, EMS memory) Key words:computer virus; detection; character 1 引言 计算机病毒正以惊人的速度蔓延，对计算机系统的安全构成了强烈威胁。虽然反病毒专家采用了各种各样的方法来检测计算机病毒，但新病毒还是层出不穷，而且技术水平越来越高，隐蔽性越来越强。病毒技术与反病毒技术在矛盾中更新和发展，而且病毒检测总是滞后于病毒的出现。目前针对已知病毒的特征码扫描技术已很成熟，迫切需要一些针对未知病毒的检测方法，以做到提前报警来确保系统的安全。 2 计算机病毒的本质特征分析[1] 计算机病毒要完成传染必须完成三个主要任务:控制权获取、自我定位和复制。完成控制权获取是为了病毒的传染模块得到执行机会，实际上，控制权获取是完成任何病毒任务的基础;自我定位是获取病毒自身副本在内存中的位置;复制是将自身写入目标程序中，以便病毒随着目标程序的传播而传播。 病毒获取执行机会的方法通常有三种:替换“路径”、替换内容以及将自身作为OS的调度单位。 替换“路径”是指替换描述正常代码位置的数据结构，如:文件目录、PE文件中程序入口地址、中断向量表中中断服务程序的入口地址、DLL中API的入口地址等。这样，当OS或者应用程序通过这些数据结构去定位它们所需要的服务代码时，实际上定位到的是病毒代码。为了保证能够完成正常任务而达到病毒的隐蔽性，病毒通常需要保存原有正常的数据结构，以便完成病毒任务后，再由正常的数据结构定位正常代码，以完成正常任务。 替换内容则是指替换上述数据结构所指向的内容。这样，当OS或应用程序要调用这些代码时，实际上调用的是病毒代码。 计算机病毒还可以创建病毒进程或者病毒线程而将自身作为OS的调度单位。创建病毒进程时需要一个与进程对应的磁盘文件，因此，病毒首先会用自身副本在磁盘中创建一个可执行文件，然后再创建病毒进程。如果该可执行文件的名称是固定不变的，则这样的病毒很容易被检测。如果文件名是动态变化的，则病毒为了保证不重复创建病毒进程，自身一定有某种方法判断病毒进程是否已经创建。这样，使用与病毒同样的方法可以检测出系统中是否己有该病毒。创建病毒线程的方法比前一种方法要隐蔽。一般情况下，病毒为了常驻内存都会以常驻内存的进程作为其宿主进程。对于病毒线程，可以先得到系统中每个进程的每个线程的入口地址，然后使用特征码扫描法检测病毒线程。 完成传染性的第二个重要任务是自我定位:得到自身副本在内存中的位置。病毒在内存 中的自我定位都依赖于堆栈。首先，执行过程调用指令，则该调用指令的下一条指令的地址会被存入堆栈;然后，可以从堆栈中获取该地址。这样，便完成了自我定位。 完成传染性的最后一个任务是复制:将自身写入目标文件。 3 未知计算机病毒的检测 就PC病毒而言，可以把病毒划分为引导区型病毒、文件型病毒和混和型病毒(既感染引导区又感染文件)三类。其中文件型病毒又包含感染PE文件病毒和宏病毒两大类。这种划分方法不但指明了不同种类病毒各自在计算机系统中的寄生部位，也指明了病毒的攻击对象。我们可以针对各类计算机病毒寄生和攻击目标的特点，对各类计算机病毒个个击破。在计算机系统中，病毒有三种存在场所:引导区、磁盘文件和内存。其中，前两者是病毒的静态存在场所，也分别是引导区型病毒和文件型病毒寄生的攻击的对象，而内存则是病毒的动态存在场所。 3.1 引导区中的病毒分析及检测技术[2] PC中OS的引导过程为:首先，BIOS完成硬件检测后将引导区中的引导程序读到内存的一个固定地址，并跳到该地址执行;然后引导程序会读入OS的初始化代码执行。这时，BIOS、引导程序和OS初始化程序的执行顺序和位置关系如下图: 引导区病毒可以将引导程序移到其它空闲扇区，而用自身代码覆盖引导扇区。这样，BIOS读入的将是病毒程序。 第二种方法是“存在性检测”:通过检测字符串的存在来检测病毒的存在，或者，引导区中存在的不应该出现的字符串，如Stoned病毒体中含有“Your PC is now stoned!”，可以作为病毒信号报擎。如果引导区中含有这样的字符串，则说明引导区已被Stoned病互感染。 第三种方法是“缺少性检测”:通过检测引导区中必须具有的字符串是否存在业检测病毒。这些字符串包括系统文件名和错误提示信息，这些字符串的缺少或被修改意味着引导区被病毒感染。 3.2 文件中的病毒分析及检测技术 文件型病毒包括数据文件中的病毒和可执行文件中的病毒。可执行文件中的病毒主要感染的是PE格式的可执行文件，而数据文件中的病毒则以宏病毒为代表，它用VBScript等脚本语言编写，通过文字处理软件传播，现在大量出现的邮件病毒也通过。outlook等邮件收发工具传播。因为每天通过Internet要交换无数的文档和邮件，所以宏病毒的传播速度极快，危害性也极大。 3.3 执行文件型病毒分析及检测[3] 可执行文件是病毒极好的寄生地，尤其是库文件。可执行文件中的病毒以二进制形式存在，可读性差，难以被发现。而数据文件中的病毒则要简单得多，也很容易对付，如在字处理软件中禁止使用宏便可防范宏病毒的入侵。 可执行文件中的病毒靠替换开始代码入口点(替换“路径”)或入口代码指令(替换内容)来保证在宿主程序被调入内存执行时病毒获得执行机会。对可执行文件中病毒的第一种检测方法是“内容或路径完整性检测”。许多病毒会感染库文件，拦截库函数的调用。库文件中存在一个指出该库中所有库函数入口的数据结构，计算机病毒通过修改该数据结构(替换“路径”)或函数入口代码(替换内容)来拦截库函数的调用。一般地，病毒只会拦截某些特殊的函数，如文件操作函数和网络访问函数。检测程序可以备份这些特殊函数在库文件中的文件入口和入口代码，以备后期进行对比检测。 第二种方法是“结构完整性检测”，它检查可执行文件的内部结构。这种方法基于一个事实:用高级语言编写的程序通过编译链接生成的可执行代码具有确定的内部结构。如在Windows和OS/2的可执行文件中，代码段通常放在所有段的前面，而且数据段跟在代码段的后面。如果数据段的后面出现代码段，则可以作为病毒存在的信号来报警。