第一篇 1病毒的特征

计算机病毒和生物界中的病毒有相似的特征，存在着复制性（传染性）、潜伏性、破坏性（发作性）、触发性等特征。这里以流程进行描述。当病毒进入计算机时候，它不是选择直接破坏，而是潜伏起来，不断的复制病毒，等待发作的机会。这和生物界的病毒原理相似。因为单个的病毒是很微小的，破坏作用及其有限，也容易被发现杀死清楚。所以成功的病毒，都是采用潜伏的方式，进行复制，当达到足够的数量后，在满足某个触发条件后，进行破坏（发作）。举例来说：按以往的经验计算机病毒的触发条件可以设置为时间触发，比如某月的某个日子，固定发作。曾经破坏性能很强的CIH就是以此未触发条件的。也可以在中断的第N次设置为触发条件等等。触发条件满足后，就开始破坏操作。也就相当于生物中的生病。

2计算机病毒的分类

计算机可以采用多种分类方式，比如根据伤害程度，根据损害软件和硬件、根据病毒编写原理、根据病毒传染的载体等等。这些相对是大家了解比较多的，本文介绍算法分类。伴随型病毒：伴随型病毒并不改变文件本身,而是根据算法产生.exe文件的伴随体,与文件具有同样的名称和不同的扩展名。当DOS加载文件时,伴随体优先被执行,再由伴随体加载执行原来的.exe文件。蠕虫型病毒蠕虫型病毒通过计算机网络进行传播,它不改变文件和资料信息,而是根据计算机的网络地址,将病毒通过网络发送,蠕虫病毒除了占用内存外一般不占用其他资源。寄生型病毒除伴随型病毒和蠕虫型病毒之外的其他病毒均可称为寄生型病毒。它们依附在系统的引导区或文件中,通过系统的功能进行传播,按算法又可分为练习型病毒、诡秘型病毒和变型病毒。练习型病毒自身包含错误,不能很好的传播,例如一些处在调试阶段的病毒。诡秘型病毒一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件缓冲区等进行DOS内部修改,由于该病毒使用比较高级的技术,所以不易清除。变型病毒又称幽灵病毒,这种病毒使用较复杂的算法,使自己每传播一份都具有不同的内容和长度。它们通过由一段混有无关指令的解码算法和变化过的病毒体组成。

3病毒的防范与查杀技术

病毒的防范与查杀可以说是一门具体的学科，不能一一细述。这里介绍常用的方法与工具。首先对于病毒的防范，初学者可以采用一些成型的软件，比如保护箱、360卫士开启实时保护等等。都可以起到病毒的防范作用。如果对安全度需求较高，就要从物理角度、操作系统角度、软件、网络多个角度进行设置。需要一定的计算机网络知识。其次在被感染前可以使用防火墙和杀毒软件进行预防。最后在被病毒感染后，要及时安装杀毒软件。比如卡巴斯基、诺顿、瑞星等等可以实时更新的软件，都具有较好的杀毒效果。另外辅助使用注册表技术可以使病毒的查杀事半功倍。

作者：马峰柏单位：黑龙江农业职业技术学院

第二篇 1网络环境下的计算机病毒的特征及中毒表现

1.1计算机病毒具有以下特征：

1.1.1传播途径多，扩散速度快大多数病毒的传播是以网络为媒介，以系统漏洞、网页、邮件等形式进行，伴随着网络的播散而播散，以极快的速度播散到全世界，譬如最早的由BBN技术公司程序员罗伯特•托马斯（RobertThomas）编写的计算机病毒Creeper出现在1971年，但当时Creeper还尚未被称为病毒。Creeper在网络中移动，很快就传播到了很多计算机。2007年的“熊猫烧香”病毒仅仅在几天之内就被传播到世界各地，并对很多大到公司小到普通网民产生了巨大影响。

1.1.2传染性强、潜伏性好传染原本是病毒的特征，在生物界，病毒通过一个生物扩散到另外一个生物，这个现象叫做传染，并在一定环境下，得以大量繁殖，导致被传染生物的死亡。同样，人们形象的把通过网络播散的一些能导致其他计算机瘫痪的程序称之为计算机病毒，与生物病毒不同的是，这些病毒是人为编制或插入的程序，这些程序一旦被启动，便会自动搜索传染目标并插入自身代码，如果不能及时被清除，便会以极快的速度进行扩散。计算机病毒传染的渠道主要有：软盘、计算机网络，而现今状况下，以网络最为便捷、迅速。而这些病毒在进入到一台宿主时，并不会立即发作，它可以隐藏在文件中几周、几个月甚至几年后得以爆发，隐藏性越好的病毒，传播范围越广。

1.1.3破坏性强，隐藏性好计算机病毒是可执行的程序，主要的表现之一是降低计算机运行速度、减缓计算机的工作效率，而破坏程度取决于计算机病毒设计者的目的，被计算机病毒侵犯的数据大多无法恢复，甚至造成系统瘫痪、崩溃等巨大“计算机灾难”。计算机病毒一般而言都是短小精悍的程序，能很好的隐藏于正常程序或是磁盘或是一些文件中，不被识别，并且这些病毒在感染计算机后能很快繁殖并感染大量程序，但是计算机仍然能正常运作，用户很难察觉。正是由于计算机病毒隐藏性，为这些病毒的传播创造了便利条件。并且这些病毒很难被彻底清除，只要有一台计算机未被清除干净，整个网络依旧处于危险状态，所以计算机病毒的防范工作并不是一个人或是一个公司的事情，而是应该整个网络联合起来，彻底消灭计算机病毒，但是这个工作的开展也很困难。

1.1.4目的性和针对性强最早期计算机病毒设计者在设计这些程序时仅仅是为了显示自己的水平，而当今这些设计者不仅仅是为了显示水平，更多的是通过编撰病毒来获得高额的经济利益。譬如“盗号木马”的出现，这些木马潜伏在用户的计算机中不被察觉，并通过这些病毒程序来盗取用户信息，如：QQ号，银行账号等，并将其发送到黑客手中，给用户造成了巨大经济损失，而给黑客带来了巨额的经济利益。

1.2计算机中毒表现

(1)计算机经常死机：病毒感染计算机后会占用很多内存，必然会导致计算机内存不足，造成网络运行过慢；

(2)系统无法正常启动：病毒感染计算机后会修改或删除启动文件；

(3)文件打不开：病毒感染计算机会修改文件格式、链接位置等造成文件无法打开；

(4)提示硬盘空间不够：感染病毒时会被病毒占用大量空间，造成空间不足；

(5)数据丢失：病毒会自动删除文件，造成文件或数据的丢失；

(6)键盘或鼠标无端被锁死；

(7)系统自动执行操作：病毒是在后台运行并执行非法操作。

2计算机病毒的检测技术

虽然现在的计算机病毒隐藏性好，但是当计算机感染上病毒后，依旧会有所改变，譬如文件的长度、日期，程序的运行速度，或发生死机状况等等。这就需要我们采用一些措施来检测病毒，病毒软件的运用为我们检测病毒带来了很多便捷，这也就是所谓的病毒代码，设计病毒代码的公司截取病毒程序中一小段独一无二的二进制程序码，以此来辨认病毒。常用的技术主要有：

2.1病毒码扫描法研究人员将新发现的病毒加以分析，编成病毒码，录入病毒资料库。在执行程序时，便会启动病毒程序，对执行的文件进行扫描、比对，以此检测是否有病毒。这种方法的特点是：快速。但也存在缺陷：对于未知或变种的病毒无法检测。

2.2人工智能陷阱人工智能陷阱是常驻在计算机中检测计算机行为的一种技术，只要计算机的程式存在异常，便会有所警觉，并提示。有点是速度快，操作简单，范围广；缺点是：设计程序复杂，容易存在漏洞。

2.3软件模拟法多态性的病毒每次感染时其病毒代码都会发生变化，因此检测这类病毒时单一的密匙便会失去效用，并且没有稳定的代码。所以针对这类病毒，需要采用软件模拟法来进行检测，通过软件模拟和分析程序的运行，演绎为虚拟机上进行查毒。在计算机发现隐藏的病毒时，便会启动软件模拟模块，来检测病毒。

2.4加总比对法比对法主要是将正常的文件与被检测的文件的名称、大小、时间、及内容进行比对，加总为一个检测码，并将此检测码附于程序的后面，以此来追踪每个程序的检查码是否遭更改，来判断是否中毒。

（1）长度比较法及内容比较法：当病毒入侵计算机或计算机的文件时，定会造成系统或文件的改变。这些改变包括内容的变化也包括长度的变化。因此通过比较原始系统、文件和被检测文件内容、长度，便会发现是否感染病毒。

（2）内存比较法：计算机病毒中有一种病毒占据的是内存空间，对于此类病毒需要采用内存比较的方法。因为病毒若要入驻内存，必须进行申请，并进行占用，这样通过对内存进行检测，便会发现此类病毒是否感染内存。

2.5VICE(VirusInstrUCtionCodeEmulation)-先知扫描法这个方法是在软件模拟后的一大技术突破。计算机工程人员通过模拟CPU动作并假执行程序来解开变体引擎病毒，来判断是否存在病毒码。

2.6感染实验法所有的病毒都具有感染性，所以利用这一特性，计算机工程师运用感染实验，在运行可疑系统中的程序中观察这些程序的长度，通过和正常的比较，来断定系统是否中毒。

3计算机病毒的防范技术

3.1树立安全防范意识计算机用户应该在思想上重视计算机病毒，充分了解病毒给计算机造成的危害，并认识到中毒后计算机的表现以便及时查杀，在使用计算机时充分了解网络中存在的隐患，为计算机安装杀毒软件并及时升级，定期为计算机杀毒，多了解病毒的动态以便有效的预防。在使用移动存储设备时要先查杀病毒，在打开未知网站或邮件时要慎重，这样才能减少病毒被激活的概率。

3.2建立计算机病毒管理报警中心计算机工程师为计算机服务器上建立“系统管理中心”，不断更新计算机病毒定义码，并相应的更新防毒软件，起到防御病毒的作用。当检测到网络中存在安全隐患时，便会采用邮件的方式提醒计算机使用人员，引起重视，以便采取相应的控制措施，保证网络的安全。

3.3及时修补软件漏洞系统提示存在系统漏洞时要及时修补，一些木马病毒的制造者也通过这个隐蔽的方式来传播病毒，譬如迅雷、酷我、QQ等第三方软件。所以对这些软件要及时更新，漏洞要及时修补，不给病毒可乘之机。

3.4系统、重要文件予以备份计算机在使用前都会被分区，我们在使用计算机时也会将不同的文件存放在不同的区域，大多数情况下系统和文件会分开放置，我们也会为系统和这些重要的文件予以备份，当计算机遭到病毒感染导致系统瘫痪时，可以在短时间内及时恢复。

3.5完善计算机安全防护体系计算机防护体系不仅仅包括杀毒软件、防火墙等产品，而且还应当包含运营商提供的安全保障。尽管现在病毒的更新、变异非常迅速，只要我们提高警惕，发现问题及时处理，就能有效控制病毒的发展和传播，做到防患于未然。

3.6设置用户访问权限要为计算机的系统文件设置访问权限，在安装或使用一些程序时需要得到允许后才能执行，这样在一定程度上减少病毒的激活和传播。

3.7主动修改注册表计算机病毒在攻击系统时，并不是直接攻击，需要相应的触发条件，这样也就为防范病毒提供了另外一种方式，可以通过阻止这些触发条件达到阻止病毒被激活的目的。注册表便是触发条件之一，所以可以通过修改注册表来阻断病毒被激活。计算机病毒的更新速度是随着计算机的发展而发展的，当今状况下，计算机病毒更新速度快、花样繁多，且编程者的技术越来越高，因此我们更应当在思想上提高警惕，做到充分认识病毒，了解病毒，以便在病毒感染时能够及时发现，及时清除。同时，我们也应该提高计算机的防毒措施，采用更好更先进的方法来检测、发现、清理病毒。病毒与反病毒是一个长期而艰巨的过程。只要我们采取主动防御措施，便不会给病毒的传播以可乘之机。

作者：李越单位：山西农业大学信息科学与工程学院

第三篇 1计算机病毒介绍

1.1计算机病毒特性和发展趋势潜伏性：有些计算机病毒潜伏在宿主的计算机中，等到时机成熟的时候，集中爆发和扩散，会对系统造成严重的伤害。一般潜伏时间越长，破坏性就越大。传染性：计算机病毒的最基本特征就是传染性。计算机病毒自我复制后会通过各种渠道在计算机之间传播，如果不加以控制，蔓延速度会越来越快。破坏性：计算机病毒会导致系统资源被占用、计算机处理能力下降；重者导致系统瘫痪、重要的个人数据丢失等。随着网络技术和杀毒能力的提升，计算机病毒也会向传播方式多样化、破坏性增强、隐藏能力提高等方面发展。

1.2计算机病毒的传播模型

1.2.1SIS模型SIS（SusceptibleInfectedSusceptible）模型将网络节点分为易感染状态（S）和已感染状态（I）。一个感染节点治愈后称为易感染节点，而感染了病毒的节点就是感染节点。

1.2.2SIR模型SIR(SusceptibleInfectedRemoved)模型将网络节点分为易感染状态（S）、已感染状态（I）和免疫状态（R）。SIR模型和SIS模型是在生物病毒的基础上建立起来的。当然计算机病毒和生物性病毒还是有很大区别的，此两种模型就没有考虑到外来因素对病毒传播的影响，所以还需要改进。

1.2.3SEIR模型SEIR（SusceptibleExposedInfectedRemoved）模型是在SIR模型的基础上心添加了E状态即潜伏状态，此模型的原理说明病毒对系统的感染是有一定的潜伏期，在合适的时间才会感染宿主。所以感染节点治愈后有两种可能：成为免疫节点或者重新成为易感染节点。

2计算机病毒诊断及防御模型设计计算机病毒诊断技术：

（1）虚拟机技术。虚拟机技术实质上就是虚拟CPU，相当于通用解密器。虚拟CPU有和真的CPU同样的功能：取指、译码、执行，也可以模拟代码在CPU中运行的结果。当病毒侵入虚拟CPU时，病毒的特点（自我复制、传染等）就会被反映出来，虚拟机的作用就是能反映任何的程序动态。但是虚拟机执行程序时速度太慢，所以只能部分执行程序代码，这样可能就会漏掉病毒代码。

（2）启发式代码扫描技术。病毒不会像正常程序一样检查命令行是否有参数项、执行清屏操作后保持屏幕原来的显示内容，病毒的指令通常是直接执行解码指令，进行写操作或者搜索特别路径下的可执行程序的操作指令序列。启发式代码扫描技术就是在具体的反病毒软件中接入病毒特征的经验，就能及时检测出和消除病毒。

3网络病毒的防御模型

3.1已有的网络病毒防御技术如前所述网络病毒防御技术包括：

（1）网络病毒在网络中传播时就对其进行防御；

（2）病毒注入主机之后进行防御。据统计，病毒通过网络传播的概率大约为80%，所以第一种病毒防御措施更有效。网络病毒的实时防御措施主要有误用检测技术和校验和技术。一般的网络病毒防御模型是杀毒软件商收集数据、分析数据和数据；用户客户端接收数据后，杀毒软件对程序进行特征码扫描、流量监控、实时监控、病毒隔离等。但是此模型的缺点是：

（1）经常要更新病毒库数据，占用用户的系统资源；

（2）特征码增长过快；

（3）对未知的病毒没有主动防御。

3.2NVDDM模型根据一般网络病毒防御模型的缺点，提出了NVDDM（NetworkVirusDetectionAndDefenseModel）即网络病毒检测和防御模型。此模型以局域网为平台，把基于主机和基于网络的两类防御方法结合在一起。模型分为三部分：杀毒软件厂商、网络病毒检测和防御模型的服务端即NVDDM-SS（NetworkVirusDetectionAndDefenseModel-ServerSystem）、网络病毒检测和防御客户端即NVDDM-CS(NetworkVirusDetectionAndDefenseModel-ClientSystem)。三者是互相联系的统一的整体。三者作用分别为：杀毒软件厂商：NVDDM服务端和NVDDM客户端，同时收集、分析、整理和数据。NVDDM服务端：负责网络数据安全、监控和数据收集。NVDDM客户端：实时监控和主动防御，并对可疑程序上传数据资料给杀毒软件厂商。NVDDM服务端应用误用检测法对来自网络的数据请求进行检测，如果是病毒就及时查杀；非病毒就及时放行，使申请该数据的主机得到。因为80%的病毒来自网络，所以对来自主机的请求数据，NVDDM服务端会对数据进行检测，NVDDM客户端不对其进行检测，而是监控主机实时状态，通过计算某个程序的权值来达到主动防御的目的。

3.3NVDDM服务端设计

3.3.1网络服务数据收集网络服务数据收集就是给网络服务权值提供源数据，主要从客户和杀毒软件厂商自身测试和研发两种方式获取。网络服务数据处理行为表现为：服务端对网络服务阈值集合和用户所需求的网络数据进行比较，得出相应的处理行为：转发、丢弃和保留。NVDDM服务端的安全数据库包括特征码数据、完整性校验数据和网络服务阈值集合。当NVDDM客户端向NVDDM服务端请求网络服务时，NVDDM服务端就对服务端对网络服务阈值集合和用户所需求的网络数据进行比较，以此来决定相应的处理行为。服务端通过网络服务阈值集合最终能够切断病毒侵入主机的路径，并保护主机所在局域网内的其他用户。

3.3.2服务端审计当然，NVDDM服务端对于用户的保护没有绝对的安全性，也不能排除用户的误操作，所以审计也非常关键。审计就是监控、记录并分析主机和主机在网络中的操作信息，不定期的对数据进行处理和统计，评估主机在网络中的安全性并能够发现威胁实时报警。NVDDM服务端审计模块是基于主机审计和基于网络审计。基于主机的审计有：注册表监控、文件监控、进程监控、移动设别监控和日志管理；基于网络的审计有：数据包监控、IP地址监控和行为监控。这些监控任务的完成需要组合使用SPI技术、hook技术等技术。NVDDM服务端当然首先需要保证自身能抵御病毒攻击，同时对网络数据进行监控并作出实时回应。

3.4NVDDM客户端设计NVDDM客户端和NVDDM服务端两者结合共同防御网络病毒，而NVDDM客户端主要负责网络病毒的主动检测和防御。NVDDM客户端有五个部分组成：管理、策略、监控、分析和处理。NVDDM客户端所要达到的目标是：能够完成常规病毒检测例如特征码检验等。在此基础上，主动防御对象包括文件、进程、注册表、内存和移动设备。并且还能够与NVDDM服务端进行通信，所以系统需要相应的移动通信模块。能够对可疑目标进行处理和审计。网络病毒和普通程序的区别在行为上表现为API函数。NVDDM客户端防御病毒的方法就是给予API函数以权值，通过计算程序的权值，并与预先设置的阈值进行比较，在病毒侵入主机之前进行拦截。

3.4.1NVDDM客户端管理和策略NVDDM客户端管理的对象有策略、人和技术。对策略的管理包括策略的选择、改进和制定。对技术的管理主要有策略所决定。而对人的管理主要是对客户端用户安全知识的讲解、操作行为的规范等。NVDDM客户端策略的选择：

（1）首先选择适合系统的技术，比如SPI技术；

（2）系统所要监控的网络病毒经常用到的函数，例如文件、操作内存的一些函数；

（3）选择函数赋予的权值和阈值；

（4）选定权值和阈值之后，选择对程序的处理方式，这里主要有三种：拦截和禁止、放行、上传可疑程序代码并分析和处理。

（5）最后，对可以程序进行日志记录。

3.4.2NVDDM客户端监控和分析NVDDM客户端需要监控的部分有：文件、内存、进程、注册表和移动设备。文件监控：监控主机对文件的操作，记录重要的删除和修改信息。内存监控：监控内存的分配、释放和内存中的堆栈注入等。进程监控：监控进程和线程的创建和删除，同时监控如远程线程注入等一些异常行为。注册表监控：因为注册表包括了计算机应用程序和计算机系统的全部配置信息，所以对其监控十分必要，主要监控注册表的增加和修改的信息。移动设备监控：自启动病毒感染主机和设备中带病毒的文件释放后感染主机两种。这五部分的监控行为可以组合使用。

4总结

本文主要检测和研究对象为局域网内的网络病毒。在此基础上提出了NVDDM病毒防御模型。指出了网络环境下的计算机病毒防御技术的中心思想是应该主动防御，而不是被动防御。

作者：魏立津左丞严蒙单位：华中科技大学文华学院