关于计算机病毒多种检测方法的探讨
2017-12-25孙德红
◆孙德红
(闽南理工学院 福建 362700)
关于计算机病毒多种检测方法的探讨
◆孙德红
(闽南理工学院 福建 362700)
随着计算机技术的发展,计算机病毒技术与防治病毒技术的矛盾越来越明显。计算机病毒给我们的计算机系统资源带来极大危害,尤其是有些病毒借助网络爆发流行,可迅速让整个网络陷入崩溃,给用户带来巨大损失,要提高计算机的安全性,必须采取积极、有效的防范措施,其中,计算机病毒检测技术起着至关重要的作用,本文重点研究检测计算机病毒的方法,并指出更新检测技术的必要性。
计算机;病毒;检测技术
0 引言
通常把利用一定的手段判定出计算机病毒的技术称为计算机病毒检测技术,通过相关技术尽早发现病毒可让用户在和计算机病毒的斗争中处于主动地位,能够减少甚至避免用户的损失。病毒在感染程序后,会引起各种变化,不同病毒引起的变化都有自身的特点。计算机病毒检测原理就是根据这些变化,来判断病毒种类,进一步确定处理方法。也就是说,要清除病毒,首先应确定其类型、特征和症状,即进行病毒检测。
1 计算机病毒检测方法
要知道计算机系统有没有感染病毒,第一步是进行检测,接下来才是防治。下面介绍病毒的检测方法。
(1)外观检测法
计算机感染病毒后,通常出现不正常现象,如屏幕显示奇怪信息、程序自动打开、文件和目录丢失、系统频繁死机、程序变慢等。这些异常极可能是病毒所致。用户可由此来判断计算机是否被病毒入侵,以便尽早地发现并及时有效地处理。通过外观检测可初步判断计算机有没有被病毒入侵。
(2)系统数据对比法
很多病毒以修改系统数据、破坏系统为目的。通过检查系统数据区域,与事先备份的正常数据比较,若发现异常,则说明计算机可能被病毒感染。
系统数据对比法容易操作,缺陷是仅通过对比很难知道病毒名称,系统数据异常的原因要继续使用其他方法查找,以确认感染了哪种病毒。
(3)病毒签名检测法
病毒签名是宿主程序被入侵的标记。不同病毒入侵宿主程序时,在宿主程序的不同位置放入特别的标记。这些标记是一些数字串或字符串,如1234,1357,FLU等。不同病毒的签名内容不同,放置签名的位置也不同。经剖析样本,掌握病毒签名内容及位置,然后在该程序的特定位置查询病毒签名。如果找到就可以断定程序是被何种病毒感染。
(4)特征代码法
病毒签名是特殊的识别标记,然而有些病毒不含签名,而是包含一些特别代码。于是人们采用类似于病毒签名检测法的方法检测。即在可疑程序中搜索某些具有特殊性质的代码,称为特征代码段检测法。
如果在检测文件中发现含有病毒数据库中的病毒特征码,则可断定被查文件感染了哪种病毒。特征代码法是检测计算机病毒较可靠的方法,实现简单。
特征代码法具有检测准确、误报警率低等优点,且可识别出病毒名称,依据检测结果可做针对性的杀毒处理。其最大缺陷就是依赖已有的病毒特征码,使其只能检测已有病毒,而对于新出现的病毒将不能检测出。而且,病毒特征代码选取不当会造成误报,使检测工具将正常程序或文件当成病毒处理。
(5)检查常规内存数
为防止系统将其内存空间覆盖或收回,常驻内存病毒一般会修改系统数据区中记录的系统内存数或内存控制块中的数据,所以检查内存大小和使用情况可判断系统是否感染病毒。通常可采用一些简单的工具软件,如Pctools,Debug等。
有的软件可报告包括扩展内存和基本内存在内的详细情况,包括各个驻留内存程序在内存中的物理地址、占用内存空间大小、使用的中断向量以及驻留文件的名称等。利用这些软件,首先,查阅有无可疑驻留文件,如果有则可能是文件型病毒已进入系统,通过内存信息可确定哪个文件被感染;其次,查看驻留文件有无可疑的中断向量值,重点是病毒经常调用的中断向量;最后,通过内存信息查看驻留文件的大小是否合适。当内存中的设备驱动程序运行存在问题,通过检查驱动程序分配情况,以合理的中断向量占有为依据,适当排查非法设备驱动程序。
(6)校验和法
病毒入侵程序时,会使原先程序大小增加或日期发生变化,校验和法就是根据这种特点来进行判断的。首先把硬盘中的某些文件进行汇总并记录下来,在以后检测过程中重复此项动作,并与前次记录对比,进而判断这些文件是否被入侵。
对一些未知病毒在电脑中可通过特殊方法查得,甚至可对一些程序进行细致的对比排查,从而判断其中的细微变化,校验和法就是其中一种方法,虽然此种方法可以实现排查病毒与异常,但容易混淆异常种类,甚至对一些隐蔽性较强的病毒无法排查,此种弊端会导致错误判断,对于排查环境也要求苛刻。
校验和是对程序文件实施特定运算的结果,简单的校验和易被伪造。许多随机检查方式的公开算法,可获得目标程序或命令文件的逐位,达到完全紊乱的校验和。检验和方法开销较大。
(7)行为监测法
病毒入侵文件时,往往有一些不正常的表现。利用病毒的“特别行为”检测的方法称为行为检测法,也叫实时监控法。该方法引入人工智能技术,分析检查对象的逻辑结构,将其分为若干个模块,再引入虚拟机执行并且检测出病毒。
行为监测法的优点是不仅能发现已知病毒,还可以发现未知的病毒。缺点是有可能发生误报,无法识别病毒名称,且实现相对来说不容易。
(8)软件模拟法
有一种名为变形病毒的计算机病毒,可在一至四维的四种状态进行空间与结构上的变化,一旦在计算机内传染开,由于自身的变化性,特征代码法对此类病毒束手无策,软件模拟法就可很好的替代特征代码法来检测此类病毒。针对变形病毒所做出的代码更换与代码加密行为,软件模拟法可以针对性的虚拟一个环境进行解码,再运用特征代码法识别病毒的种类,清除病毒,从而实现对各类多态病毒的查杀。
现今针对变形病毒都是通过启动软件模拟模块,监视病毒运行,待病毒自身的密码译码以后,再用特征代码法来识别其种类。
(9)启发式代码扫描技术
启发式代码扫描技术的原理是通过对各类程序进行识别分类,并判断各类程序的动机对各类病毒进行重点监控,此类技术以人工智能为蓝版实现对病毒的智能识别,可以很好的对传统查毒方法进行补充,通过智能识别病毒的动机,对各类新病毒进行识别与界定,查出传统查毒方法漏掉的新型病毒。
这两种检测方法的结合能扫描出大部分的病毒,当出现判定不一致的时候通过另外的办法来对这种样本做出结论。
如TbScan 6.02测试,表1是使用两种技术以及将两种技术结合应用的结果。
表1传统式与启发式技术检测病毒测试对比
显然,传统式与启发式技术相结合,大大提高了病毒的检出率。
随着病毒检测技术要求的提高,智能检测显得尤为重要,通过智能检测与传统检测的结合可更好地检测出病毒并出现更低的误报率,因此智能启发式检测方法的应用对于今后病毒检测技术的发展起着非凡的意义。
(10)算法扫描法
算法扫描是指为扫描特定病毒而进行针对性的编写代码后的扫描,是现代防毒体系的一个重要组成部分。有些扫描器,如KAV,将目标代码(Object Code)存储在其嵌入式的病毒数据库中。具体病毒的检测例程C代码是可移植的,编译后得到的目标代码存储在数据库中。扫描器运行时连接所有用于特定病毒检测的目标代码。这些代码按照预定义的顺序被依次调用和执行。其优点是性能更好,缺点是代码在系统中实际运行时可能不稳定。因为这些代码通常是在应急响应时匆忙发布的,因而复杂的检测代码中可能会有些小错误。
为消除该问题,现代算法扫描的实现使用虚拟机,采用类似于Java中的p-code。Norton Antivirus采用了该枝术。只要把扫描器代码和算法扫描引擎的虚拟机代码移植到新平台,则各种特定病毒的检测例程就可在新平台上运行,缺点是与真正的运行时代码相比,P-code执行速度较慢。检测例程可用一种类似于带高级宏指令的汇编语言编写。这些例程提供了通过单次检索搜索一组字符串或是进行可执行文件虚拟地址和物理地址转换的功能。更重要的是,这种扫描器必须使用过滤技术进行优化。此外,检测例程还可在一个可扩展的扫描引擎中用本地代码实现。
2 结语
除以上检测方法外还有感染实验法、病毒分析法、病毒分析法、主动内核技术等,为能更好的保护好我们的电脑不受病毒入侵,计算机病毒扫描技术的发展势在必行,在一台计算机内,选择正确的合理的病毒扫描,对个人的信息安全起到极其重要的租用。也就是说,互联网+时代,我们必须更加积极探索计算机病毒检测的新技术以更好的保护计算机安全。
[1](美)斯泽.计算机病毒防范艺术[M].北京:机械工业出版社,2007.
[2]秦志光.计算机病毒原理与防范[M].北京:人民邮电出版社,2007.
[3]沈继涛.计算机病毒检测技术的现状与发展[J].电子技术与软件工程,2017.
[4]于象宏.计算机病毒检测技术应用及发展研究[J].现代教育技术,2017.
[5]沈继涛.计算机病毒检测技术的现状与发展[J].信息安全,2017.
2016年福建省中青年教师教育科研资助项目(项目编号:JAT160598)。
