浅析计算机病毒与反病毒技术

摘要：文章首先对计算机病毒作了整体概述，着重写了病毒的危害，在反病毒技术方面，介绍了反病毒技术和工具，并针对国内外反病毒技术现状和网络病毒发展的新趋势，提出了进一步应对措施安装防火墙来保护自己的计算机信息不受外来侵袭。

关键词：计算机病毒；反病毒技术；防火墙

中图法分类号：TP3-O 文献标识码：A 文章编号：1009-3044(2007)17-31241-02

Analysis of Computer Viruses and Anti-virus Technology

ZHOU Xiao-hong

(Registry, Yiyang RTVUs,Yiyang 413000,China)

Abstract:The article on computer viruses were first outlined overall, the focus was made against viruses, anti-virus technology, introduced anti-virus technology and tools, and anti-virus technology and outside of the virus and the development of new trends, the further measures should install a firewall to protect its own terms Operators of information from foreign invasion.

Key words:computer virus;counter-virus technology;firewall

随着计算机网络的不断发展，全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使计算机网络易受病毒的攻击。

1 计算机病毒概述

1.1 病毒由来

计算机病毒从1983年被美国计算机专家伦艾德勒曼（Len Adleman）首次命名至今，新的病毒种类不断出现，并随着网络的发展而不断蔓延。所有病毒都是掌握计算机程序设计技巧的人制造的，根据对现有己了解的毒源分析，计算机病毒可能的来源有：

（1）来源于计算机专业人员或业余爱好者的恶作剧而制造出的病毒。

（2）公司或用户为保护自己的软件不被复制而采取的不正当的惩罚措施。

（3）恶意攻击或有意摧毁计算机系统而制造的病毒。

（4）在研究或开发设计某些程序时，由于未估计到的原因而对它失去了控制所产生的破坏性程序。

1.2 病毒的定义及特征

计算机病毒就是能够通过某种途径潜伏在计算机存储介质（或程序）里，当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。在这里我们可以清楚地看到计算机病毒的几个基本特征：

（1）计算机病毒潜伏在计算机存储介质或者程序中传播；

（2）计算机资源具有破坏作用的程序或者指令集合；

（3）达到一定条件时被激活；

1.3 病毒的分类及危害

恶性程序码的类别中，电脑病毒和蠕虫是较具破坏力，因为它们有复制的能力，从而能够感染远方的系统。电脑病毒一般可以分成下列各类：

（1）引导区电脑病毒

引导区电脑病毒是如此传播：隐藏在磁盘内，在系统文件启动以前电脑病毒已驻留在内存内。这样一来，电脑病毒就可完全控制DOS中断功能，以便进行病毒传播和破坏活动。那些设计在DOS或Windows3.1上执行的引导区病毒是不能够在新的电脑操作系统上传播，所以这类的电脑病毒已经比较罕见了。

（2）文件型电脑病毒

文件型电脑病毒，又称寄生病毒，通常感染执行文件(.EXE)，但是也有些会感染其它可执行文件，如DLL,SCR等等...每次执行受感染的文件时，电脑病毒便会发作：电脑病毒会将自己复制到其他可执行文件，并且继续执行原有的程序，以免被用户所察觉。

（3）复合型电脑病毒

复合型电脑病毒具有引导区病毒和文件型病毒的双重特点。

（4）宏病毒

宏病毒专门针对特定的应用软件，可感染依附于某些应用软件内的宏指令，它可以很容易透过电子邮件附件、软盘、文件下载和群组软件等多种方式进行传播如MicrosoftWord和Excel。

（5）特洛伊/特洛伊木马

特洛伊或特洛伊木马是一个看似正当的程序，但事实上当执行时会进行一些恶性及不正当的活动。特洛伊可用作黑客工具去窃取用户的密码资料或破坏硬盘内的程序或数据。与电脑病毒的分别是特洛伊不会复制自己。它的传播技俩通常是诱骗电脑用户把特洛伊木马植入电脑内，例如通过电子邮件上的游戏附件等。

（6）蠕虫

蠕虫是另一种能自行复制和经由网络扩散的程序。它跟电脑病毒有些不同，电脑病毒通常会专注感染其它程序，但蠕虫是专注于利用网络去扩散。从定义上，电脑病毒和蠕虫是非不可并存的。随着互联网的普及，蠕虫利用电子邮件系统去复制，例如把自己隐藏于附件并于短时间内电子邮件予多个用户。有些蠕虫(如CodeRed)，更会利用软件上的漏洞去扩散和进行破坏。

1.4 病毒的发展趋势

随着因特网的普及和广泛应用，计算机病毒的传播形式有了根本的改变，用户感染计算机病毒的几率大大增加。今年以来至今，计算机病毒对国内计算机用户造成危害最严重的计算机病毒依次为：Klez（求职信）、Aliz、Badtrans.b，它们均为恶性网络蠕虫病毒。由此病毒发展趋势为如下几点：

（1）病毒传播方式不再以存储介质为主要的传播载体，网络成为计算机病毒传播的主要载体。

到现在，我们在生活和工作中，已经很少使用软盘，网络成为我们传播文件的主要方式，因此，计算机病毒也就不在依靠传统的传播方式，网络成为计算机病毒传播的最主要载体。

（2）传统病毒日益减少，网络蠕虫成为最主要和破坏力最大的病毒类型。

当网络应用日益广泛以后，计算机病毒不会最关注传统的传播介质，因此，网络蠕虫成为病毒设计者的首选（也有人认为蠕虫并不是病毒，蠕虫和病毒是有分别的）。除了网络具有传播广、速度快的优点以外，蠕虫的一些特征也促使病毒制造者特别中意这种病毒类型。

（3）技术的遗传与结合

病毒技术的发展，也就是计算机最新技术的发展。当一种最新的技术或者计算机系统出现的时候，病毒总会找到这些技术的薄弱点进行利用。同时，病毒制造者们还不断吸取已经发现的病毒技术，试图将这些技术融合在一起，制造更加具有破坏力的新病毒。

（4）传播方式多样化

这里的传播方式不是指网络等介质的传播，而是指吸引用户“上当”的方式。可能用户对病毒自投罗网是从AnnaKourikova.jpg.vbs开始的，美丽女球星的照片吸引了很多用户将病毒激活；从这以后，又出现了类似的妻子。这些病毒网络利用了人们好奇的心里，引诱用户打开邮件感染病毒。现在出现的投票病毒和求职信病毒也是这一类，但是，投票病毒利用的是人们对政治时间的兴趣，求职信变本加厉，随机从几个语句中选择来引诱用户打开邮件。

2 反病毒技术

2.1 反病毒的斗争

人们与计算机病毒斗争的方式是多种多样的，其基本目标是防止或减少病毒的危害，主要包括：阻断病毒的传播渠道，阻止病毒的感染，剿灭被感染的计算机内部已经存在的病毒，修复被感染的程序或其他文件，恢复被破坏或删除的文件等。

目前国际和国内都已经形成了一支专门的防病毒研究与开发队伍，形成了一些以防病毒软件（或者硬件）开发和销售为业的专业公司（或公司中的专门分支机构），各国的信息安全部门也把病毒监测作为一项重要工作，防病毒和消灭病毒已经成为一项特殊的事业。专业人员研究病毒的通行结构，它们的传播方式，感染危害计算机信息系统的方式等。他们开发出专门的软件提供给计算机的用户，供他们检查计算机是否已经被病毒感染；在发现病毒感染时，还可以命令这种软件清除计算机里的病毒，完成各种修复工作等。

2.2 反病毒技术

从杀毒技术上来讲，当前，最流行的杀毒软件都是一个扫描器，扫描的算法有多种，通常为了使杀毒软件功能更强大，会结合使用好几种扫描方法。如：病毒扫描、启发式扫描、CRC扫描。各种扫描都有自己的优缺点，拥有一个病毒库是他们的基本特征，但是如果病毒库过大的话，查毒速度会变得很慢。除了以上的杀毒方法外，还有一些常用技术。

（1）行为判断

行为判断就是通过驻留的杀毒软件截获那些对用户有病毒危险的行为，这些病毒可能会在修改可执行文件、引导扇区或MBR时被发现，这种方法的优点在于可以在病毒感染的早期发现并阻止，但有的病毒可以越过这种保护，使得杀毒软件完全失效。

（2）病毒免疫

免疫有两种：一种是感染警告，另一种是阻止病毒感染。第一种免疫方式主要是预防那些把自己添加到文件末尾的病毒（通常是文件型病毒），每个文件都会检查。但有一个致命的弱点：无法检测到诡密病毒，所以实际上很少用这种免疫方式。

第二种免疫方式主要是预防系统被某种特定病毒感染，如果文件被病毒修改就可以检测到（例如文件中存在字符串“MsDos”，说明文件可能被“Jerusalem”病毒感染），如果病毒把一个小的TSR程序拷贝到计算机内存中，系统肯定被感染。

由于不可能对所有的病毒采用免疫，所以这种病毒免疫方式并不通用。

2.3 国内外反病毒技术现状

从信息安全管理和法制的角度来看，目前的国家信息安全管理和法制是多年以前的。随着我国信息化建设的不断推进和技术的发展，不少方面已不足以应付安全管理的需要，还有一些也已不适应科学技术的飞速发展。

从防范意识而言，国内防治计算机病毒安全的意识也亟需增强。目前仍然有人认为我国信息化程度不高，重要部门还没有广泛联网，病毒事件在我国不可能发生，发生了损失也不大，不必大惊小怪，其实这种看法有失偏颇。另外，反病毒领域在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不相称。

2.4 计算机反病毒技术的发展趋势

今天的计算机病毒已经有别于传统的计算机病毒,其传染方式和传统的计算机病毒相比已经有了较大的变化，这种变化直接影响到了计算机反病毒技术的发展。传统的计算机病毒由于其传染方式比较单一，传统的计算机反病毒技术也就比较单一，但随着计算机病毒向复杂化和多变化方向发展，计算机反病毒技术也向着综合的技术方向发展。总体而言，计算机反病毒技术将向如下方向发展：

（1）反病毒技术走向开放式

由于紧跟计算机病毒发展的计算机反病毒产品的升级成了一个重要的问题，因此，计算机反病毒技术将重点突破自身的升级的问题。其中包括：计算机病毒预防技术中的计算机病毒行为规则的完善与升级；计算机病毒检测技术中计算机病毒特征库的维护和升级；计算机病毒消除技术中计算机病毒还原算法的升级。长期以来，计算机反病毒技术没有为用户真正提供用户参与的反病毒升级方法，从而在一定程度上使得反病毒技术针对特定的区域或特定的用户落后于计算机病毒很长时间。鉴于这种情况，开放式计算机反病毒技术将成为计算机反病毒技术发展的主流。

（2）向综合技术化方向发展

这种趋势包括：传统的计算机病毒预防的动态行为规则技术将结合计算机仿真技术；传统的计算机病毒的检测技术和计算机病毒的消除技术将从单纯的静态技术向着静态和动态结合的方向发展。

（3）自身完整性检查

随着计算机病毒的发展，计算机反病毒产品在一定的程度上也会受到计算机病毒的传染和破坏，尤其是计算机反病毒软件产品，甚至计算机病毒的预防卡也会受到计算机病毒的攻击。因此，计算机反病毒技术的自身完整性检查，将成为计算机反病毒技术有持发展的重要特性之一。

（4）技术向集成化方向发展

随着计算机反病毒技术的发展，计算机反病毒技术逐渐走向集成化，从而形成了集成计算机病毒预防技术、计算机病毒检测技术和计算机病毒消除技术的集成化反病毒技术。

（5）和应用系统及操作系统的集成化

随着计算机反病毒技术的发展，计算机反病毒技术将逐渐走入计算机操作系统或计算机应用系统之中，成为计算机应用系统或计算机操作系统功能的一部分。总之，计算机反病毒技术是计算机应用领域中一个长期的技术问题，并且随着计算机应用技术的不断发展，计算机反病毒技术在计算机应用领域中的作用会越来越重要。同时，随着技术的发展和计算机用户对于计算机病毒认识的提高，反病毒工作也会越来越完善，进而成为技术和管理相结合的综合反病毒体制。

2.5 防火墙

防火墙是一个位于内部网络与Internet之间的计算机或网络设备中的一个功能模块，是按照一定的安全策略建立起来的硬件和软件的有机组成体，其目的是为内部网络或主机提供安全保护，控制谁可以从外部访问内部受保护的对象，谁可以从内部网络访问Internet，以及相互之间以哪种方式进行访问。所以为了保护自己的计算机系统信息，不受外来信息的破坏和威胁，我们可以在自己的计算机系统中安装防火墙软件。

3 结束语

随着计算机病毒的发展，计算机病毒给人类造成的灾难，现在基本上每天都要出现几十种病毒。面对如此严峻的形势，计算机病毒的防治问题成为关键，必须给予充分的重视并设法解决。只有对病毒进行透彻的了解，才能有效的控制病毒的发展。

参考文献:

[1]新型病毒与新的反病毒策略[A].阡陌电脑医院，2004.

[2]喻凯.病毒发展趋势及对策[A].天极e企业，2003.

[3]浅谈反病毒技术的前世今生[A].中国计算机安全，2004.

[4]赵一鸣，朱海林，孟魁.计算机安全[M].电子工业出版社，2003.

[5]程胜利，谈冉，熊文龙.计算机病毒及其防治技术[M].清华大学出版社，2004.