淺析計(jì)算機(jī)病毒免殺技術(shù)及應(yīng)對(duì)策略

董耀 陳成學(xué)

摘 要：隨著時(shí)代的進(jìn)步，信息技術(shù)的快速發(fā)展，計(jì)算機(jī)在各行各業(yè)的應(yīng)用范圍逐漸擴(kuò)大。在這樣的背景下，計(jì)算機(jī)安全問(wèn)題已然成為人們關(guān)注的焦點(diǎn)。尤其是近年來(lái)，計(jì)算機(jī)病毒的不斷更新，不僅影響各行各業(yè)的正常運(yùn)營(yíng)，還造成了不同程度的財(cái)產(chǎn)損失。因此，如何有效消除計(jì)算機(jī)病毒，提升計(jì)算機(jī)的安全性已一個(gè)重要的議題。本文就計(jì)算機(jī)病毒原理及免殺技術(shù)進(jìn)行相應(yīng)的研究，并在此基礎(chǔ)上給出具有針對(duì)性的解決措施，進(jìn)一步提升計(jì)算機(jī)的安全水平。

關(guān)鍵詞：計(jì)算機(jī)；病毒免殺；安全策略

一、計(jì)算機(jī)病毒的內(nèi)涵

狹義的計(jì)算機(jī)病毒，主要是指編制者插入的破壞計(jì)算機(jī)功能或數(shù)據(jù)的代碼，而廣義上的計(jì)算機(jī)病毒，包括計(jì)算機(jī)病毒、蠕蟲(chóng)、木馬等計(jì)算機(jī)惡意軟件。反病毒軟件的任務(wù)是實(shí)時(shí)監(jiān)控和掃描磁盤(pán)[1]。部分反病毒軟件通過(guò)在系統(tǒng)添加驅(qū)動(dòng)程序的方式進(jìn)駐系統(tǒng)，并且隨操作系統(tǒng)啟動(dòng)。大部分的殺毒軟件還具有防火墻功能。

二、計(jì)算機(jī)殺毒軟件概述

殺毒軟件也稱(chēng)反病毒軟件，一般包括掃描器、病毒庫(kù)和虛擬機(jī)三個(gè)部分。實(shí)際上，殺毒軟件是一種可以清除計(jì)算機(jī)病毒、木馬等一切已知的、對(duì)計(jì)算機(jī)有危害的程序代碼的程序工具。殺毒軟件通常具有監(jiān)控計(jì)算機(jī)并識(shí)別、掃描、清除病毒的功能，同時(shí)，該軟件還兼具自動(dòng)升級(jí)病毒庫(kù)、主動(dòng)防御病毒入侵等功能，有的殺毒軟件還帶有數(shù)據(jù)恢復(fù)的功能，是當(dāng)前計(jì)算機(jī)防御系統(tǒng)的重要組成部分。目前的很多殺毒軟件已取得了不錯(cuò)的效果，但是還仍然存在著很多有待改進(jìn)的地方。例如，隨著信息技術(shù)的快速發(fā)展，計(jì)算機(jī)殺毒軟件的更新速度相對(duì)于計(jì)算機(jī)病毒的制造速度來(lái)說(shuō)，仍存在一定的滯后性。另外，隨著殺毒軟件的功能增加、程序代碼的更新，在電腦中所占用的內(nèi)存空間也逐步增加，在計(jì)算機(jī)日常使用中，會(huì)在一定程度上降低系統(tǒng)的運(yùn)行速度，導(dǎo)致殺毒軟件的客戶(hù)體驗(yàn)相對(duì)不高，在市場(chǎng)推廣的過(guò)程中受到較多的阻礙。除此之外，就未來(lái)的發(fā)展而言，殺毒軟件應(yīng)深入探究的另一個(gè)領(lǐng)域是智能識(shí)別病毒。因?yàn)殡S著各種病毒的出現(xiàn)，殺毒軟件已標(biāo)記的特征在未來(lái)不一定有效，那么如何更加智能地識(shí)別病毒，如何在它剛出現(xiàn)時(shí)就能識(shí)別甚至破解，是相關(guān)的工作人員需要思考的一個(gè)問(wèn)題。也只有事先預(yù)防和及時(shí)反應(yīng)，智能識(shí)別未知病毒，從而更好發(fā)現(xiàn)未知病毒，才能最終保證殺毒軟件的持久性作用和未來(lái)更加長(zhǎng)遠(yuǎn)的發(fā)展。

三、計(jì)算機(jī)病毒免殺技術(shù)

1.文件免殺技術(shù)

文件免殺技術(shù)，主要是指基于文件特征的病毒掃描及清除技術(shù)，是當(dāng)前使用較早、使用范圍較廣的殺毒技術(shù)之一。具體來(lái)說(shuō)，文件免殺技術(shù)的操作較為簡(jiǎn)單，包括：修改特征碼，改變自己的內(nèi)容。這樣一來(lái)，往往病毒文件就可以躲過(guò)殺毒軟件的掃描。還有其他的一些技術(shù)也比較典型，如應(yīng)用花指令（人為添加在計(jì)算機(jī)病毒文件中修改程序執(zhí)行流程的代碼），從而可以有效地阻礙反編譯，避開(kāi)殺毒軟件查殺；添加免殺殼，軟件加殼一般是對(duì)軟件進(jìn)行加密或壓縮，原軟件經(jīng)過(guò)加殼處理后，就會(huì)成為最終文件里的一段代碼。面對(duì)當(dāng)前計(jì)算機(jī)病毒的變種日益增加的情況，計(jì)算機(jī)文件免殺技術(shù)已難以滿(mǎn)足實(shí)際的殺毒需求。

2.行為免殺技術(shù)

由于計(jì)算機(jī)病毒在運(yùn)行過(guò)程中，總會(huì)表現(xiàn)出與正常程序的不同之處，因此，殺毒軟件可以采取一些措施，從而抵御病毒。某些計(jì)算機(jī)病毒能夠在進(jìn)行殺毒軟件的靜態(tài)特征碼掃描以及內(nèi)存特征碼掃描時(shí)呈現(xiàn)出“無(wú)毒”的狀態(tài)，一旦加載驅(qū)動(dòng)，或者是修改含有此類(lèi)病毒的注冊(cè)表時(shí)，這些病毒就會(huì)做出相應(yīng)的惡意行為。相對(duì)來(lái)說(shuō)，任何一個(gè)程序都不是完美無(wú)缺的，或多或少都存在一定的漏洞，而病毒就是利用這些漏洞達(dá)到預(yù)期的破壞目的。行為免殺技術(shù)則是通過(guò)利用可信進(jìn)程來(lái)突破主動(dòng)防御。由于計(jì)算機(jī)有很多常用功能和非病毒軟件，因此，有很多常用進(jìn)程是被殺毒軟件信任的，而病毒可以讓惡意代碼獲得可信進(jìn)程的執(zhí)行權(quán)限，從而執(zhí)行惡意操作。

3.內(nèi)存免殺技術(shù)

計(jì)算機(jī)病毒的內(nèi)存免殺原理與文件免殺原理相似，多是采用無(wú)關(guān)上下文互換、等值語(yǔ)句替換等技術(shù)達(dá)到病毒免殺的目的。具體來(lái)說(shuō)，在實(shí)際操作的過(guò)程中，內(nèi)存免殺技術(shù)最常用的是空自區(qū)域跳轉(zhuǎn)技術(shù)，使程序中特征碼的偏移量地址發(fā)生變化，從而達(dá)到免殺目的。

4.Rootkit技術(shù)

Rootkit技術(shù)包括內(nèi)核層Rootkit技術(shù)和用戶(hù)層Rootkit技術(shù)。它可以讓病毒在目標(biāo)系統(tǒng)中隱藏自己，并長(zhǎng)期潛伏。這種技術(shù)難度較高，一直以來(lái)也是相關(guān)工作人員關(guān)注的一個(gè)重點(diǎn)。需要人們?cè)谶@方面多加學(xué)習(xí)。同時(shí)，Rootkit技術(shù)也能夠在殺毒、保護(hù)隱私等方面發(fā)揮重大作用。

四、計(jì)算機(jī)病毒的應(yīng)對(duì)策略

一直以來(lái)，病毒因?yàn)槠洳粩嘧兓拇a和技術(shù)，對(duì)殺毒造成了很大的阻礙。因此，為了實(shí)現(xiàn)殺毒的目的，人們應(yīng)將目光放在病毒在安裝運(yùn)行后出現(xiàn)的一些異常痕跡上。原因在于，無(wú)論是哪種免殺技術(shù)在尋找病毒的過(guò)程中，難度都相對(duì)較大，而轉(zhuǎn)為尋找修改的痕跡卻能夠敏銳識(shí)別，因而能有效地實(shí)現(xiàn)病毒查殺的目的。啟發(fā)式掃描技術(shù)、主動(dòng)防御技術(shù)以及云殺毒技術(shù)都是基于行為的殺毒技術(shù)，在實(shí)際使用的過(guò)程中，需要計(jì)算機(jī)用戶(hù)多加注意和配合。在啟動(dòng)主動(dòng)防御之后，殺毒軟件會(huì)給出很多相關(guān)的提示，這時(shí)就需要用戶(hù)注意這些提示信息并及時(shí)查殺，否則，就會(huì)讓病毒進(jìn)入系統(tǒng)破壞數(shù)據(jù)。其實(shí)在實(shí)際情況中，許多病毒的入侵都是因?yàn)橛脩?hù)監(jiān)控不當(dāng)，使得U盤(pán)或者軟件攜帶的病毒等進(jìn)入計(jì)算機(jī)，從而導(dǎo)致病毒入侵。因此，就這方面，必要要加以小心。對(duì)外來(lái)的可能攜帶病毒的設(shè)備必須要嚴(yán)加監(jiān)控，才能從根源上阻止病毒入侵。

參考文獻(xiàn)：

[1]納穎，肖鹍.對(duì)計(jì)算機(jī)病毒及防范措施研究[J].科技信息，2012（3）：129，170.

[2]馬宗亞，張會(huì)彥，安二紅.計(jì)算機(jī)安全與計(jì)算機(jī)病毒的預(yù)防分析研究[J].煤炭技術(shù)，2013，32（5）：176-178.

作者簡(jiǎn)介：

第一作者：董耀，男，遼寧省撫順市新賓滿(mǎn)族自治縣，本科，就讀于遼東學(xué)院信息工程學(xué)院B1506計(jì)算機(jī)科學(xué)與計(jì)算專(zhuān)業(yè)，學(xué)號(hào)：0917150616，研究方向：計(jì)算機(jī)科學(xué)與技術(shù)。

第二作者：陳成學(xué)，男，遼寧省大連市，本科，就讀于遼東學(xué)院信息工程學(xué)院B1506計(jì)算機(jī)科學(xué)與計(jì)算專(zhuān)業(yè)，學(xué)號(hào)：0917150609，研究方向：計(jì)算機(jī)科學(xué)與技術(shù)。