探讨网络病毒与反病毒技术
摘 要:当今社会,计算机发展迅速,网络病毒的发展也随之大大兴起,电暖一旦遭受到网络病毒的干扰,采用关机、杀毒的方式都无济于事,它可以在很短时间内扩散到所在的网络,一台一台机器进行杀毒的方法已经不再适用,要想防止网络病毒对电脑的侵害,需要先对病毒的传播原理有个大体的了解。通过了解病毒,再采取一系列的反病毒方法。本文先是分析了网络病毒的传播原理,然后介绍了一些反病毒的方法技术。
关键词:网络病毒 ;反病毒 ;技术
1.网络病毒传播原理
1.1网络病毒类型
现在网络病毒从类型上来分,主要分为两种,一是木马病毒,一是蠕虫病毒。木马病毒采用的是后门启动程序,它往往会隐藏在计算机的操作系统中,对用户资料进行窃取、比如对QQ密码、网络邮箱密码、网上银行账户密码、游戏账户密码等进行窃取。而蠕虫病毒比木马病毒更高级一些,它的传播可以通过操作系统以及软件程序的漏洞进行主动攻击,传播途径非常广泛,每一个蠕虫病毒都带有检查计算机电脑是否有系统及软件漏洞的模块,如果发现电脑含有漏洞,立刻启动传播程序传播出去,它的这一特点,使危害性比木马病毒大的多,在一台电脑感染了蠕虫病毒后,通过这个电脑迅速的传播到、该电脑所在网络的其他电脑中,电脑被感染蠕虫病毒后,会接受蠕虫病毒发送的数据包,被感染的电脑由于过多的无关数据降低了自己的运行速度,或者造成CPU内存占用率过高而卡住死机的状态中。
1.2病毒传播途径
现在主流的病毒按照传播途径可以分为有漏洞型病毒、邮件型病毒两大类。传播途径也相应分为漏洞传播和邮件传播。邮件类病毒比漏洞型病毒更容易传播,它是通过网络电子邮件进行传播的,该类病毒会先隐藏于附件里,伪装成用户容易点击的虚假信息,当用户点击打开含有病毒的附件时进行病毒扩散传播。有的邮件病毒借助用户浏览器的软件漏洞进行传播,当用户查看自己的邮件时,由于浏览器漏洞也造成了邮件病毒的传播。漏洞型病毒传播方法主要通过微软windows操作系统。由于windows操作系统漏洞很多或者用户没有及时的进行windows系统的自身更新,造成了漏洞型病毒趁虚而入,攻占你的计算机电脑。2004年爆发的大名鼎鼎的冲击波和震荡波病毒就是属于漏洞型病毒,当时他们是全世界范围内的网络计算机瘫痪,引起了巨大的经济损失。计算机技术在更新换代,病毒技术也在发展变化,现在的网络病毒不像以前的计算机病毒,现在的病毒有的可以通过多种途径共同传播,比如集木马型病毒、漏洞型病毒和邮件型病毒于一体的新病毒混合体。该病毒对网络的危害性更大,处理查杀起来也比较困难。比如当前某个电影以很好的票房成绩进行热播的时候,网络上打着免费观看该电影的旗号挂载一系列病毒,当用户点击想观看时,病毒借此进行广泛传播。
2.可采用的反病毒技术
2.1建立防火墙防御技术
一个完整的防火墙保护体系可以很好的阻止威胁计算机的用户及其数据,阻止黑客通过病毒程序访问自己的电脑网络,防止不安全因素扩散到电脑所在的局域网络。通过将用户电脑的使用账户密码设置的高级些,,禁用或者删除无用的账号,不定期进行账号密码的修改都可以很好的防止病毒侵入。
2.2特征码技术
特征码技术用于对已知病毒的分析查杀,目前的查杀病毒采用方法主流是通过结合特征码查毒和人工解毒。当搜查病毒时采用特征码技术查毒,在杀除清理的时候采用人工编制解毒技术。特征码查毒技术体现了人工识别病毒的基本方法,它是人工查毒的简单描述,按照“病毒中某一类代码相同”的原则进行查杀病毒。当病毒的种类和变形病毒有相关同一性时,可以使用这种特性进行程序代码比较,然后查找出病毒。但是描述特征码不能用于所有的病毒,许多的病毒很难被特征码进行描述或者根本描述不出来。在使用特征码技术时,一些补充功能需要一同使用,比如压缩包和压缩可执行性文件的自动查杀技术。特征码查杀病毒的不足之处在于它的描述受人们主观因素的影响,在几千字节的病毒程序中摘取十几个字节的特征码,就需要不断跟踪、分析病毒特征码。加上有的病毒带有自身反跟踪诊断技术和解码变形技术,使跟踪获取病毒特征码变的特别复杂,特别难处理。在截取一个病毒的特征码时必须获取病毒的相关样本,描述的特征码不同,国际上也没有规范统一的相关标准,得不到相应的支持。在技术上的不足出现在误差和误报情况上,病毒查出技术又导致了发病毒技术的迟缓。
2.3虚拟机技术
对于已经出现过的病毒我们可以采用特征码技术,对于没有出现过的,未知的病毒我们需要采用新的反病毒技术,即虚拟机技术。虚拟机技术的使用首先要有一个虚拟计算机系统的建立,在虚拟的计算机系统里,把程序文件执行完,通过建立的虚拟系统环境监测程序文件是否带有复制性和传播性等病毒特征,如果程序文件真的含有病毒,我们可以采用还原虚拟计算机的环境来阻断病毒运行,计算机的系统也不会受到影响,虚拟机技术存在的不足是会过多的占用系统的使用资源,可能会出现系统的死机现象。
2.4沙盘虚拟技术
沙盘虚拟技术建立在虚拟机技术的基础上,是虚拟技术的延伸,它的技术原理不同于虚拟技术在于它并不是虚拟一个完全的计算机系统,而是虚拟部分计算机系统,在这个特别的虚拟环境中来执行程序文件,根据执行文件对虚拟计算机系统产生的影响判断执行文件是否带有病毒程序,在计算机再次启动后,原先虚拟环境中的数据会被全部清理干净,处于待命状态。沙盘技术没有像虚拟机技术一样,它只占用了计算机系统的一部分资源相比之下更利于计算机的操作运行,所以被广泛的采用。
2.5主动防御技术
如果杀毒软件的特征码数据没有及时进行更新或不能识别病毒的新品种,可以采用新的反病毒技术,即主动防御技术。主动防御技术主要针对于不能诊断的病毒查杀。虽然没有获得病毒的样本,但主动防御技术依然会阻止病毒的运行传播,对计算机起到防御的作用。主动防御技术根据病毒的基本特性,去辨别一个程序文件是否含有病毒程序,病毒特点有自我建立进程、修改注册表进程、自我建立启动项进程、自我进行复制进程和不断连接网络进程。主动防御技术的缺点是需要有程序文件的执行,如果程序文件没有运行,那么就不能进行病毒防御,不能做到静态的检测病毒。
2.6启发式反病毒技术
启发式技术不同于传统的反病毒
技术,它可以做到防御未知病毒,做到区分正常程序和不正常程序。当含有病毒的程序文件运行时,指令的执行行为和顺序都会和平常不一样,启发式技术通过对比一个运行程序文件的指令执行顺序和正常的程序文件运行指令执行顺序,做出那些是正常程序,哪些是不正常程序的判断,当检测到指令中还要可疑的指令动作时,做出病毒程序判断并对其进行拦截处理。反病毒发展方向是启发式技术和主动防御技术,它们都具有一些人工智能的概念,在以后层出不穷的新病毒环境中,它们的大力应用会具有更大的意义。
2.7实时监控技术
由于病毒传播的实时性、动态性,所以在计算机网络中反病毒软件要做到实时监控的要求。病毒的实时监控技术通过过滤在调用前的所以程序,发现含有病毒的程序文件,并发出警报,对病毒进行查杀,将病毒阻拦,使计算机免受其害。
总结:
计算机技术发展迅速,网络病毒也变得越来越智能化,以后计算机网络病毒发展趋势就是复杂化、智能化。面对这种严峻的形势,我们在反病毒方面不能只采用单一的防范技术,只有采用多种反病毒技术,相互协调,发挥优势,扬长避短,才能在网络反病毒方面取得较好的效果。
参考文献:
[1]张任斌.计算机病毒与反病毒技术[M].清华大学出版社,2008
[2]王鑫.网络环境下计算机病毒的防范技术[J].计算机与数字工程,2009
[3]张凡.计算机病毒揭秘[J].计算机专刊,2010