何敏

摘要：隨著新科技的逐漸發(fā)展，互聯(lián)網(wǎng)技術(shù)在當今社會所占據(jù)的地位越來越重要。但是正如任何事物都有其兩面性，互聯(lián)網(wǎng)技術(shù)的發(fā)展也有其缺點和短板。其中，計算機病毒就是一種困擾著互聯(lián)網(wǎng)技術(shù)發(fā)展的一大問題。何謂計算機病毒，簡單來說就是一類人為制造的專門用以攻擊和破壞計算機系統(tǒng)的軟件，并且具有很強自我復(fù)制的能力，可以在傳染之后迅速散播，從而給互聯(lián)網(wǎng)技術(shù)的發(fā)展帶來障礙。本文主要分析幾點常用計算機病毒檢測技術(shù)，希望可以降低計算機病毒率的上升。

關(guān)鍵詞：病毒；代碼；掃描；加密

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2016）08-0039-02

1計算機病毒的檢測技術(shù)

1.1特征代碼掃描法

現(xiàn)今經(jīng)常使用的計算機病毒掃描軟件通常有兩部分組成，一部分是掃描程序，掃描程序是通過計算機病毒代碼庫進行掃描，而另一各部分就是病毒的代碼庫，特別選擇的是一些常見以及危害性大的計算機病毒的代碼。對于計算機病毒掃描程序的工作方式就是計算機中的病毒，而識別所要依據(jù)的標準就是病毒代碼庫中的病毒種類數(shù)量。因而從這個層面來說，計算機病毒代碼庫中代碼種類越多，數(shù)量越龐大，掃描程序可以識別的病毒種類也越多，可以為計算機排除的安全隱患也越多。所以，計算機病毒掃描程序的關(guān)鍵就是選擇合適的病毒代碼串。對于選擇合適的計算機病毒代碼串的原則有五項可供參考：1）首先代碼串一般不包括數(shù)據(jù)區(qū)域，這是因為病毒數(shù)據(jù)區(qū)的多變和不易琢磨造成的。2）針對不同的病毒代碼，長度差別較大。短的可能只有百來字節(jié)，而長度長的可能達到10K字節(jié)。可是，如果任意選擇病毒本身的其中一段作為病毒特征代碼串，這樣這種不具備任何特征性質(zhì)的代碼串就不會具有特定的性質(zhì)，因而在不同的環(huán)境中會產(chǎn)生不同的反應(yīng)，結(jié)果導致不能成功勝任檢測相應(yīng)病毒的工作。這樣看來，病毒庫的特征代碼串準確選擇對于檢驗相應(yīng)病毒的作用就顯得尤為重要和關(guān)鍵。3）注意在病毒的監(jiān)測工作中，不要總是改變病毒特征代碼串，要注意保持病毒的唯一性，以不變應(yīng)萬變。因而應(yīng)避免過長的病毒特征代碼的長度過長，減少在建設(shè)空間和時間上的開銷。4）注意特征碼的一項重要功能一定是可以準確無誤的分析出正常程序和病毒程序，不能混淆兩者，導致計算機運作的混亂。5）為了可以正確選擇出最具有代表性的病毒代碼串，使其的工作效率達到最高，應(yīng)該嚴謹細致的分析程序。

1.2特征字掃描法

上文中所提到的利用病毒特征代碼串的方法是常見的一種病毒甄別方法，在此基礎(chǔ)上，計算機病毒特征字掃描法是技術(shù)上一種全新的進步。相較于傳統(tǒng)的病毒特征代碼串的病毒檢測方法，特征字檢測法的優(yōu)勢更為突出和鮮明：誤警報少，檢測病毒速度快。因為特征字檢測病毒的方法的技術(shù)依據(jù)是只需要抽取病毒體中的少量關(guān)鍵字特征即可，簡化了工作環(huán)節(jié)和減少了工作數(shù)量。特征字掃描法的工作界面僅僅是操作少量的字節(jié)，不需要像病毒特征代碼串的掃描方法一樣進行串的匹配，這樣簡化的工作步驟就直接加快了工作的進度，提高了工作的效率。特別是在處理一些程序較為復(fù)雜和數(shù)據(jù)頗為龐大的應(yīng)用時，這種特征字掃描法的優(yōu)勢就顯得尤為明顯和突出。

1.3啟發(fā)式病毒掃描檢測技術(shù)

所謂啟發(fā)式技術(shù)是計算機病毒檢測的全新手段，啟發(fā)式技術(shù)的核心是借助于殺毒軟件的內(nèi)部記憶功能，確定和存入不同的病毒類型，開啟的工作程序就是在計算機遭受同樣或者類似的病毒侵襲的時候，可以十分快速地捕捉到病毒的敏感信號，及時進行計算機應(yīng)用程序的識別和處理，果斷給予使用者以警告，從而避免了病毒對于計算機的傷害。啟發(fā)式技術(shù)的一大功能性特點就是當啟發(fā)式技術(shù)運行來檢測和查殺計算機內(nèi)的病毒的同時，還可以保證計算機系統(tǒng)的正常運行和工作。啟發(fā)式技術(shù)的工作流程是全方位立體式的對計算機內(nèi)的所有程序進行實時的檢測和處理，一旦發(fā)現(xiàn)病毒就要立時進行查殺和處理。但是在啟發(fā)式掃描技術(shù)的工作過程中，錯誤率較高，時而會出現(xiàn)虛假的警報。這是因為啟發(fā)式技術(shù)所能分辨的病毒類型和特點不夠確切和完整，所以在模棱兩可的情況下，為了保險起見，一律劃歸到病毒的處理行列。

1.4數(shù)據(jù)加密

眾所周知，數(shù)據(jù)安全是互聯(lián)網(wǎng)時代的一大重要議題，同時也是當今世界計算機用戶最為關(guān)心的問題之一。而對于書籍數(shù)據(jù)安全的保證措施之一就是機密，這種技術(shù)手段所發(fā)揮的功能就是當數(shù)據(jù)不幸被攻擊者截獲之后，可以保證數(shù)據(jù)的安全和不被破譯。當今社會的信息泄露和竊聽問題是全世界所關(guān)注的焦點，信息的保護工作就顯得尤為突出和重要?，F(xiàn)在廣泛使用的解決信息竊聽問題的技術(shù)手段之一就是重點加密傳輸信息。但這項工作開展的先決條件是穩(wěn)定和靈活的管理方案和密鑰交換。想要密鑰管理方案發(fā)揮其真正的功能，要保證方案可以靈活適應(yīng)感知節(jié)點的資源有限的這一特點。結(jié)合這一特點的發(fā)揮，可以更方便的安排和部署，保證整個網(wǎng)絡(luò)的安全和不被破壞。隨著現(xiàn)在加密技術(shù)的越來越發(fā)達，加密技術(shù)的越來越先進，設(shè)計出既滿足高效要求又能更好保障安全的方案就是現(xiàn)在加密技術(shù)的核心研究方向。

1.5完整性檢驗

需要注意的是，在計算機病毒的檢測技術(shù)中，關(guān)鍵的是完整檢驗處病毒的特征和要點，這里的完整是不僅針對已知的病毒源更要注意未知的病毒源。利用完整性檢驗的手段，可以更好修復(fù)被病毒侵襲的計算機系統(tǒng)。針對完整性檢驗的工作程序是首先充分了解計算機文件或者引導扇區(qū)的內(nèi)容，在充分了解的前提下，開展針對那些被篡改的進行修復(fù)工作，并且會用還原的信息覆蓋住被更改的信息內(nèi)容。

1.6虛擬機技術(shù)

在對抗各色計算機病毒的技術(shù)中，較為高端和先進的技術(shù)當屬虛擬機技術(shù)。虛擬機技術(shù)在國際上的反病毒領(lǐng)域內(nèi)頗負盛名，屬于國際反病毒領(lǐng)域的前沿和尖端技術(shù)。虛擬機技術(shù)的顯著特點就是更加接近于人工分析，智能化水平很高，因而技術(shù)運行時定位病毒和查殺病毒的準確性也隨之大幅度提高。當計算機病毒檢測的應(yīng)用程序發(fā)現(xiàn)可疑樣本時，計算機會謹慎考慮其所具有的風險性，所以不會立即運行這個程序，而是分析其程序組成，緊接著做的一步就是跟蹤這個可疑程序的執(zhí)行步驟，仔細查看其是否帶有傳染性模塊，是否還兼具破壞性模塊。帶有傳染性模塊的病毒稱之為病毒，而針對那些都帶有破壞性模塊的程序，就是極其危險的惡性病毒了。這是病毒檢測的步驟和要求。

對虛擬機技術(shù)而言，利用程序代碼建立一個虛擬的系統(tǒng)運行環(huán)境，其中含有虛擬內(nèi)存空間、CPU的各個寄存器，也有時包括硬件的端口虛擬。在這種虛擬的系統(tǒng)運行環(huán)境下，可以假設(shè)很多病毒入侵的情景，然后借助調(diào)試程序?qū)⒊绦驑颖菊{(diào)入，把操作程序運行的每條命令都放在虛擬的環(huán)境下完后。這種完全虛擬的環(huán)境更便于我們的操作和控制，特別是可以控制程序的執(zhí)行，通過變化內(nèi)存、寄存器以及端口的方式。但是正如任何事物都有其兩面性，在虛擬機技術(shù)追求病毒檢測高準確性的同時，虛擬機的劣勢也凸顯了出來，就是虛擬機技術(shù)的運行速度過慢。由于虛擬機技術(shù)的運行步驟的復(fù)雜，導致虛擬機技術(shù)的運行時間比一般程序運行的時間慢幾十倍甚至上百倍，而且還有一個關(guān)鍵問題需要考慮的是，現(xiàn)實中不可能虛擬出一切執(zhí)行程序的代碼，這要是虛擬機技術(shù)的局限所在。

1.7主動內(nèi)核技術(shù)

隨著技術(shù)的不斷進步，病毒的版本也在不斷升級和更新，防御和干擾體系更為頑固。但是之前在檢測病毒的技術(shù)中，不論是采用防病毒卡還是自升級的軟件反病毒產(chǎn)品[1]，都是一些被動防御病毒的技術(shù)。被動防御理念最大的問題就是其操作環(huán)境是當病毒已經(jīng)入侵了計算機系統(tǒng)之后才開展的反病毒程序，已經(jīng)使計算機遭受到了病毒的侵害才被動采取應(yīng)對措施，不免有些亡羊補牢的意味。這類技術(shù)手段無法避免計算機所受到的侵害，即使最終消滅了病毒，也會給計算機系統(tǒng)本身帶來安全隱患，這都是應(yīng)該注意的問題。因而，主動內(nèi)核技術(shù)在這種環(huán)境下應(yīng)運而生。主動內(nèi)核技術(shù)，顧名思義就是采用主動干擾病毒的技術(shù)手段，可以保證在病毒突破計算機系統(tǒng)的瞬間，保護計算機免受傷害。這種主動追擊病毒的理念一直是計算機病毒檢測工作研究者們的想要達到的目標。主動內(nèi)核技術(shù)的優(yōu)點是不會在查殺病毒的同時傷及到計算機系統(tǒng)，并且還可以有效的對想要入侵計算機系統(tǒng)的病毒給予有力打擊和徹底攔截[2]。主動內(nèi)核技術(shù)的優(yōu)勢就在于和以往的計算機病毒檢測技術(shù)相比，擁有主動的話語權(quán)，不會像傳統(tǒng)的計算機病毒檢測技術(shù)一樣，本身并不具有防護能力，只會在病毒侵害里計算機系統(tǒng)之后做一些善后工作，來治療病毒感染的計算機系統(tǒng)。這種被動防御的計算機病毒檢測技術(shù)的清除病毒的力度不夠大，還是會給計算機的本身系統(tǒng)帶來安全隱患。

其實綜上所述，主動內(nèi)核技術(shù)的真正核心理念，或者精髓所在，就是針對計算進系統(tǒng)的操作內(nèi)核，給計算機操作系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)打一個補丁，這個補丁的打法不是被動而是主動的，之后病毒檢測技術(shù)的運行就圍繞這個補丁開展。用這個補丁對于計算機系統(tǒng)的漏洞進行修補，并且從安全和穩(wěn)定的雙重角度去管理和檢查整個計算機的系統(tǒng)或者網(wǎng)絡(luò)。

1.8網(wǎng)絡(luò)備份存儲管理系統(tǒng)

眾所周知，為了避免由于計算機系統(tǒng)被病毒感染而造成計算機系統(tǒng)的重要信息丟失這一嚴重后果，所以傳統(tǒng)意義上來講，利用備份已經(jīng)完成的數(shù)據(jù)文件這一方法來規(guī)避風險。所謂網(wǎng)絡(luò)備份存儲管理系統(tǒng)，是指利用存儲設(shè)備和硬件設(shè)施[3]，然后借助于存儲管理軟件的幫助，進行數(shù)據(jù)文件和信息的統(tǒng)一收集和管理。支撐起網(wǎng)絡(luò)備份存儲管理系統(tǒng)的核心技術(shù)是備份管理軟件這一功能的完成，在備份的前提下開展計算機系統(tǒng)的繼續(xù)運行，是安全無虞的。并且需要注意的是，計算機病毒檢測技術(shù)中的網(wǎng)絡(luò)備份存儲管理系統(tǒng)的運行，可以在原有計算機的數(shù)據(jù)文件被破壞后可以借助備份的數(shù)據(jù)文件進行替換和覆蓋，不影響計算機系統(tǒng)的正常運行和穩(wěn)定操作，從而可以最大程度的最好的實現(xiàn)計算機網(wǎng)絡(luò)數(shù)據(jù)備份與恢復(fù)的智能化管理和高效性的服務(wù)。

2總結(jié)

綜上所述，現(xiàn)今計算機病毒的技術(shù)主要采用的是隱藏技術(shù)，就是指在計算機病毒在靜態(tài)保存和動態(tài)運作的時候，采取一些為了躲避計算機系統(tǒng)或其他應(yīng)用程序的檢測的技術(shù)和方法，就為了可以更好地隱藏自己使其不被發(fā)現(xiàn)。隱藏技術(shù)是計算機病毒現(xiàn)今采用最為高端和廣泛的一種核心技術(shù)，因而針對這種計算機病毒的隱藏技術(shù)，本文提出一系列行之有效的檢測手段和思想作為后續(xù)計算機病毒檢測技術(shù)的參考。

參考文獻：

[1] 張勇，張衛(wèi)民，歐慶于，等.基于主動學習的計算機病毒檢測方法研究[J].計算機與數(shù)字工程，2011，39（11）：89-93，105.

[2] 韋蕓，章劍林，徐慧劍，等.免疫原理在計算機病毒檢測中的應(yīng)用[J].計算機應(yīng)用與軟件，2008，25（9）：52-53，108.

[3] 萬百宏.計算機病毒檢測技術(shù)研究與實現(xiàn)[J].信息技術(shù)與信息化，2015（3）：114-115，123.