新時期計算機病毒防范

◆孫成麗

?

新時期計算機病毒防范

◆孫成麗

(遼寧省葫蘆島市龍港區錦西工業學校 遼寧 125000)

自從1980年計算機病毒的概念首次誕生以來，計算機就無時無刻不處于被攻擊的風險之中，伴隨著網絡共享程度加深、物聯網和云時代的來臨，新時期計算機病毒呈現出了智能化、組織化、目的化和信息能化的特征，在互聯網智能化變革的新時期，如何防范計算機病毒利用強大的自主攻擊能力“綁架”甚至摧毀計算機網絡系統，就是一個極為重要的問題。

計算機；病毒；網絡攻擊；智能化；信息

0 前言

2017年勒索病毒席卷全球，勒索病毒利用微軟視窗老舊系統漏洞，入侵用戶文件并加密，向用戶勒索比特幣。這和2000年的love bug通過自我復制和群發郵件擊潰郵件系統網絡， 2006年中國計算機病毒第一案熊貓燒香肆虐全國，以及1998年CIH病毒通過盜版系統盤直接摧毀計算機主板BIOS令上千萬臺計算機徹底報銷并不相同。新病毒不再進行純屬破壞的“恐怖主義”，而是直接以勒索為目的，這實際上給全球信息網絡病毒防范敲醒了警鐘。尤其是在金融網絡化的時代，勒索病毒標志著計算機病毒正在悄然轉型。今天全球任何一臺計算機都潛伏著病毒的威脅，因為計算機病毒具有自我復制性、傳染性、潛伏性、隱蔽性和徹底的破壞性，而最大的威脅是來自云時代計算機病毒的智能化。

1 計算機病毒與防毒的歷史

1.1 計算機病毒發展的歷史

1949年計算機之父馮·諾依曼提出了計算機程序如何自我復制的學術話題。

1960年代，計算機圖形圖像的奠基機構麻省理工大學的青年研究員一款小游戲，以摧毀對方的游戲程序為目的，這可能是已知最早的計算機病毒的雛形。

1980年多特蒙德大學學生克勞斯在他的學位論文《程序的自我復制》當中首先提出了病毒的假設。

1983年弗雷德·科恩編寫了第一個自我復制的病毒程序，并于1984年在博士論文中提出了病毒的學術界定。他提出：“計算機病毒是一種計算機程序，它通過修改其它程序把自身或其演化體插入它們中，從而感染它們?！辈《镜目膳滦阅軌蛟谌魏涡畔⒐蚕硐到y中傳播，安全技術并不能阻止，而且不存在區分病毒的算法，也不存在完美的殺毒軟件。

1986年，巴基斯坦經營電腦公司的兄弟發明了第一個電腦病毒C-BRAIN，這個病毒的發明是為了防止自己公司的軟件被盜版，并且追蹤有多少人使用軟件，這個在DOS系統下運行的病毒靠軟盤傳播，一旦有盜版者就將系統硬盤吃掉。這就更加驗證了科恩的理論，病毒和非病毒并沒有嚴格界限，不能指望靠算法來完全消滅病毒。這一時期計算機病毒以“小球”和“石頭”代表的引導性病毒為主，因為傳播對象單一，病毒自我保護機制較弱，在單機環境下易于被清理。

1990年，文件型和引導性復合型病毒誕生，這種病毒由1989年的可執行文件病毒演化而來，可執行文件病毒利用DOS系統加載機制傳播，以“耶路撒冷”和“星期天”病毒為代表。復合型病毒可感染扇區文件，也可以感染可執行文件，這類病毒逐漸發展到殘留痕跡可以自我恢復、隱蔽性強，具有自我保護機制，能夠利用網絡攻擊，并且呈現出種類復雜化的特點。

1992年，利用DOS加載文件優先順序感染計算機的伴隨型病毒“金蟬”誕生，感染一個EXE文件，還同時生成一個COM文件，這一時期病毒呈現出批次化的特征。1994年起，編程語言飛速發展，同一個應用可以用不同的程序語言寫出來，這給了幽靈病毒機會，每傳播一次就產生不同的代碼，這大大地增加解碼殺毒的難度，這一時期病毒呈現出多態化。

1995年病毒制造機出現，因為生成器既能生成程序也能生成病毒，VCL可以瞬間制造千萬種形態各異的病毒，這讓病毒的繁殖更加容易。

網絡病毒階段從1995年開始，蠕蟲病毒大量利用網絡傳播，“美麗殺手”通過郵件一天內感染到美國全國，各種郵件炸彈層出不窮。同時期針對微軟視窗的病毒也大幅流行，許多病毒利用保護模式工作，使之非常難以解除。針對Word宏語言的宏病毒以類Basic語言工作，利用軟盤和office的安裝和拷貝進行傳播。網絡時代，各種病毒以不同形態埋伏在各個網站、廣告和程序的角落中，病毒或者利用操作系統的漏洞主動攻擊，或者利用手機殺毒軟件不完善的特點進行傳播。

1.2 殺毒軟件的發展和問題

殺毒軟件是目前病毒防御的一個主要手段，這是一種通過建立已知病毒庫和可疑程序來查殺病毒的方法，盡管依靠傳統的病毒特征碼庫不能解決有效識別并殺死未知病毒的問題，但是包括云殺毒在內的殺毒軟件都是采用這種方式。

1989年，針對蠕蟲病毒泛濫，美國的Mcafee成為了全球第一款殺毒軟件。目前殺毒軟件的核心技術殺毒引擎主要掌握在德國、美國和俄羅斯這樣的少數國家，除了Mcafee之外，卡巴斯基、小紅傘和羅馬尼亞的BitDefender是頂尖技術公司。國內的殺毒軟件一般都是套用卡巴、小紅傘和BD的引擎再套用外殼。

1989年開始國內采用簡單特征碼殺毒法，這是產生在檢驗法的基礎上的第二代殺毒方式，今天所說自主殺毒引擎就是采用的這一核心。90年代中期江民采用了廣譜特征碼技術，這種技術可以通過查詢一個特征碼調出多種病毒，但是誤報風險較大。1998年以來啟發式殺毒利用虛擬機技術判斷文件結構、行為讓病毒提前暴露身份，同時白名單技術開啟。2008年開始，360依靠免費策略占領了殺毒市場，并且充分發展了云安全技術，但是云安全技術對用戶隱私問題傷害較大。

2 傳統殺毒軟件的困境

早期程序員出于好奇、版權保護、報復或者是出位心理開發病毒程序，而現在使用病毒謀利的現象更為明顯。目的性的網絡攻擊更為普遍，在軍事、商業、個人隱私上竊取情報、控制對方計算機等有組織網絡攻擊行為更加普遍，而且計算機專業化程度越來越高。另一方面，傳統殺毒模式由于數據庫太大，資源占用嚴重，病毒特征碼識別不夠準確等問題，使之很容易被一般病毒突破，最典型的就是熊貓燒香事件。

熊貓燒香的李俊被稱為中國毒王，其實他只是一個自學成才的技校生，他的專業水平并不比一般的程序員更高，屢次被各大軟件公司拒絕的他利用熊貓燒香軟件摧毀了中國殺毒業的半壁江山，當然也成就了金山和360這樣的公司。警方抓捕李俊之后，錯誤地以為被害的電腦有救了，當李俊將自己編寫好的殺毒軟件交給警察之后，連他自己都不敢相信，這款殺毒軟件對他自己制造出來的熊貓燒香病毒毫無殺傷力。這就回到了殺毒軟件的最根本問題并不是病毒有多強大，而是殺毒軟件的防御功能太差，傳統殺毒軟件利用病毒庫識別的算法有天生缺陷，無論是新病毒還是老病毒，只要改幾行代碼就成為了不能識別的新病毒，熊貓燒香也并不是多么高級的病毒程序，只是利用熊貓的萌蠢表情降低了用戶的警惕性。

3 新時期智能化殺毒病毒防御

每一次病毒的泛濫都是殺毒軟件系統的大提升，在云時代，云查殺成為了廣泛的殺毒手段，但是必須要注意的是云病毒也將是一種巨大的危險。你可以利用云環境殺毒，病毒更能利用云環境傳播，尤其是在當前環境下很多人利用流氓軟件推廣產品的背景下，病毒的特性其實也是他們在商業廣告中最需要的一種特性。

許多新技術去除多態變形病毒代碼中的空白符、垃圾代碼、花指令等，而后再生成特定的病毒特征碼，其實核心還是特征碼殺毒，包括在云端殺毒。

未來病毒越來越多呈現出智能化特征，而殺毒軟件也要相應智能化，IBM的Tesauro和Kephart研究了神經網絡，將神經網絡應用到在智能化病毒防御。未來智能化殺毒引擎將會解決傳統病毒庫的困境，殺毒軟件利用自身具有的自主學習能力來應對病毒的變化規律，在病毒的進化過程中，殺毒軟件也有一個智能化的進化過程。在智能化殺毒領域，目前比較先進的是利用搜索引擎的智能化算法，這套算法不依靠分析病毒的靜態特征、動態行為和頻繁更新病毒庫。當然人工智能技術不僅局限于搜索引擎智能技術，未來還會有多種智能化技術運用到病毒防御系統當中，智能化將是新時期病毒防范的主要特征。

[1]徐剛.云計算與云安全[J].信息安全與技術，2011.

[2]傅建明，彭國軍，張煥國.計算機病毒分析與對抗[M].武漢大學出版社，2004．