基于對比分析的計算機(jī)病毒防護(hù)研究

◆張國防

（海南軟件職業(yè)技術(shù)學(xué)院 海南 571400）

基于對比分析的計算機(jī)病毒防護(hù)研究

◆張國防

（海南軟件職業(yè)技術(shù)學(xué)院 海南 571400）

計算機(jī)病毒、網(wǎng)絡(luò)蠕蟲和木馬不僅盜竊用戶數(shù)據(jù)、泄露用戶隱私，而且癱瘓計算機(jī)網(wǎng)絡(luò)，使人們遭受嚴(yán)重的損失。如何根本有效地防范這些威脅成為目前丞待解決的問題。本文對計算機(jī)病毒、網(wǎng)絡(luò)蠕蟲和木馬的傳播方式、感染對象和寄生載體的相同點(diǎn)和不同點(diǎn)分別進(jìn)行了對比分析研究，提出了硬件技術(shù)、軟件技術(shù)等防范策略，為網(wǎng)絡(luò)管理員和計算機(jī)用戶提供了借鑒意義。

計算機(jī)病毒；網(wǎng)絡(luò)蠕蟲；木馬；策略

0 引言

前段時間“勒索病毒”爆發(fā)，在短短一天多的時間，全球近百個國家的超過10萬家組織和機(jī)構(gòu)被攻陷，無數(shù)寶貴資料被病毒加密鎖定，全球網(wǎng)絡(luò)動蕩不安。雖然后來“勒索病毒”被解除，但由此造成的影響又一次給我們敲響了警鐘。計算機(jī)用戶機(jī)密數(shù)據(jù)被泄露、破壞，不明原因的網(wǎng)絡(luò)癱瘓等情況時有發(fā)生，成為令計算機(jī)用戶最為頭疼的問題。本文通過對比分析計算機(jī)病毒、網(wǎng)絡(luò)蠕蟲和木馬傳播方式、步驟和傳播對象的異同，提出了防范這些威脅的硬件措施和軟件措施，為網(wǎng)絡(luò)安全人員的日常管理維護(hù)工作和計算機(jī)用戶安全地使用計算機(jī)提供依據(jù)。

1 各種威脅的傳播方式

1.1 計算機(jī)病毒的傳播方式

計算機(jī)病毒的代碼附著在一些可執(zhí)行程序或普通文件，通過網(wǎng)絡(luò)、外來的移動硬盤、U盤等存儲設(shè)備進(jìn)入本地計算機(jī)，當(dāng)用戶開機(jī)打開這些文件時，計算機(jī)病毒立即進(jìn)入系統(tǒng)引導(dǎo)區(qū)并占用內(nèi)存資源。在計算機(jī)病毒占用內(nèi)存期間通過復(fù)制自身，感染在內(nèi)存中打開的未被感染的文件和計算機(jī)可執(zhí)行程序，當(dāng)被感染的文件被保存在磁盤時，計算機(jī)病毒也就被保存在磁盤上而潛伏下來，而這一過程對用戶來說是透明的。當(dāng)磁盤上大多數(shù)可執(zhí)行程序和文件被感染，由于計算機(jī)內(nèi)存資源被占用，運(yùn)行速度降低，表現(xiàn)為卡機(jī)、死機(jī)、可執(zhí)行程序打不開，磁盤文件被破壞甚至被刪除等現(xiàn)象。而病毒的變異能力使得病毒可以躲避殺毒工具的檢測，防毒殺毒工具無法清除，用戶被迫重裝系統(tǒng)成為最終的選擇，這又會造成用戶數(shù)據(jù)的丟失和時間精力的浪費(fèi)[1]。

1.2 網(wǎng)絡(luò)蠕蟲的傳播方式

網(wǎng)絡(luò)蠕蟲是通過網(wǎng)絡(luò)傳播，無需用戶干預(yù)即可獨(dú)立運(yùn)行的程序，它通過不停地獲得網(wǎng)絡(luò)中存在漏洞的計算機(jī)上的部分或全部控制權(quán)來進(jìn)行傳播，它會掃描和攻擊網(wǎng)絡(luò)上存在系統(tǒng)漏洞的節(jié)點(diǎn)主機(jī)，通過局域網(wǎng)或者國際互聯(lián)網(wǎng)從一個節(jié)點(diǎn)傳播到另一個節(jié)點(diǎn)[2]。網(wǎng)絡(luò)蠕蟲進(jìn)入網(wǎng)絡(luò)后，會主動掃描一些網(wǎng)段的IP地址的目標(biāo)系統(tǒng)，當(dāng)掃描到具有漏洞的目標(biāo)系統(tǒng)后利用該漏洞對目標(biāo)系統(tǒng)進(jìn)行攻擊。當(dāng)目標(biāo)系統(tǒng)被成功攻擊后，網(wǎng)絡(luò)蠕蟲會通過網(wǎng)絡(luò)復(fù)制自身到目標(biāo)系統(tǒng)，然后以此節(jié)點(diǎn)主機(jī)為基點(diǎn)繼續(xù)向外傳播去感染更多的脆弱性系統(tǒng)，期間并不需要計算機(jī)用戶的任何干預(yù)。網(wǎng)絡(luò)蠕蟲的特征就是透過網(wǎng)絡(luò)主動感染目標(biāo)系統(tǒng)，以消耗系統(tǒng)帶寬、內(nèi)存、CPU為主，最終癱瘓整個網(wǎng)絡(luò)。

1.3 木馬的傳播方式

木馬是基于客戶機(jī)/服務(wù)器模式的計算機(jī)程序，木馬通過偽裝成用戶需要的正常功能的程序捆綁在頁面圖片或游戲上誘使用戶點(diǎn)擊而下載到主機(jī)上立即在后臺運(yùn)行，即是關(guān)閉圖片或游戲，木馬一直運(yùn)行。即便是關(guān)機(jī)后再開機(jī)，木馬就在后臺立即運(yùn)行并且接受遠(yuǎn)端木馬客戶端的控制，盜竊或者損壞主機(jī)上的文件，或者利用該主機(jī)發(fā)動DOS攻擊等，造成主機(jī)上機(jī)密文件泄露或損壞。

2 計算機(jī)病毒、網(wǎng)絡(luò)蠕蟲和木馬的比較分析

2.1 相同

（1）目標(biāo)的脆弱性：計算機(jī)病毒、網(wǎng)絡(luò)蠕蟲和計算機(jī)木馬都易感染防護(hù)措施弱、系統(tǒng)有漏洞的主機(jī)。沒有防火墻、殺毒軟件病毒庫版本低、系統(tǒng)軟件的漏洞沒有打補(bǔ)丁、沒有嚴(yán)格限制外來移動硬盤和U盤的使用、對網(wǎng)頁不明的鏈接缺少警覺性就點(diǎn)擊打開、打開來歷不明的電子郵件等存在諸如此類問題的主機(jī)往往成為被攻擊的目標(biāo)。

（2）消耗資源：計算機(jī)病毒、網(wǎng)絡(luò)蠕蟲和計算機(jī)木馬在被感染的主機(jī)開機(jī)期間都占用計算機(jī)資源，尤其是內(nèi)存資源。這些被占用的資源嚴(yán)重消耗計算機(jī)的CPU時間，造成用戶計算機(jī)速度慢、卡機(jī)、死機(jī)和網(wǎng)絡(luò)癱瘓現(xiàn)象，使用戶需要緊急處理的事務(wù)長時間得不到響應(yīng)而造成損失。

（3）隱蔽性強(qiáng)：計算機(jī)病毒寄生在計算機(jī)的文件和可執(zhí)行程序中、網(wǎng)絡(luò)蠕蟲運(yùn)行在系統(tǒng)內(nèi)存的節(jié)點(diǎn)中、計算機(jī)木馬偽裝成正常程序隱藏在磁盤而運(yùn)行于后臺，它們都有很強(qiáng)的隱蔽性，甚至能強(qiáng)行關(guān)閉主機(jī)的殺毒軟件，用戶使用查毒工具也很難發(fā)現(xiàn)它們。

2.2 區(qū)別

（1）傳播的主動性方面：網(wǎng)絡(luò)蠕蟲的運(yùn)行和傳播不需要計算機(jī)操作者的任何干預(yù)，主動掃描探索發(fā)現(xiàn)有漏洞或者脆弱的目標(biāo)系統(tǒng)直接將自身復(fù)制過去，其傳播具有非常強(qiáng)的主動性。計算機(jī)病毒和木馬從一臺主機(jī)傳播到另一臺主機(jī)需要計算機(jī)操作者的某種操作才可以傳播，木馬一旦在主機(jī)后臺運(yùn)行就不會在計算機(jī)內(nèi)部反復(fù)傳播，但計算機(jī)病毒會不斷反復(fù)傳播給計算機(jī)中其它的文件和可執(zhí)行程序。

（2）感染的對象方面：計算機(jī)病毒感染的對象是計算機(jī)文件系統(tǒng)。網(wǎng)絡(luò)蠕蟲和木馬感染的對象是有相應(yīng)漏洞和脆弱的計算機(jī)系統(tǒng)，但網(wǎng)絡(luò)蠕蟲感染計算機(jī)的內(nèi)存中各個關(guān)鍵節(jié)點(diǎn)的內(nèi)存資源并以此為節(jié)點(diǎn)尋找網(wǎng)絡(luò)上其它目標(biāo)系統(tǒng)，而木馬一旦種植在目標(biāo)主機(jī)上就在后臺悄悄運(yùn)行，等待遠(yuǎn)程控制端的指令。

（3）寄生的載體方面：計算機(jī)病毒需要寄生載體，寄生載體通常是計算機(jī)文件或者可執(zhí)行程序。網(wǎng)絡(luò)蠕蟲不需要寄生載體。計算機(jī)木馬通常捆綁在在圖片或者游戲上。

3 計算機(jī)病毒、網(wǎng)絡(luò)蠕蟲和木馬的防護(hù)措施計算機(jī)病毒、網(wǎng)絡(luò)蠕蟲和計算機(jī)木馬能夠在網(wǎng)絡(luò)和終端系統(tǒng)上造成嚴(yán)重危害，網(wǎng)絡(luò)管理員有多種手段予以消除。

3.1 硬件措施

部署硬件防火墻是目前比較流行的防御網(wǎng)絡(luò)威脅的方案，目前市面上主流的硬件防火墻有Cisco、H3C、Juniper、華為和深信服等品牌的企業(yè)級防火墻，這些企業(yè)級防火墻各有不同實(shí)力背景的廠家技術(shù)支持，性能有些差異，價格也分上中下等級，企業(yè)用戶可以根據(jù)自己計算機(jī)使用環(huán)境選擇比較適合自己的產(chǎn)品。

3.2 軟件措施

給每臺主機(jī)安裝軟件防火墻。軟件防火墻分為收費(fèi)版和免費(fèi)版的防火墻，殺毒聲譽(yù)好的是卡巴斯基，以查殺速度快、能力強(qiáng)在殺毒軟件行業(yè)排名第一，是需要付費(fèi)使用的。國內(nèi)的軟件防火墻有360、瑞星和電腦管家等，這些軟件不收費(fèi)，但攔截和殺毒的能力一般，且占用主機(jī)資源和留有后臺為大多數(shù)用戶詬病。如果有電子商務(wù)業(yè)務(wù)的個人主機(jī)，建議安裝使用卡巴斯基軟件防火墻。

3.3 其它安全策略

包括定期更新升級殺毒軟件的病毒庫和系統(tǒng)打補(bǔ)丁。可以設(shè)置讓系統(tǒng)自動升級病毒庫和打補(bǔ)丁，每天或者每周一次計算機(jī)全面檢測殺毒，不使用外來移動硬盤、U盤，不點(diǎn)擊來歷不明的網(wǎng)絡(luò)連接，不打開來歷不明的電子郵件等。

4 結(jié)束語

當(dāng)前網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，計算機(jī)病毒、網(wǎng)絡(luò)蠕蟲和木馬的技術(shù)越來越高，網(wǎng)絡(luò)中所暴露出來的漏洞越來越多，計算機(jī)使用人員也越來越多越來越復(fù)雜。為了降低計算機(jī)病毒、網(wǎng)絡(luò)蠕蟲和木馬的事件的發(fā)生、減少用戶的損失，要求計算機(jī)從業(yè)人員要宣傳普及計算機(jī)病毒、網(wǎng)絡(luò)蠕蟲和木馬的危害常識，提高全民的計算機(jī)安全防范意識。

[1]D.M. Kienzle, M.C. Elder.Recent worms: A Survey and Trends[R]. Washington DC：In Proceedings of the 2003 ACM workshop on Rapid Malcode，2003.

[2]王業(yè)君.網(wǎng)絡(luò)蠕蟲的機(jī)理與防范[D].中國科學(xué)院軟件研究，2005.