淺析計算機病毒免殺技術(shù)及應(yīng)對策略

董耀 陳成學(xué)

摘 要：隨著時代的進步，信息技術(shù)的快速發(fā)展，計算機在各行各業(yè)的應(yīng)用范圍逐漸擴大。在這樣的背景下，計算機安全問題已然成為人們關(guān)注的焦點。尤其是近年來，計算機病毒的不斷更新，不僅影響各行各業(yè)的正常運營，還造成了不同程度的財產(chǎn)損失。因此，如何有效消除計算機病毒，提升計算機的安全性已一個重要的議題。本文就計算機病毒原理及免殺技術(shù)進行相應(yīng)的研究，并在此基礎(chǔ)上給出具有針對性的解決措施，進一步提升計算機的安全水平。

關(guān)鍵詞：計算機；病毒免殺；安全策略

一、計算機病毒的內(nèi)涵

狹義的計算機病毒，主要是指編制者插入的破壞計算機功能或數(shù)據(jù)的代碼，而廣義上的計算機病毒，包括計算機病毒、蠕蟲、木馬等計算機惡意軟件。反病毒軟件的任務(wù)是實時監(jiān)控和掃描磁盤[1]。部分反病毒軟件通過在系統(tǒng)添加驅(qū)動程序的方式進駐系統(tǒng)，并且隨操作系統(tǒng)啟動。大部分的殺毒軟件還具有防火墻功能。

二、計算機殺毒軟件概述

殺毒軟件也稱反病毒軟件，一般包括掃描器、病毒庫和虛擬機三個部分。實際上，殺毒軟件是一種可以清除計算機病毒、木馬等一切已知的、對計算機有危害的程序代碼的程序工具。殺毒軟件通常具有監(jiān)控計算機并識別、掃描、清除病毒的功能，同時，該軟件還兼具自動升級病毒庫、主動防御病毒入侵等功能，有的殺毒軟件還帶有數(shù)據(jù)恢復(fù)的功能，是當前計算機防御系統(tǒng)的重要組成部分。目前的很多殺毒軟件已取得了不錯的效果，但是還仍然存在著很多有待改進的地方。例如，隨著信息技術(shù)的快速發(fā)展，計算機殺毒軟件的更新速度相對于計算機病毒的制造速度來說，仍存在一定的滯后性。另外，隨著殺毒軟件的功能增加、程序代碼的更新，在電腦中所占用的內(nèi)存空間也逐步增加，在計算機日常使用中，會在一定程度上降低系統(tǒng)的運行速度，導(dǎo)致殺毒軟件的客戶體驗相對不高，在市場推廣的過程中受到較多的阻礙。除此之外，就未來的發(fā)展而言，殺毒軟件應(yīng)深入探究的另一個領(lǐng)域是智能識別病毒。因為隨著各種病毒的出現(xiàn)，殺毒軟件已標記的特征在未來不一定有效，那么如何更加智能地識別病毒，如何在它剛出現(xiàn)時就能識別甚至破解，是相關(guān)的工作人員需要思考的一個問題。也只有事先預(yù)防和及時反應(yīng)，智能識別未知病毒，從而更好發(fā)現(xiàn)未知病毒，才能最終保證殺毒軟件的持久性作用和未來更加長遠的發(fā)展。

三、計算機病毒免殺技術(shù)

1.文件免殺技術(shù)

文件免殺技術(shù)，主要是指基于文件特征的病毒掃描及清除技術(shù)，是當前使用較早、使用范圍較廣的殺毒技術(shù)之一。具體來說，文件免殺技術(shù)的操作較為簡單，包括：修改特征碼，改變自己的內(nèi)容。這樣一來，往往病毒文件就可以躲過殺毒軟件的掃描。還有其他的一些技術(shù)也比較典型，如應(yīng)用花指令（人為添加在計算機病毒文件中修改程序執(zhí)行流程的代碼），從而可以有效地阻礙反編譯，避開殺毒軟件查殺；添加免殺殼，軟件加殼一般是對軟件進行加密或壓縮，原軟件經(jīng)過加殼處理后，就會成為最終文件里的一段代碼。面對當前計算機病毒的變種日益增加的情況，計算機文件免殺技術(shù)已難以滿足實際的殺毒需求。

2.行為免殺技術(shù)

由于計算機病毒在運行過程中，總會表現(xiàn)出與正常程序的不同之處，因此，殺毒軟件可以采取一些措施，從而抵御病毒。某些計算機病毒能夠在進行殺毒軟件的靜態(tài)特征碼掃描以及內(nèi)存特征碼掃描時呈現(xiàn)出“無毒”的狀態(tài)，一旦加載驅(qū)動，或者是修改含有此類病毒的注冊表時，這些病毒就會做出相應(yīng)的惡意行為。相對來說，任何一個程序都不是完美無缺的，或多或少都存在一定的漏洞，而病毒就是利用這些漏洞達到預(yù)期的破壞目的。行為免殺技術(shù)則是通過利用可信進程來突破主動防御。由于計算機有很多常用功能和非病毒軟件，因此，有很多常用進程是被殺毒軟件信任的，而病毒可以讓惡意代碼獲得可信進程的執(zhí)行權(quán)限，從而執(zhí)行惡意操作。

3.內(nèi)存免殺技術(shù)

計算機病毒的內(nèi)存免殺原理與文件免殺原理相似，多是采用無關(guān)上下文互換、等值語句替換等技術(shù)達到病毒免殺的目的。具體來說，在實際操作的過程中，內(nèi)存免殺技術(shù)最常用的是空自區(qū)域跳轉(zhuǎn)技術(shù)，使程序中特征碼的偏移量地址發(fā)生變化，從而達到免殺目的。

4.Rootkit技術(shù)

Rootkit技術(shù)包括內(nèi)核層Rootkit技術(shù)和用戶層Rootkit技術(shù)。它可以讓病毒在目標系統(tǒng)中隱藏自己，并長期潛伏。這種技術(shù)難度較高，一直以來也是相關(guān)工作人員關(guān)注的一個重點。需要人們在這方面多加學(xué)習(xí)。同時，Rootkit技術(shù)也能夠在殺毒、保護隱私等方面發(fā)揮重大作用。

四、計算機病毒的應(yīng)對策略

一直以來，病毒因為其不斷變化的代碼和技術(shù)，對殺毒造成了很大的阻礙。因此，為了實現(xiàn)殺毒的目的，人們應(yīng)將目光放在病毒在安裝運行后出現(xiàn)的一些異常痕跡上。原因在于，無論是哪種免殺技術(shù)在尋找病毒的過程中，難度都相對較大，而轉(zhuǎn)為尋找修改的痕跡卻能夠敏銳識別，因而能有效地實現(xiàn)病毒查殺的目的。啟發(fā)式掃描技術(shù)、主動防御技術(shù)以及云殺毒技術(shù)都是基于行為的殺毒技術(shù)，在實際使用的過程中，需要計算機用戶多加注意和配合。在啟動主動防御之后，殺毒軟件會給出很多相關(guān)的提示，這時就需要用戶注意這些提示信息并及時查殺，否則，就會讓病毒進入系統(tǒng)破壞數(shù)據(jù)。其實在實際情況中，許多病毒的入侵都是因為用戶監(jiān)控不當，使得U盤或者軟件攜帶的病毒等進入計算機，從而導(dǎo)致病毒入侵。因此，就這方面，必要要加以小心。對外來的可能攜帶病毒的設(shè)備必須要嚴加監(jiān)控，才能從根源上阻止病毒入侵。

參考文獻：

[1]納穎，肖鹍.對計算機病毒及防范措施研究[J].科技信息，2012（3）：129，170.

[2]馬宗亞，張會彥，安二紅.計算機安全與計算機病毒的預(yù)防分析研究[J].煤炭技術(shù)，2013，32（5）：176-178.

作者簡介：

第一作者：董耀，男，遼寧省撫順市新賓滿族自治縣，本科，就讀于遼東學(xué)院信息工程學(xué)院B1506計算機科學(xué)與計算專業(yè)，學(xué)號：0917150616，研究方向：計算機科學(xué)與技術(shù)。

第二作者：陳成學(xué)，男，遼寧省大連市，本科，就讀于遼東學(xué)院信息工程學(xué)院B1506計算機科學(xué)與計算專業(yè)，學(xué)號：0917150609，研究方向：計算機科學(xué)與技術(shù)。