计算机病毒与反病毒技术发展简述

计算机病毒已成为当代信息社会的致命杀手，正所谓道高一尺，魔高一丈，病毒像幽灵一样，无处不在。尤其是病毒与黑客技术相结合，使其对抗反病毒技术的能力越来越强。面对这种严峻形势，人们急需要了解病毒的特征和反病毒技术，做到防杀结合，才能立于不败之地。

    一、计算机病毒的产生

    1983 年 11 月，世界上第一个计算机病毒在美国实验室诞生， 1986 年，巴基斯坦两兄弟为追踪非法拷贝自己软件的人，又制造了世界上第一个传染个人电脑兼容机的“巴基斯坦”病毒。 1988 年，计算机病毒开始传入我国，在短短几个月之内迅速感染了全国 20 多个省、市的计算机。

    直至 90 年代中期，最流行的病毒仍是引导型病毒和文件型病毒。这类病毒主要感染磁盘引导扇区和可执行文件，病毒程序采取截获系统中断向量的方式监视系统的运行状态，并在一定的条件下对目标进行传染；目标被感染后，在磁盘上出现坏扇区，可执行文件的长度增加、建立日期、时间发生变化等较为明显的特征。这类病毒基本不具备自我保护能力，通过人工或杀毒软件很容易发现并清除。

    随着汇编语言的发展，多态性病毒开始大行其道。多态性病毒通常采取加密、反跟踪等自我保护技术，放人宿主程序中的大部分病毒代码都是可变的，每种病毒可以演变出 6 万至 4000 亿个型态，像幽灵一样无处不在。也正是由于多态性病毒的这一特点，使利用特征码法检测病毒的传统反病毒产品无法检测出此类病毒。

    1996年之后，随着 Windows 系统的日益普及，能感染 Windows 可执行程序并在 Windows 环境下运行的病毒开始传播。它们感染 Windows 3.X  NE 格式和 Windows95 / 98 PE 格式文件，利用保护模式和 API 接口进行破坏活动。近几年来， Windows 系统下不仅存在病毒，某些还是毁灭性的。

    1997 年以来，随着国际互联网的普及和远程访问服务的开通使得病毒的流行迅速突破地域限制。这些病毒能够通过网络自我复制，大量消耗系统资源。在自我复制过程中，它们利用网络机制、协议和软件的漏洞，主动进行网络探测，对目标系统发起攻击，将自身代码植入系统中，并启动代码，从而完成病毒的传播，最常见的是我们常说的“蠕虫病毒”。

    二、计算机病毒的特点

    1．电子邮件已成为病毒快速传播的主要媒介

    在单机环境下，病毒只能通过软盘或光盘在计算机之间传播，而在网络中则可以通过网络通讯机制迅速扩散。 1989 年， FORM 引导区病毒用了整整一年时间才流行起来， 1995 年， Concept Macro 宏病毒用了 3个月就开始盛行，而通过电子邮件， Sircam 病毒一周之内就使全球数以万计的计算机用户受到波及， LoveLetter 的流行仅用了大约 3 天， Code Red 用了大约 90 分种， Nimda 更是用了不到 30 分种。电子邮件在为信息社会提供方便的同时，也使计算机病毒找到了一条新的传播途径和载体。这些蠕虫病毒躲藏在电子邮件中，并冠以人们熟悉的姓名、重要提示或者美丽的图案，使用户不会产生任何怀疑，诱骗用户打开邮件及其附件，从而破坏目标系统或者盗取用户重要数据。

    2．病毒与黑客技术相互融合

    病毒结合黑客技术利用系统漏洞进行双重攻击的方式，已经成为病毒编码的新趋势。这类病毒更具伪装性、主动性和破坏性，所造成的威胁不容忽视。 2001 年引起轩然大波的“尼姆达”、“红色代码”和“求职信”病毒就是典型的黑客型病毒，尤其是利用微软 MIME 漏洞、通过邮件进行大范围传播的“求职信”病毒，来势汹汹，变种不断涌现，至今仍在全球疯狂肆虐； 2002 年 10 月，极具传播力且呈蔓延扩散之势的“妖怪”病毒甚至能建立后门程序，通过 36794 端口完成启动、列表、终止系统中的进程，记录用户键盘操作、拷贝、删除文件，格式化硬盘等操作，并将用户信息通过 SMTP 服务器传送给黑客。

    3．病毒采取了诸多自我保护机制

    计算机病毒为了能够躲避现有病毒检测技术，争取较长的存活期，进而实现广泛传播的目的，想尽各种办法隐蔽和保护自己，蠕虫病毒更是采取主动抑制杀毒软件的手段，加强对反病毒技术的对抗。如变形技术的广泛应用使反病毒厂商的单纯特征码技术完全失去作用；病毒通过获取中断 21H 、 13H 底层人口的方法，使 Vsafe 等驻留式杀毒软件象哑巴一样缄口不语；加密技术和压缩技术使得通过检查中断向量表、文件长度、时间与日期等参数来发现病毒的常规查毒技术已不再有效； SHE 、结构化异常处理、检测 SoftIce 、搜索操作系统特定 API 调用等反跟踪技术的应用加大了查杀病毒的难度；“双线程自我保护技术”使得“中国黑客”病毒屡屡逃过反病毒产品的查杀；“杀手 13 ”病毒休眠 200 毫秒就遍历一次系统进程列表，将可识别的反病毒软件进程统统杀掉；“求职信”变种病毒 Worm.Klez.L 甚至还能够抑制“尼姆达”、“红色代码”等著名病毒，只要是阻碍它传播的软件都不放过。笔者在国土资源部安装 NORTON 企业版防病毒软件时，发现很多客户端很难一次安装成功。失败原因除了因为企业版与原有的单机版存在冲突之外，最主要的原因是这些用户的计算机早已感染了具备抑制反病毒软件能力的蠕虫病毒。

    4．大量采用压缩技术

    目前的大部份病毒都是在原生病毒的基础上，经压缩变形而成。压缩后的病毒内容虽然同原生病毒一模一样，但病毒特征代码已经完全改变，相当于产生了一个新的变种病毒。压缩算法是公开的技术，而压缩文件格式是不公开的，利用这些公开的技术，可以生成无数种他人短期内无法破解的压缩格式，进而也就可以利用原生的病毒，轻松产生出无穷多种新病毒。例如，普通用户通过互联网就可下载“程序捆绑器”等专用或自制的程序压缩工具，从而制造出大量变种病毒，甚至可在原病毒的基础上加载更多的破坏程序。据统计， 2002 年上半年，在新发现的 800 多个病毒当中，采用程序压缩技术的变种病毒约占 70 ％左右，而利用捆绑器生成的病毒则以平均每月 1 到 2个的速度增加，约合上半年新病毒数量的 1.2 ％。更严重的是，病毒在被压缩的情况下不会发作，其危害性往往得不到人们的重视，留下了严重的隐患， CIH 病毒的爆发就是一个最好的例证。

    5．影响面广，后果严重

    病毒，尤其是蠕虫病毒轻则降低网络速度，影响工作，重则使之崩溃，破坏数据，使多年工作毁于一旦。 2001 年， " Sircam ”、“红色代码”、“尼姆达”、“求职信”、“将死者”病毒先后给全世界造成 ro7 亿美元损失，据 Computer Economics 的统计，仅红色代码病毒就吃掉了全球电脑用户 26 亿美元，其中 11 亿美元用于对 100 万台以上的受感染服务器进行清理和对 800 万台以上的其它服务器进行检查。 2003 年 l 月 25 日， " SQL 杀手”病毒再次利用微软 SQL Server 2000 的一个系统漏洞，不断向网络释放和扩散，最终形成拒绝服务式攻击，导致全球范围内的互联网瘫痪。

    6．病毒编写越来越简单

    传统病毒的编程技术比较复杂，往往需要编程者对系统有深入的了解才行，但是病毒自动生产技术的产生，使得对计算机病毒一无所知的用户，也能随心所欲地组合出算法不同、功能各异的计算机病毒。更为严重的是，这类病毒生产软件在互联网上随处可得，使得新病毒出现的频率远远超出了以往任何时候。轰动全球的“库尔尼科娃”病毒就是由一名年仅十几岁、对编程知之甚少的年轻人、利用 VBS / I -WORM 病毒生产机制造出来的。据报道这种 VBS 病毒生产机已经被人们从互联网上下载了十五万次以上。

    7．恶意网页给传统的病毒定义带来了新的挑战

    随着 Internet 的逐步普及，又出现了能够摆脱平台依赖性的“恶意网页”，它们以 ActiveX 技术和 java Applet 为载体，潜伏在 HTML 网页里面，用户只要浏览这类网页，恶意程序就会悄然自动下载到硬盘中。虽然它们不能够自我复制，又不具传染性，也没有远程文件来控制，但却带有极强的破坏性和欺骗性。根据笔者的维护经验， 2002 年，国土资源部各司局计算机所感染的病毒当中，有相当部分都属于恶意网页所致。

    三、反病毒技术的发展

    20 世纪 80 年代未，各种基于行为、通过捕获典型中断调用来监控病毒破坏行为的防病毒卡和 TSR 常驻内存技术（像 Vsafe 、 Dog 等工具）风靡全国。但是由于其在单任务的 DOS 系统下运行，从而降低了系统性能，由于在 WINDOWS 系统下存在严重的兼容性等问题，所以逐步淡出了市场。

    随着网络和操作系统的发展，人们对计算机病毒有了更新的认识，病毒防治理念也从原有的单纯“杀毒”上升到“杀防结合”层面，可以说，计算机病毒的蔓延导致了计算机反病毒技术的发展。

    1．病毒码扫描法

    该方法是利用病毒留在受感染文件中的病毒特征值（即每种病毒所独有的十六位代码集）进行检测。发现新病毒后，对其进行分析，根据其特征编成病毒码，加入到数据库中。今后在执行查毒程序时，通过对比文件与病毒数据库中的病毒特征代码，检查文件是否含有病毒。对于传统病毒来说，病毒码扫描法速度快，误报率低，是检测已知病毒的最简单、开销最小的方法。目前的大多数反毒产品都配备了这种扫描引擎。但是，随着病毒种类的增多，特别是变形病毒和隐蔽性病毒的发展，致使检测工具不能准确报警，速度下降，给病毒的防治提出了严峻挑战。

    2．病毒实时监控技术

    传统的反毒技术已无法对付不以文件形式存在的内存型病毒；变种邮件病毒的不断出现，客观要求防毒系统必须具备针对协议层的邮件双向监控技术和对未知新型病毒的分析判断能力；恶意网页的出现，更需要在网页浏览过程中实时过滤有害代码、监控注册表信息，凡涉及到修改注册表、删除文件等恶意操作的行为，必须随时报警并予以制止，所有这些都使得病毒实时监控技术显得格外重要。实时监控进程处于随时工作状态，防止病毒从外界侵入系统，全面提高计算机系统整体防护水平。

    国内反毒厂商在实时监控方面均有独特的技术，如江民公司的 KV 3000 采用的“比特动态滤毒技术”，解决了传统查杀邮件病毒技术所存在的局限，它在网络层对所有网页进行过滤、在网页的缓存还没有写入硬盘之前就把有害部分给过滤掉。同时能够对注册表进行实时监控，排除病毒通过修改注册表来达到其传染及传播的可能性。

    3．虚拟机技术

    虚拟机技术也称为动态启发技术，具有人工分析、高智能化、查毒准确性高等特点。备受推崇的俄罗斯的 KAV ( AVP，就是依靠其高效率的虚拟机和启发式机制，在未知病毒检测方面独树一帜。该技术的原理是：用程序代码虚拟 CPU 寄存器，甚至硬件端口，用调试程序调入可疑带毒样本，将每个语句放到虚拟环境中执行，这样就可以通过内存、寄存器以及端口的变化来了解程序的执行，改变了过去拿到样本后不敢直接运行而必须跟踪它的执行查看是否带有破坏、传染模块的状况。虚拟环境既然可以反映程序的任何动态，那么病毒放入虚拟机中执行后也必然可以反映出其传染动作。

    目前，针对难缠的压缩变形病毒，有些反病毒厂商提出了“智能解包还原技术”。它实际上是虚拟机技术的一项延伸。利用虚拟机引擎，将压缩变形病毒放入虚拟机中虚拟执行，且时刻监视着病毒的状态，一旦发现这些病毒在内存中将自身还原成原始病毒形态，查毒引擎便介入进去，在这些原始病毒体中寻找病毒特征，一旦找到，便进行相应的处理。虽然不同压缩工具对原始病毒进行处理的方式不一样，但“智能解包还原技术”都将这类变形病毒统一视为一种情况进行自适应处理，而不是对这些工具进行一一对应处理。通过该技术，可以解决自解压程序格式繁杂、非公开压缩方式造成大量变种病毒和新病毒的技术难题，彻底查杀由压缩工具和捆绑器制造的各种变种病毒。这一技术有着极为广阔的应用前景。

    WIN32 文件型病毒（ PE 病毒）和特洛伊木马对于未知病毒检测来说，一直是最大的挑战。 WIN32 程序由于结构复杂，对其的虚拟运行要比虚拟一个 DOS 环境复杂得多，它涉及到虚拟系统的 API 调用和很多资源，对系统资源的消耗比较大，运行速度相对比较慢；而且很多特洛伊木马都非常边缘化，就是直接运行行为分析的方法，也很难区别其和其它一些正常网络服务程序的区别，所以，部份反毒厂商只选择样本代码段的前几 K 字节进行虚拟执行，但即使如此，查毒效果也十分显著。

    4．自免疫扫毒技术

    该技术采用软件认证和虚拟运行判断的双重机制，使用户免除对反病毒软件频繁升级之苦。软件认证机制记录系统软件正常的运行状态，形成软件特征运行库，一旦软件出现非正常运行，马上采取措施，所以对网络蠕虫、求职信等已知病毒和未知病毒都能够有效地进行遏制。如果用户在安装新软件时，杀毒引擎会启动，通过虚拟运行判断或行为转移机制，对所有软件在系统下执行的命令进行监控，进行高效智能判断，让合法操作通过，过滤恶意操作，禁止病毒进行复制、删除、格式化硬盘，破坏分区表，降低系统性能等危险性操作，保证系统的安全运行。同时随机记录文件的变化情况，必要时恢复各个时期的状态。该技术极富创意，具有良好的发展前途。目前在国内市场上，只有实达铭泰的“东方卫士”反病毒产品使用了“自免疫扫病毒”技术。不过在实践中发现，“东方卫士”占用系统资源过多，性能有待进一步提高。

    5．主动内核技术

    主动内核技术改变了传统的被动防御理念，将已经开发的各种防病毒系统嵌入操作系统内核，实现无缝连接。如将实时防毒墙、文件动态解压缩、病毒陷阱、宏病毒分析器等功能，组合起来嵌入操作系统，作为操作系统本身的一个“补丁”，与其浑然一体。这种技术可以保证防病毒模块从底层内核与各种操作系统、网络、硬件、应用环境密切协调，确保在发生病毒入侵时，防毒操作不会伤及到操作系统内核，而又能杀灭来犯的病毒。冠群金辰公司出品的 KILL 杀毒软件利用的就是这种技术。

    6. VxD 机制

    VxD 是微软专门为 Windows 制定的设备驱动程序接口规范，是操作系统底层接口技术，专门用于管理系统所加载的各种设备。由于 VxD 程序具有比其它应用程序更高的优先级，而且更靠近系统底层，所以，防病毒产品利用 VxD 机制可以全面彻底地控制系统资源，在病毒入侵之时及时报警，而且 VxD 技术占用系统内存资源很小，对系统几乎没有什么影响，在 Win95 / 98 版本上具有良好的兼容性。

    出于安全性角度设计， Windows 9x 将操作系统分为 Ring 0 和 Ring 3 两个级别，其中 Ring 0属于最底层的系统访问，而常规文件一般都是在 Ring 3 级上进行操作，因此基于 Ring 0级的 VxD 文件监控技术能够在执行、拷贝等文件操作之前得到其控制权，提前对可疑文件进行病毒行为识别，如果是染毒文件，则取得其控制权，在查杀病毒后再将控制权交还给操作系统。

    有些病毒（如 CIH 病毒）本身就是基于 Ring 0 技术，如果防毒产品不处于 Ring 0，就根本无法侦测到这类病毒，即使监测到了，病毒文件也往往已经执行或者已经造成了破坏。所以，利用 VxD 技术的另一个特点——类似 DOS 操作中的中断调用技术，可以在系统内实现“后台驻留”，从而实现对病毒的实时、永久和自动监控。安全之星企业版病毒防火墙就是利用 VxD 技术实现对文件的病毒监控。

    7．网络防毒技术

    网络防毒技术是在原有单机版杀毒软件的基础上发展起来的一种应用于 Intranet 的高效解决方案。企业级用户大多是在网络环境下，如果采用单机版软件，那么全网防毒能力的高低就取决于各节点杀毒软件版本号的统一性，只要有一台计算机还使用未升级的病毒代码，那么病毒的发作将会波及全网。此时，网络版杀毒软件的“全网同步化智能升级”功能就显得格外的重要，这也正是单机版杀毒软件无法实现用户需求的具体体现。

    网络防毒技术的最大优势就在于其网络管理功能，网络管理员可以轻松地在局域网或广域网环境下，远程为客户端安装和设置防病毒软件，在线监控网络中的所有服务器和客户端，自动核对版本，并以自动或手动方式下载和更新病毒代码，自动分发升级程序，进行统一升级，有效管理和保护所有的病毒人口，以实时作业方式扫描所有进出网络的数据，确保网络病毒的实时查杀与防治。

    在网络防毒方面， Symantec 公司、 Trend 公司和 NAI 公司均有比较成熟的技术、方案和应用，市场占有率很高，国内网络版防毒软件的代表——瑞星公司的产品在 For Windows 版本中技术特色也比较鲜明，但其整体技术性能尚有待进一步提高。目前，国土资源部在内网和外网上均使用 Symantec 公司的 NORTON 企业版提供对所有客户端的病毒保护。

    8．网关防毒技术

    网关级防毒是在网关处设防，防止病毒经由 Internet 网关传入内网，或是防止网络内部染毒文件传到其它网络当中。网关防毒技术是目前阻绝计算机病毒，特别是邮件病毒、 FTP 病毒和恶意网页的最佳手段。在病毒被下载并导致损失之前起到隔离和清除作用，并可以过滤内容不当的邮件，避免造成网络带宽的大量消耗。有些防病毒厂商，例如 NAI 公司和 TREND 公司还将网关级防病毒软件与高性能硬件相结合，形成可独立操作、不需人力维护，有更高效能的专用系统——网关防毒墙。

    四、结束语

    从基本机理来看，只要我们使用的计算机还在使用冯 · 诺依曼体系结构，数据和指令从形态上还看不出区别，就无法彻底消灭病毒，也无法杜绝病毒感染。我们所能做的就是尽可能地降低病毒感染的风险。就国土资源部而言，为了确保正在建设中的电子政务工程顺利实施，应当贯彻“层层设防、集中控管、以防为主、防治结合”的防毒策略，通过全方位、多层次的防毒配置，使国土资源部信息网络系统具有强大的抵御各种病毒和恶意程序攻击的能力。