計算機病毒診斷原理 [原文地址]

分類： 電腦知識 | 修改 | 刪除 | 2010-10-05 22:48:31

最近“鴨梨”好大，進來輕松輕松吧～

計算機病毒比較法診斷的原理
比較法是用原始的或正常的與被檢測的進行比較。比較法包括長度比較法、內容比較法、內存比較法、中斷比
較法等。比較時可以靠打印的代碼清單（比如DEBUG的口命令輸出格式）進行比較，或用程序來進行比較（如DOS的
DISKCOMP、COMP或PCTOOLS等其他軟件）。這種比較法不需要專用的查病毒程序，只要用常規(guī)DOS軟件和 PCTOOLS等
工具軟件就可以進行。而且用這種比較法還可以發(fā)現那些尚不能被現有的查病毒程序發(fā)現的計算機病毒。因為病毒
傳播得很快，新病毒層出不窮，由于目前還沒有做出通用的能查出一切病毒，或通過代碼分析，可以判定某個程序
中是否含有病毒的查毒程序，發(fā)現新病毒就只有靠比較法和分析法，有時必須結合這兩者來一同工作。
1．長度比較法及內容比較法
病毒感染系統(tǒng)或文件，必然引起系統(tǒng)或文件的變化，既包括長度的變化，又包括內容的變化。因此，將無毒的
系統(tǒng)或文件與被檢測的系統(tǒng)或文件的長度和內容進行比較，即可發(fā)現病毒。長度比較法和內容比較法就是從長度和
內容兩方面進行比較而得名。
以長度或內容是否變化做為檢測病毒的依據，在許多場合是有效的。但是，眾所周知，現在還沒有一種方法可
以檢測所有的病毒。長度比較法和內容比較法有其局限性，只檢查可疑系統(tǒng)或文件的長度和內容是不充分的。因為：
（1）長度和內容的變化可能是合法的。有些普通的命令可以引起長度和內容變化。
（2）某些病毒感染文件時，宿主文件長度可保持不變。
上述情況下，長度比較法和內容比較法不能區(qū)別程序的正常變化和病毒攻擊引起的變化，不能識別保持宿主程
序長度不變的病毒，無法判定為何種病毒。實踐告訴人們，只靠檢測長度或內容是不充分的，將長度比較法、內容
比較法做為檢測病毒的手段之一，與其他方法配合使用，效果更好。
2．內存比較法
這是一種對內存駐留病毒進行檢測的方法。由于病毒駐留于內存，必須在內存中申請一定的空間，并對該空間
進行占用、保護。因此，通過對內存的檢測，觀察其空間變化，與正常系統(tǒng)內存的占用和空間進行比較，可以判定
是否，有病毒駐留其間。但無法判定為何種病毒。此法對于那些隱蔽型病毒無效。
3．中斷比較法
病毒為實現其隱蔽和傳染破壞之目的，常采用“截留盜用”技術，更改、接管中斷向量，讓系統(tǒng)中斷向量轉向
執(zhí)行病毒控制部分。因此，將正常系統(tǒng)的中斷向量與有毒系統(tǒng)的中斷向量進行比較，可以發(fā)現是否有病毒修改和盜
用中斷向量。
由于高版本的DOS系統(tǒng)在DOS引導之后重新管理一部分BIOS中斷服務程序，即將原中斷向量保存起來，這時；引
導型病毒所修改的中斷向量也同時被保存起來，因而從中斷向量中可能觀察不到引導型病毒對中斷向量的修改。與
PCTOOLS一同提供的MI是一個非常有用的檢測工具，它不僅能夠顯示系統(tǒng)內存大小、內存分配狀況， 而且能夠顯示
出哪個駐留程序占用哪些內存空間、接管哪些中斷向量。用MI軟件可檢測出文件型病毒常駐內存及更改部分中斷向
量的信息。
使用比較法能發(fā)現異常，如文件的長度有變化，或雖然文件長度未發(fā)生變化，但文件內的程序代碼發(fā)生了變化。
對硬盤主引導區(qū)或對DOS的引導扇區(qū)做檢查，比較法能發(fā)現其中的程序代碼是否發(fā)生了變化。由于要進行比較， 保
留好原始備份是非常重要的，制作備份時必須在元計算機病毒的環(huán)境里進行，制作好的備份必須妥善保管，寫好標
簽，貼寫好保護簽。
比較法的好處是簡單、方便，不需專用軟件。缺點是無法確認病毒的種類名稱。另外，造成被檢測程序與原始
備份之間差別的原因尚需進一步驗證，以查明是由于計算機病毒造成的，或是由于DOS數據被偶然原因， 如突然停
電、程序失控、惡意程序等破壞的。這些要用到下面介紹的分析法，查看變化部分代碼的性質，以此來確證是否存
在病毒。另外，當找不到原始備份時，用比較法就不能馬上得到結論。從這里可以看到制作和保留原始主引導扇區(qū)
和其他數據備份的重要性。
計算機病毒校驗和法診斷的原理
將正常文件的內容，計算其校驗和，將該校驗和寫入文件中或寫入別的文件中保存。在文件使用過程中，定期
地或每次使用文件前，檢查文件現在內容算出的校驗和與原來保存的校驗和是否一致，因而可以發(fā)現文件是否感染，
這種方法叫校驗和法，它既可發(fā)現已知病毒又可發(fā)現未知病毒。
這種方法既能發(fā)現已知病毒，也能發(fā)現未知病毒，但是，它不能識別病毒種類，不能報出病毒名稱。由于病毒
感染井非文件內容改變的唯一的排他性原因，文件內容的改變有可能是正常程序引起的，所以校驗和法常常誤報警，
而且此法也會影響文件的運行速度。
病毒感染的確會引起文件內容變化，但是校驗和法對文件內容的變化太敏感，又不能區(qū)分正常程序引起的變動，
而頻繁報警。用監(jiān)視文件的校驗和來檢測病毒，不是最好的方法。這種方法當遇到軟件版本更新、變更口令以及修
改運行參數時都會誤報警。
校驗和法對隱蔽性病毒無效。隱蔽性病毒進駐內存后，會自動剝去染毒程序中的病毒代碼，使校驗和法受騙，
對一個有毒文件算出正常校驗和。
校驗和法的優(yōu)點是：方法簡單、能發(fā)現未知病毒、被查文件的細微變化也能發(fā)現。其缺點是：必須預先記錄正
常態(tài)的校驗和、會誤報警、不能識別病毒名稱、不能對付隱蔽性病毒。
計算機病毒掃描法診斷的原理
掃描法是用每一種病毒體含有的特定字符串對被檢測的對象進行掃描。如果在被檢測對象內部發(fā)現了某一種特
定字符串，就表明發(fā)現了該字符串所代表的病毒。國外管這種按搜索法工作的病毒掃描軟件叫SCANNER。 掃描法包
括特征代碼掃描法、特征字掃描法。
1．特征代碼掃描法
病毒掃描軟件由兩部分組成：一部分是病毒代碼庫，含有經過特別選定的各種計算機病毒的代碼串；另一部分
是利用該代碼庫進行掃描的掃描程序。病毒掃描程序能識別的計算機病毒的數目完全取決于病毒代碼庫內所含病毒
的種類有多少。顯而易見，庫中病毒代碼種類越多，掃描程序能認出的病毒就越多。
病毒代碼串的選擇是非常重要的。選擇代碼串的規(guī)則是：
（1）短小的病毒只有一百多個字節(jié)，病毒代碼長的有上10KB字節(jié)的。 如果隨意從病毒體內選一段作為代表該
病毒的特征代碼串，可能在不同的環(huán)境中，該特征串并不真正具有代表性，不能用于將該串所對應的病毒檢查出來。
選這種串做為病毒代碼庫的特征串就是不合適的。
（2）代碼串不應含有病毒的數據區(qū)，數據區(qū)是會經常變化的。
（3）在保持唯一性的前提下，應盡量使特征代碼長度短些，以減少時間和空間開銷。
（4）代碼串一定要在仔細分析了程序之后才能選出最具代表性的， 足以將該病毒區(qū)別于其他病毒和該病毒的
其他變種的代碼串。
選定好的特征代碼串是很不容易的，是病毒掃描程序的精華所在。一般情況下，代碼串是連續(xù)的若干個字節(jié)組
成的串，但是有些掃描軟件采用的是可變長串，即在串中包含有一個到幾個“模糊”字節(jié)。掃描軟件遇到這種串時，
只要除“模糊”字節(jié)之外的字串都能完好匹配，則也能判別出病毒。 例如給定特征串：“E9 7C 00 10 ? 37 CB”
則“E9 7C 00 10 27 37 CB”和“E9 7C 00 10 9C 37 CB”都能被識別出來，又例如：
“E9 7C 37 CB”可以匹配“E9 7C 00 37 CB”，“E9 7C 00 11 37 CB”和“E9 7C 00 11 22 37 CB”。 但不
匹配“E9 7C 00 11 22 33 44 37 CB”，因為7C和37之間的子串已超過4個字節(jié)。
（5）特征串必須能將病毒與正常的非病毒程序區(qū)分開。不然將非病毒程序當成病毒報告給用戶， 是假警報，
這種“狼來了”的假警報大多了，就會使用戶放松警惕，等真的病毒一來，破壞就嚴重了；再就是若將這假警報送
給清病毒程序，會將好程序給“殺死”了。
使用特征串的掃描法被查病毒軟件廣泛應用著。其優(yōu)點是：
（1）當特征串選擇得很好時，病毒檢測軟件讓計算機用戶使用起來很方便快速， 對病毒了解不多的人也能用
它來發(fā)現病毒。
（2）不用專門軟件，用PCTOOLS等軟件也能用特征串掃描法去檢測特定病毒。
（3）可識別病毒的名稱。
（4）誤報警率低。
（5）依據檢測結果，可做殺毒處理。
這種掃描法的缺點也是明顯的。
（1）當被掃描的文件很長時，掃描所花時間也越多；
（2）不容易選出合適的特征串，例如SCAN.EXE時常會發(fā)出假警報。
（3）新病毒的特征串未加入病毒代碼庫時，老版本的掃毒程序無法識別出新病毒。
（4）懷有惡意的計算機病毒制造者得到代碼庫后，會很容易地改變病毒體內的代碼，生成一個新的變種， 使
掃描程序失去檢測它的能力。
（5）容易產生誤警報，只要在正常程序內帶有某種病毒的特征串，即使該代碼段已不可能被執(zhí)行， 而只是被
殺死的病毒體殘余，掃描程序仍會報警。老版本CPAV對硬盤主引導區(qū)內未被清除干凈、已失去作用的香港病毒發(fā)出
假警報就是一個例子。
（6）不易識別Mutation Engine類病毒。
（7）搜集已知病毒的特征代碼，費用開銷大。
（8）在網絡上使用效率低。
不管怎樣，基于特征串的計算機病毒掃描法仍是今天用得最為普遍的查病毒方法。
2．特征字掃描法
計算機病毒特征字掃描法是基于特征串掃描法發(fā)展起來的一種新方法。它工作起來速度更快、誤報警更少，但
特征代碼掃描法所具有的（2）、（3）、（4）項缺點特征字掃描法也仍然存在。 特征字掃描只需從病毒體內抽取
很少幾、個關鍵的特征字，組成特征字庫。由于需要處理的字節(jié)很少，而又不必進行串匹配，大大加快了識別速度，
當被處理的程序很大時表現更突出。類似于檢測生物病毒的生物活性，特征字識別法更注意計算機病毒的“程序活
性”，減少了錯報的可能性。
使用基于特征串掃描法的查病毒軟件方法與使用基于特征字掃描法的查病毒軟件方法是一樣的。只要運行查毒
程序，就能將已知的病毒檢查出來。將這兩種方法應用到實際中，都需要不斷地對病毒庫進行擴充，一捕捉到病毒，
經過提取特征并加入到病毒庫，就能使查病毒程序多檢查出一種新病毒來。使用檢查病毒程序的人不需要關于病毒
大多的知識，但病毒代碼庫的維護更新人員，即反病毒技術人員則需要具備相當多的關于病毒和DOS以及 PC機的知
識。提取病毒特征串或特征字時，需要足夠的有關知識，要用到檢測計算機病毒的第七種技術—分析法。
計算機病毒行為監(jiān)測法診斷的原理
利用病毒的特有行為特性，監(jiān)測病毒的方法，稱力行為監(jiān)測法。
通過對病毒多年的觀察、研究，人們發(fā)現病毒有一些行為，是病毒的共同行為，而且比較特殊。在正常程序中，
這些行為比較罕見。當程序運行時，監(jiān)視其行為，如果發(fā)現了病毒行為，立即報警。
這些做為監(jiān)測病毒的行為特征可列舉如下：
1．占用INT13H
所有的引導型病毒都攻擊BOOT扇區(qū)或主引導扇區(qū)。系統(tǒng)啟動時，當BOOT扇區(qū)或主引導扇區(qū)獲得執(zhí)行權時，系統(tǒng)
就開始工作。一般引導型病毒都會占用INT 13H功能，因為其他系統(tǒng)功能還未設置好，無法利用。引導型病毒占據I
NT 13H功能，在其中放置病毒所需的代碼。
2．修改DOS系統(tǒng)數據區(qū)的內存總量
病毒常駐內存后，為了防止DOS系統(tǒng)將其覆蓋，必須修改內存總量。
3．對COM和EXE文件做寫入動作
病毒要感染，必須寫COM和EXE文件。
4．病毒程序與宿主程序的切換
染毒程序運行時，先運行病毒，而后執(zhí)行宿主程序。在兩者切換時，有許多特征行為。
行為監(jiān)測法的長處在于不僅可以發(fā)現已知病毒，而且可以相當準確地預報未知的多數病毒。但行為監(jiān)測法也有
其短處，即可能誤報警和不能識別病毒名稱，而且實現起來有一定難度。
計算機病毒行為感染實驗法診斷的原理
感染實驗是一種簡單實用的檢測病毒方法。由于病毒檢測工具落后于病毒的發(fā)展，當病毒檢測工具不能發(fā)現病
毒時，如果不會用感染實驗法，便束手無策。如果會用感染實驗法，可以檢測出病毒檢測工具不認識的新病毒，可
以擺脫對病毒檢測工具的依賴，自主地檢測可疑新病毒。
這種方法的原理是利用了病毒的最重要的基本特征：感染特性。所有的病毒都會進行感染，如果不會感染，就
不稱其為病毒。如果系統(tǒng)中有異常行為，最新版的檢測工具也查不出病毒時，就可以做感染實驗，運行可疑系統(tǒng)中
的程序后，再運行一些確切知道不帶毒的正常程序，然后觀察這些正常程序的長度和校驗和，如果發(fā)現有的程序增
長，或者校驗和變化，就可斷言系統(tǒng)中有病毒。
1．檢測未知引導型病毒的感染實驗法
（1）先用一張軟盤，做一個清潔無毒的系統(tǒng)盤，用DEBUG程序，讀該盤的BOOT扇區(qū)進入內存，計算其校驗和，
并記住此值。同時把正常的BOOT扇區(qū)保存到一個文件中。上述操作必須保證系統(tǒng)環(huán)境是清潔無毒的。
（2）在這張實驗盤上拷貝一些元毒的系統(tǒng)應用程序。
（3）啟動可疑系統(tǒng)，將實驗盤插入可疑系統(tǒng)，運行實驗盤上的程序，重復一定次數。
（4）再在干凈無毒機器上，檢查實驗盤的BOOT扇區(qū)，可與原BOOT扇區(qū)內容比較， 如果實驗盤BOOT扇區(qū)內容已
改變，可以斷定可疑系統(tǒng)中有引導型病毒。
隨意，在（3）中，不可執(zhí)行有可能重寫B(tài)OOT扇區(qū)的程序，例如SYS.COM、FORMAT.COM等。
2．檢測未知文件型病毒的感染實驗法
（1）在干凈系統(tǒng)中制作一張實驗盤，上面存放一些應用程序，這些程序應保證無毒，應選擇長度不同， 類型
不同的文件（既有COM型又有EXE型）。記住這些文件正常狀態(tài)的長度和校驗和。
（2）在實驗盤上制作一個批處理文件，使盤中程序在循環(huán)中輪流被執(zhí)行數次。
（3）將實驗盤插入可疑系統(tǒng)，執(zhí)行批處理文件，多次執(zhí)行盤中程序。
（4）將實驗盤放人干凈系統(tǒng)，檢查盤中文件的長度和校驗和，如果文件長度增加，或者校驗和變化（ 在零長
度感染和破壞性感染場合下，長度一般不會變，但校驗和會變。），則可斷定可疑系統(tǒng)中有病毒。
計算機病毒行為軟件模擬法診斷的原理
多態(tài)性病毒每次感染都變化其病毒密碼，對付這種病毒，特征代碼法失效。因為多態(tài)性病毒代碼實施密碼化，
而且每次所用密鑰不同，把染毒文件中的病毒代碼相互比較，也無法找出相同的可能做為特征的穩(wěn)定代碼。雖然行
為檢測法可以檢測多態(tài)性病毒，但是在檢測出病毒后，無法做消毒處理，因為不知病毒的種類，難于做消毒處理。
為了檢測多態(tài)性病毒，現已研制了新的檢測法—軟件模擬法。它是一種軟件分析器，用軟件方法來模擬和分析
程序的運行。
新型檢測工具納入了軟件模擬法，該類工具開始運行時，使用特征代碼法檢測病毒，如果發(fā)現隱蔽性病毒或多
態(tài)性病毒嫌疑時，啟動軟件模擬模塊，監(jiān)視病毒的運行，待病毒自身的密碼譯碼以后，再運用特征代碼法來識別病
毒的種類。
計算機病毒分析法診斷的原理
一般使用分析法的人不是普通用戶，而是反病毒技術人員。使用分析法的目的在于：
1．確認被觀察的磁盤引導區(qū)和程序中是否含有病毒。
2．確認病毒的類型和種類，判定其是否是一種新病毒一
3．搞清楚病毒體的大致結構，提取特征識別用的字符串或特征字， 用于增添到病毒代碼庫供病毒掃描和識別
程序用。
4．詳細分析病毒代碼，為制定相應的反病毒措施制定方案。
上述四個目的按順序排列起來，正好大致是使用分析法的工作順序。使用分析法要求具有比較全面的有關PC機、
DOS結構和功能調用以及關于病毒方面的各種知識。
要使用分析法檢測病毒，其條件除了要具有相關的知識外，還需要DEBUG、PROVIEW等分析用工具程序和專用的
試驗用計算機。因為即使是很熟練的反病毒技術人員，使用性能完善的分析軟件，也不能保證在短時間內將病毒代
碼完全分析清楚。而病毒有可能在被分析階段繼續(xù)傳染甚至發(fā)作，把軟盤硬盤內的數據完全毀壞掉，這就要求分析
工作必須在專門設立的試驗用PC機上進行，不怕其中的數據被破壞。在不具備條件的情況下，不要輕易開始分析工
作，很多計算機病毒采用了自加密、抗跟蹤等技術，使得分析病毒的工作經常是冗長和枯燥的。特別是某些文件型
病毒的代碼可達10KB以上，與系統(tǒng)的牽扯層次很深，使詳細的剖析工作十分復雜。
病毒檢測的分析法是反病毒工作中不可或缺的重要技術，任何一個性能優(yōu)良的反病毒系統(tǒng)的研制和開發(fā)都離不
開專門人員對各種病毒的詳盡而認真的分析。
分析的步驟分為動態(tài)和靜態(tài)兩種。 靜態(tài)分析是指利用DEBUG等反匯編程序將病毒代碼打印成反匯編后的程序清
單進行分析，看病毒分成哪些模塊，使用了哪些系統(tǒng)調用，采用了哪些技巧，如何將病毒感染文件的過程翻轉為清
除病毒、修復文件的過程，哪些代碼可被用做特征碼以及如何防御這種病毒。分析人員具有的素質越高，分析過程
越快，理解越深。動態(tài)分析則是指利用DEBUG等程序調試工具在內存帶毒的情況下，對病毒做動態(tài)跟蹤， 觀察病毒
的具體工作過程，以進一步在靜態(tài)分析的基礎上理解病毒工作的原理。在病毒編碼比較簡單的情況下，動態(tài)分析不
是必須的。但當病毒采用了較多的技術手段時，必須使用動、靜相結合的分析方法才能完成整個分析過程。例如F_
lip病毒采用隨機加密，利用對病毒解密程序的動態(tài)分析才能完成解密工作，從而進行下一步的靜態(tài)分析。
從上面的討論可以看出：
1．利用原始備份和被檢測程序相比較的方法適合于不需專用軟件，可以發(fā)現異常情況的場合， 是一種簡單的
基本的病毒檢測方法；
2．掃描特征串和識別特征字的方法適用于制作成查病毒軟件的方式供廣大PC機用戶使用，方便而又迅速， 但
對新出現的病毒會出現漏檢的情況，需要與分析和比較法相結合。
分析病毒的方法主要是由專業(yè)人員識別病毒，研制反病毒系統(tǒng)時使用，要求較多的專業(yè)知識，是反病毒研究不
可缺少的方法。