（计算机软件与理论专业论文）基于corba的网络分布式反病毒技术的研究与实现.pdf

摘要 论文从计算机病毒技术与反病毒技术的产生背景开始分析，对未来病毒技术的发展做了 一定分析，重点分析了手持设备将会产生病毒的必然性。从企业级网络安全需求着手，得出 企业反病毒的需求分析。企业级网络对反病毒的需求更为强烈，本文给出了种网络分布式 反病毒的解决方案，并对其中的技术难点给以分析，漏洞管理是网络分布式反病毒解决方案 中的重点，本文也对漏洞扫描技术进行技术分析。 企业网络需要对整个网络的病毒进行监控，并对病毒信息进行统计，并及时的对病毒库 进行升级，时间要求更为紧迫，快速的分发漏洞补丁，分发客户端安装，涉及到大量的网络 操作。而对于开发者来说，选择一种适应性强的分布式解决方案对开发者而言，不仅软件开 发的成功率增大。关键是可以把精力集中在具体业务上，而不用过多的去关心网络细节，而 且系统稳定性适应性都较强。 将传统的查杀病毒和漏洞扫描结合起来，建立整体的防御系统，对网内的所有计算机的 系统漏洞信息进行集中管理，统一由系统中心来下达命令进行漏洞扫描，并由系统中心来管 理所有的补丁程序，通知相关客户端安装相应补丁程序。整体上可以提高所有计算机的主动 防御能力。 作者在论文中给出了一种分布式反病毒的安全解决方案，对其中的关键技术进行分析， 所做工作与创新之处如下： 1 采用c o r b a 技术构建一种高效健壮的分布式系统。利用c o r b a 与具体网络 协议无关，与具体语言，具体操作系统无关的特性来得到整个系统良好的适应 性和稳定性。 2 危害最大的病毒，并且技术含量最高的病毒是w m d o w sp e 病毒，本文仔细分 析了w i n d o w sp e 病毒的关键技术，并根据w i n d o w sp e 病毒的特点给出了如何 查杀w 抽d o w s p e 病毒。 3 面对日益泛滥的脚本病毒，本文详细分析了脚本病毒的运行原理和具体实现， 根据目前网络上流行的脚本病毒源代码来分析脚本病毒如何编写，并根据脚本 病毒的特性，给出来如何查杀脚本病毒。 4 特洛伊木马本质上是服务端，客户端模式的普通程序，而它的特殊之处在于它能 自动隐藏自己，本文对特洛伊木马是如何隐藏的关键技术进行分析。 5 采用一种多模块的c s 结构来作为整个分布式系统的数据和命令维护中心完 全采用c o r b a 来实现所有服务，首先提高了程序稳定性，同时提高了工作效 率，不再面对底层繁杂的网络操作。并且采用一种广播的方式来自动完成客户 端对系统中心的注册工作，使整个系统更方便用户使用。 6 利用w i n d o w s 服务程序能启动远程本地程序，实现了一种有较大实用价值的零 操作远程安装程序在不需要客户端用户任何操作的情况下，由服务器可以为 所有客户端安装程序井进行大量本地操作。 7 作者的上述部分工作在参与瑞星科技股份有限公司的网络版杀毒软件中已经实 现，并应用于我国多个省份的公安机关和政府机关，文章还在最后给出了瑞星 杀毒软件的全防卫解决方案介绍。 关键词：计算机病毒，反病毒网络安全，p e 病毒，脚本病毒，c o r b a ，立体防御系统 中图分类号：t p 3 0 9 5 d a b s t r a c t i n t h ep a p e r , a u t h o ra n a l y s e st h eb i r t hb a c k g r o u n do ft h ec o m p u t e rv i r u s t e c h n i q u ea n da n t i v i r u st e c h n i q u e a n da n a l y s e ss o m ev i r u st e c h n i q u ei nt h ef u t u r e i t p r i m a r ya n a l y s e st h ei n e v i t a b i l i t yo fb i r t hc o m p u t e rv i r u si nt h ep d a t h r o u g h a n a l y s e se n t e r p r i s e s n e t w o r k s e c u r i t y , i tg a i n s t h ee n t e r p r i s e s r e q u i r e m e n t e n t e r p r i s e n e t w o r kh a v ea n t i v i r u sr e q u i r em o r ei n t e n s i v e l y t i l i sp a d e rg i v e sak i n d o f s o l u t i o n a n dp r i m a r ya n a l y s e sa n yt e c h n i c a ld i 珩c u l t i e s b o r uf r o mt h ef i r s tc o m p u t e rv i r u so f t h ee i 皿1 t i e so f1 a s tc e n t u r ys of a r c o m p u t e r v i r u sd a m a g e dl a r g en u m b e r so fc o m p u t e ru s e r o nt l l eo 也e rh a n d ，c o m p u t e rv i m s t e c h n i q u ed e v e l o p sc o n s t a n t l ya c c e l e r a t e dt h ea n t i - v i r u st e c h n i q u ee x t e r n a l a i lk i n d s o fc o m p u t e rv i r u st e c h n i q u ei sd i f f e ri nt h o u s a n d sw a y s b u to n l yh a dt w op o i n t s w h i c hi sc o m p u t e rv i r u s ：i n f e c t i v i t ya n dd u p l i c a t i n go n e s e l f t h ep u r p o s eo fs t l l d y v i r u st e c h n i q u ei sc o n f r o n t e dv i r u s t h e r ei saf a c tt h a tt h ea n t i v i r u st e c h n i q u ei si n t h eb e h i n do fv i r u st e c h n i q u e b e c a u s eo fa n t i v i r u st e c h n i q u e t h ev i r u st e c h n i q u e s d e v e l o p m e n tw a sa c c e l e r a t e d m o r ea n dm o r ew i n d o w sv i r u su t i l i z e ss y s t e m a t i c1 e a kt os p r e a da n dd e s t r o y i ti s af u c a lp o i n ti nad i s t r i b u t e da n t i v i r u ss o l u t i o no fan e t w o r kt h a tl e a ki sm a n a g e d , t h i s t e x tc a r r i e so nt e c h n o l o 西c a la n a l y s i st ol e a ks c a n n i n gt o o e n t e r p r i s e sn e t w o r kn e e d st oc o n t r o lt h ev i n l so ft h ew h o l en e t w o r k , a n dc o u n t v i r u si n f o r m a t i o n ，a n du p g r a d i n gt ot h ev i r u ss t o r e h o u s ei nt i m e ，t i m er e q u i r e sm o r e u r g e n t , f a s td i s t r i b u t i o nl o o p h o l ep a t c h 。d i s t r i b u t ec u s t o m e re n di n s t a l l a t i o n ，i n v o l v ea l a r g en u m b e ro fn e t w o r ko p e r a t i o n t ot h ed e v e l o p e r , c h o o s eak i n do fd i s t r i b u t e d s o l u t i o nh a v i n gag o o da d a p t a b i l i t yf o rd e v e l o p e r , n o to n l yt h es u c c e s sr a t eo f s o f t w a r ed e v e l o p m e n ti n c r e a s e sb u ta l s ot h ed e v e l o p e rb ea b l et oc o n c e n t r a t eo n c o n c r e t eb u s i n e s s a n di tn e e d n tg ot oc a r ea b o u tt h ed e t a i lo f t h en e t w o r kt o om a n y ， a n ds y s t e m a t i cs t a b i l i t ya d a p t a b i l i t yi sa l lr e l a t i v e l ys t r o n g c o m b i n et h et r a d i t i o n a lv i r u ss c a nt ol e a ks c a n e s t a b l i s ht h ew h o l er e c o v e r y s y s t e r n m a n a g ea l lt h el e a ki n f o r m a t i o no ft h ew h o l en e t w o r k t h ec e n t e l c a l l 也e c l i e n tt os c a nl e a ka n dm a n a g ea l ll e a kp a t c h c e n t e rn o t i f yc o r r e s p o n d i n gc l i e n t i n s t a l ll e a kp a t c hp r o g r a m i tc a ni m p r o v et h ei n i t i a t i v ed e f e n c ec a p a b i f i t yo fa l l c o m p u t e r so nt h ew h o l e e n t e r p r i s en e t w o r ks e c u r i t yi sm u l t i l e v e l e s t a b l i s ha l l - a s p e c tn e t w o r ks e c u r i t y s o l u t i o na n ds o l i dd e f o n c es y s t e mt h a ti sad e v e l o p m e n td i r e c t i o ni nt h ef u t u r e i nt 1 1 ep a p e r , a u t h o rp r o v i d e dak i n do fd i s t r i b u t e da n t i v i i l l ss o l u t i o n a n di th a d a n a l y s e dt h ek e yt e c h n o l o g y a u t h o r sj o b sa n di a n o v a t i o n sa sf c i l l o w s ： 1 i tu s e dc o r b at e c h n o l o g yt ob u i l dak i n do fh i g h - e f f i c i e n ta n ds t a l w a r t d i s t r i b u t e ds y s t e m c o r b ai sl a n g u a g e i n d e p e n d e n c e ，p l a t f o r m i n d e p e n d e n c e a n do s i n d e p e n d e n c e s ot h ew h o l es y s t e mh a dw e l la d a p t a b i l i t y 2 t h em o s th a r m f u lv i r u si sp ev i r u s a n di t st e c h n o l o g yi sa d v a n c e d t h e p a p e ra n a l y s ec a r e f u l l yi t sk e yt e c h n o l o g y i tp r o v i d e dp ev i r u s sm e c h a n i s mo f i n f e c t i o n a n di ta n a l y s e dt h ev i r u sh o wt og a i nt h es y s t e r nc o n t r o lr i g h t ，h o wt o a u t oe x e c u t ei t s e l p r o v i d ea c c o r d i n gt oc h a r a c t e r i s t i co fw i n d o w sp ev i r u sh o w a b o u tc o n s u l tt oa b a t ew i n d o w sp ev i r u s 5 3 f a c et h em o r ea n dm o r es c r i p tv i r u st h ep a p e ra n a l y s e dc a r e f u l l yt h es c r i p t v i r u s sm e c h a n i s mo fi n f e c t i o na n dr e a l i z e a n a l y s ea c c o r d i n gt ot l l es c r i p tv i m s s o u r c ec o d ep r e v a i l i n go nt h ei n t e m e ta tp r e s e n th o wt ow r i t et h ev i r u so ft l l e s c r i p t ，a n da c c o r d i n gt ot h ec h a r a c t e r i s t i eo ft h ev i i b so ft h es e r i p t ，g i v eh o wt o c h e c kt h a tk i u 血ev i r u so f t h es e r i p t 4 i nf a c tt h et r o j a nh o r s ei sak i n do fc l i e n t s e r v e ra p p l i c a t i o np r o g r a m b u t i t ss p e c i a l t yi sh i d d e ni t s e l fa u t o m a t i c a l l y i nt h ep a p e ra u t h o ra n a l y s e dt h ek e y t e c h n o l o g yo f t h et r o j a nh o w t oh i d d e ni t s e l f a u t h o rp r o v i d e dt h er e a l i z ew a yo f r e m o t et h r e a dt e c h n o l o g yo fd l lt r o j a n a to n et i m ei tg i v eam e t h o dh o wt o k e e pa w a y i t 5 u s eam u l t i m o d u l es y s t e mc e n t e rt oc r e a t et h ew h o l ed i s t r i b u t e ds y s t e m u s ec o r b a t e c h n o l o g yr e a l i z ea l ls e r v i c e f i r s t l y , i tc a ni n c r e a s et h es t a b i l i t yo f a p p l i c a t i o np r o g r a m s e c o n d l y , i n c r e a s et h ew o r ke f f i c i e n c y d o n t c a r et h e c o m p l i c a t e dn e t w o r ko p e r a t o r a n di tu s eab r o a d e a s tm e t h o dt oc o m p l e t eu s e r s r e g i s t e r , s oa l ls y s t e mh a v ee a s yo p e r a t i o n 6 t h en t i s e r v i c ec a nr u nt l l ea p p l i c a t i o np r o g r a mi nr e m o t e i tr e a l i z e daz e r o o p e r a t i o nr e m o t ei n s t a l lp r o g r a m i th a dg o o da p p l i e dv a l u e i tc a ni n s t a l la l l c l i e n ts o f t w a r ei nn e t w o r kb u ln e e d n tc h e n th a da n yo p e r a t i o n 7 a u t h o r s j o bh a db e e nr e a l i z e di n j o i nt h er i s i n gl t d c o m p a n y sp r o j e c t a n d a p p l i e di np o l i c ea n da r m yo fs o m ec l l i n e s ep r o v i n c e s k e y w o r d ：v i r u sa n t i v i r u sn e t w o r k s e c u r i t yw i n d o w sp es c r i p t v i r u sc o r b a w h o l er e c o v e r ys y s t e m 6 第一章病毒技术及反病毒技术的背景及发展现况 1 1 计算机病毒技术的产生，及其原理 计算机病毒不是天然存在的，是某些人利用计算机软，硬件的固有脆弱性而编制的具有 破坏功能的程序。计算机病毒能通过某种途径潜伏在计算机存储介质里面，当达到某种条件 时即被激活，它用修改其他程序的方法将自己精确拷贝或者演化的形式放入其他程序中，从 而感染他们，计算机病毒就是这样一种对计算机资源进行破坏的这样一组程序或者指令集 合。( d a v i dh a r l e y ，2 0 0 2 ) 病毒的特征： 未经授权而执行：一般正常的程序是由用户调用，再由系统分配资源，完成用户交给的 任务。其目的对用户是可见的、透明的。而病毒具有正常程序的一切特性，它隐藏在正常程 序中，当用户调用正常程序时窃取到系统的控制权，先于正常程序执行，病毒的动作、目的 对用户时未知的，是未经用户允许的。 传染性：正常的计算机程序一般是不会将自身的代码强行连接到其它程序之上的。而病 毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒 可通过各种可能的渠道，如软盘、计算机网络去传染其它的计算机。当你在一台机器上发现 了病毒时。往往曾在这台计算机上用过的软盘已感染上了病毒，而与这台机器相联网的其它 计算机也许也被该病毒侵染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重 要条件。 隐蔽性：病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘 代码分析，病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下，计算 机病毒程序取得系统控制权后，可以在很短的时间里传染大量程序。而且受到传染后，计算 机系统通常仍能正常运行，使用户不会感到任何异常。试想，如果病毒在传染到计算机上之 后，机器马上无法正常运行，那么它本身便无法继续进行传染了。正是由于隐蔽性，计算机 病毒得以在用户没有察觉的情况下扩散到上百万台计算机中。大部分的病毒的代码之所以设 计得非常短小。也是为了隐藏。病毒一般只有几百或l k 字节。 潜伏性：大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有 在满足其特定条件时才启动其表现( 破坏) 模块。只有这样它才可进行广泛地传播。这些病 毒在平时会隐藏得很好，只有在发作日才会露出本来面目。 破坏性：任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。轻病毒 与恶性病毒。良一l 生病毒可能只显示些画面或出点音乐、无聊的语句。或者根本没有任何破坏 动作，但会占用系统资源。这类病毒较多，恶性病毒则有明确得目的，或破坏数据、删除文 件或加密磁盘、格式化磁盘有的对数据造成不可挽回的破坏。这也反映出病毒编制者的险 恶用心。 不可预见性：从对病毒的检测方面来看，病毒还有不可预见性。不同种类的病毒，它们 的代码千差万别，但有些操作是共有的( 如驻内存，改中断) 。有些人利用病毒的这种共性， 制作了声称可查所有病毒的程序。这种程序的确可查出一些新病毒，但由于目前的软件种类 极其丰富，且某些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术。使用这种 方法对病毒进行检测势必会造成较多的误报情况。而且病毒的制作技术也在不断的提高，病 毒对反病毒软件永远是超前的。 1 2 反病毒技术的来源，背景及其原理 反病毒技术是在与计算机病毒斗争的过程中，逐步发展起来的。随着病毒技术的进步， 面对大数量，高品质病毒大潮，某些反病毒技术已经不能完全适应病毒技术的发展。在病毒 与反病毒技术对抗中，病毒技术是主动的，进攻的一方：反病毒技术属于被动，防卫的地位， 总体上来说，计算机反病毒技术总是滞后于病毒技术的发展。病毒技术的进步，对反病毒技 术提出了更高的要求。( 张又生，2 0 0 3 ) 反病毒的主要任务就是防止病毒对系统的破坏，并 且在事后进行抢救，尽量减小用户的损失。反病毒和病毒一样，都依赖于对计算机软硬件技 术的详细了解，反病毒与病毒的对抗实际上是两种技术作者的智力对抗。 1 3 计算机病毒技术和反病毒技术的相互影响 反病毒技术必须对病毒技术的发展有相应的对策，双方的对抗才能继续下去。反病毒技 术是因为病毒技术而产生的。计算机的广泛传播，推动了计算机病毒技术的发展，新的反病 毒技术的出现。又迫使计算机病毒再更新其技术。两者相互激励，螺旋上升地不断提高各自 的水平，在此过程中涌现出许多计算机病毒新技术和反病毒新技术。 1 4 计算机病毒技术与反病毒技术发展趋势 1 4 1 ：目的性、网络性将是病毒编写的主要逻辑 2 0 0 4 年中国上网用户已达8 0 0 0 万，如此之大的上网群体将会吸引更多的病毒作者放弃 传统的病毒编写模式，转而编写具有网络特性的病毒，这种情况会使明年的网络病毒大量增 加。网络的发展会使网站浏览、邮件、即时通讯、电子商务、网上银行等与网络有关的服务 得到全面的发展，人们将会更加频繁地使用网络，更加依赖网络，这些情况会使带有目的性 的病毒大量增加。典型例子是前一段时间发作的震荡波病毒。 1 4 2 ：从操作系统上来说，手持设备上病毒出现的必然性 现在的高端手机，p d a 掌上电脑都有相当的计算机能力，理论上病毒是完全可能在其上 发作的，目前市场上流行的手持设备主要有两种，一种是使用微软的w i n c e 操作系统的掌上 电脑。微软为了使w i n c e 操作系统支持第三方的应用程序开发，提供了一整套的开发平台和 文档。它的开发平台是v i s u a ls t u d i o 的一个插件，中包括w i n c e 的s d e 和m f c 类库以及 一个仿真器，将其安装好后可以使用v i s u a lc + + 或v i s u a lb a s i c 进行开发，这些都使得开 发w i n c e 的应用程序就像开发p c 的应用程序一样简单快捷甚至比p c 的应用程序还简单。另 外一种类型的手持设备为3 c o m 公司生产的p a l m 掌上电脑，它也支持第三方的应用程序开发。 3 c o m 公司也提供了一整套的开发平台，s d k 和文档。p a l m 的应用程序可以在w i n d o w s9 x 下， d o s 下及l i n i j x 下进行开发。在w i n d o w s9 x 下使用的开发工具为c o d e w a r r i o r 它是一个可 视化的开发工，使用的语言为c c + + 。在d o s ，l i n u x 下可以使用c c + + 和j a v a 进行开发。 通过以上可以看出掌上电脑已经有了比较成熟的开发工具，既然可以开发应用程序，那就有 可能有人会利用如此成熟的工具开发病毒。 手持设备病毒传播的可能性： 现在，在互联网上可以下载很多程序开发爱好者开发的基于掌上电脑的应用程序和游 戏，其中不可避免的有病毒的存在。而且掌上电脑可以通过r s 2 3 2 ，u s b 和红外线与其他电 脑互联，进行数据的交换。掌上电脑还可以用笔记本电脑的网卡直接登陆互联网进行w w w 方式的浏览，收发电子邮件。另外就是掌上电脑也自持应用程序对文件的读写，有了文件的 读写操作病毒就会肆无忌惮的去感染其它文件。以上这些都是病毒传播的重要途径。 手持设备病毒生存可能性分析：在掌上电脑上存在执行文件，尤其是在w i n c e 中还有类 似w i n d o w s 下的w o r d 文件和e x c l e 文件这些都是病毒生存及隐藏的基本保障。综上所述， 掌上电脑病毒的出现是必然的，现在据说国外已经出现了掌上电脑的病毒。在国内，掌上电 脑病毒没有泛滥的原因是掌上电脑在国内刚刚兴起，有很多人对他还不算了解，所以在掌上 电脑方面的程序设计人员很少。 1 4 3 ：未来病毒的发展趋势： ( i ) 无国界：利用i n t e r n e t 传播，利用e m a i l ，网页传播，传播空间已经大大延伸。 ( 2 ) 多样化：随着计算机技术的发展和软件的多样性，病毒的种类也呈现多样化发展， 普通文件型病毒，宏病毒，脚本病毒等等。 ( 3 ) 利用计算机本身的漏洞：w i n d o w s 操作系统具有最大的普遍性，因此w i n d o w s 操 作系统本身的一些漏洞会被病毒利用，病毒获得较高权限后便可肆无忌惮。今年出现的震荡 波就是其中的典型例子。 ( 4 ) 网络性更强：随着计算机网络的普遍使用，几乎所有的现代的病毒都在利用网络 来传播，自动传播e m a i l ，网络发包阻碍网络信道，向共享文件夹传播，局域网内的安全漏 洞等等，传染性更强。 ( 5 ) 更加隐蔽：利用系统级编程技术，隐藏自身，或者采取各种手段来欺骗用户；或 者将自身写入文件内部，而文件长度不会发生变化：嵌入d l l 等。 病毒技术和反病毒技术相互促进，叉相互对抗。螺旋式上升地不断提高各自的水平，在 此过程中将会涌现出越来越多的计算机病毒和反病毒技术，客观上对推动计算机技术的发展 有积极意义。 1 4 4 ：反病毒技术的发展趋势 目前的大多数杀病毒软件采用的方法主要是特征码查毒方案与人工解毒并行，亦即在查 病毒时采用特征码查毒，在杀病毒时采用人工编制解毒代码。 虚拟机技术的主要作用是能够运行一定规则的描述语言。由于病毒的最终判定准则是其 复制传染性，而这个标准是不易被使用和实现的。如果病毒已经传染了才判定是它是病毒， 定会给病毒的清除带来麻烦。 客观地说，在各类病毒检查方法中，特征值方法是适用范围最宽、速度最快、最简单、 最有效的方法。但由于其本身的缺陷问题，它只适用于已知病毒，对于未知病毒，如果能够 让病毒在控制下先运行一段时间，让其自己还原，那么，问题就会相对明了。可以说虚拟 机是这种情况下的最佳选择。 虚拟机在反病毒软件中应用范围广，并成为目前反病毒软件的一个趋势。一个比较完整 的虚拟机不仅能够识别新的未知病毒，而且能够清除未知病毒。 目前虚拟机的处理对象主要是文件型p e 病毒。对于引导型病毒、w o r d e x c e l 宏病毒、 木马程序在理论上都是可以通过虚拟机来处理的，但目前的实现水平仍相距甚远。就像病毒 编码变形使得传统特征值方法失效一样，针对虚拟机的新病毒可以轻易使得虚拟机失效。虽 然虚拟机也会在实践中不断得到发展。但是，p c 的计算能力有限反病毒软件的制造成本 也有限，而病毒的发展可以说是无限的。让虚拟技术获得更加实际的功效，甚至要以此为基 础来清除未知病毒，其难度相当大。但虚拟机仍然是反病毒技术未来的主要发展方向，p c 的运算能力不断增强，众多反病毒厂商不遗余力，一定会迎来实用的一天。 9 第二章企业级网络反病毒方案的体系结构 2 1 企业级网络安全需求分析 互联网近年来迅速普及，在为人们工作带来便利的同时，伴随着的是日趋严重的网络 安全问题。作为企业级网络，既要访问i n t e r a c t 的共享信息资源，又要把i n t r a n e t 的一部分 信息对外提供服务，在大量资源的共享的同时也带来了安全问题；而作为企业内部网，事关 很多机密文件、敏感信息，网络的安全性更为重要。从某种意义上说，企业内部网络的信息 安全也涉及到个人与集体利益、社会稳定和国家的安全等重要问题。如何保护网络的信息安 全，防范来自外部网络的黑客和非法入侵者的攻击，建立起强健的网络信息安全防范系统，是 摆在网络管理人员面前的严峻问题。 在当前复杂的网络应用环境下，任何单一的产品都无法不足以保障用户网络系统、信息 资源的安全。据美国金融时报报道，现在平均每1 0 秒就发生一次病毒入侵计算机网络 的事件，超过1 3 的互联网防火墙被攻破。另据美国联邦调查局( f b i ) 和计算机安全机构 ( c s i ) 的计算机犯罪和安全的4 月7 日公布的最新统计结果，美国企业和政府机构因重要 信息被窃所造成的损失超过其它对计算机系统攻击所造成的损失。 2 2 企业级网络反病毒方案需求分析 企业信息系统管理者在选择反病毒解决方案时，首先要考虑到解决方案的整体性。企业 级反病毒解决方案针对一个特定的网络环境，涉及不同的软硬件设备。与此同时，病毒的来 源也远比单机环境复杂得多。具体来说，企业管理者对网络防毒方面重点考虑以下几个方 面，这也是网络防病毒软件应该具有的功能： 2 2 1 病毒查杀能力 病毒查杀能力是最容易引起用户注意的产品参数。可查杀病毒的种数固然是多多益善， 但也要关注它对实际流行病毒的查杀能力。因为用户是要用它查杀可能染上的病毒，有些病 毒虽然曾流行过，但却是我们今后不会再遇上的。 2 2 2 对新病毒的反应能力 对新病毒的反应能力是考察一个防病毒软件好坏的重要方面。这一点主耍从三个方面 衡量：软件供应商的病毒信息搜集网络、病毒代码的更新周期和供应商对用户发现的新病毒 的反应周期。 2 2 3 病毒实时监测能力 按照统计，目前的病毒中最常见的是通过邮件系统来传输。另外还有一些病毒通过网页 传播。这些传播途径都有一定的实时性，用户无法人为地了解可能感染的时间。因此，防病 毒软件的实时监测能力显得相当重要。应该说，目前绝大多数该类软件都拥有这一功能，但 实时监测的信息范围仍值得注意。 2 2 4 快速、方便的升级 企业级防病毒软件对更新的及时性需求尤其突出。多数反病毒软件采用了i n t e r a c t 进行 病毒代码和病毒查杀引擎的更新，并可以通过一定的设置自动进行，尽可能地减少人力的介 入。值得一提的是。这种升级信息也需要和安装一样能方便地“分发”到各个终端。 2 2 5 智能安装、远程识别。 由于局域网中，服务器、客户端承担的任务不同，在防病毒方面的要求也不大一样。因 此在安装时如果能够自动区分服务器与客户端，并安装相应的软件，这对管理员来说是将一 件十分方便的事。远程安装、远程设置，这也是网络防毒区分单机防毒的一点。这样做可以 1 0 大大减轻管理员“奔波”于每台机器进行安装、设置的繁重工作，即可以对全网的机器进行统 一安装，又可以有针对性的设置。 2 2 6 系统兼容性 系统兼容性并不是仅仅选购防病毒软件时需要考虑的事，而是买绝大多数软件时都必须 考虑的因素。不同的是防病毒软件的一部分常驻程序如果跟其它软件不兼容将会带来更大 的问题。 2 3 研究实现的网络环境及硬件环境介绍 现代化企业计算机网络是在一定的硬件设各系统构架下对各种信息数据进行收集、处理 加工和汇总的综合应用体系。目前大多数的企业网络都具有大致相似的体系结构，这种体系 结构的相似性表现在网络的底层基本协议构架、操作系统、通讯协议以及高层企业业务应用 上，这就为通用的企业网络防病毒软件提供了某种程度的可以利用的共性。 从网络底层基本构架上，尽管不同的企业可能选择千差万别的联网设备，网络结构的复 杂程度从简单的对等节点网络到三层交换复杂网络，但差不多全都是以太网结构，及基于 i e e e8 0 2 2 和i e e8 0 2 3 规范。事实己经证明，这是一种成熟、经济的桌面应用网络方案。 目前应用最多的是一种交换到桌面的1 0 m 1 0 0 m 快速以太网。 从网络的应用模式上看，现代企业网络都是基于一种叫做服务器客户端的计算模式， 及由服务器来处理关键性的业务逻辑和企业核心业务数据，客户端机器处理用户界面以及与 用户的直接交互。服务器是网络的中枢和信息化核心，具有高性能、高可靠性、高可用性、 i o 吞吐能力强、存储容量大、连网和网络管理能力强等特点。客户端机器从硬件上没有特 殊的要求，一般普通p c 机就可以胜任。企业网络往往有一台或多台主要的业务服务器，在 此之下分布着众多客户机或工作站，以及不同的应用服务器。根据不同的任务和功能服务 典型的服务器应用类型有：文件服务器、邮件服务器、w e b 服务器、数据库服务器和应用服 务器等。 从操作系统上看，企业网络的客户端基本上都是w i n d o w s 平台，中小企业服务器一般 采用w mn t 2 0 0 0 系统，部分行业用户或大型企业的关键业务应用服务器采用u n i x 操作系 统。w 协平台的特点是价格比较便宜，具有良好的图形用户界面：而u n i x 系统的稳定性和 大数据量可靠处理能力使得它更适合与关键性业务应用。 从通讯协议上看，目前企业网络绝大部分采用t c p f l p 协议。t c p i p 本来是一种i n t e r n e t 的通讯协议，但是主流操作系统和绝大部分应用软件的支持以及它本身的发展，已经使得它 足以承担从企业内网到i n t e m e t 的主要通讯协议重任。当然，为了管理的方便或某些特殊的 需求，在企业内网上常见的协议也包括n e t b i o s 、i p x s p x 等。 第三章计算机病毒的运行原理及分类 3 1w i n d o w sp e 病毒编制的关键技术 在w h a 3 2 平台下，所有的可执行文件都是p e ( p o r t a b l ee x e c u t a b l e ) 格式( 下节说明) ， 因此编写病毒和修复染毒文件最重要的环节之一就是对p e 文件进行操作。 首先，计算机病毒之所以叫做病毒，是因为它跟自然界中病毒一样，都需要有一个宿主 它本身是无法单独执行的。 以下是一些概念： p e 文件使用的是一个平面地址空间，所有的代码和数据都被合并在一起，组成一个很 大的结构。文件的内容被分割为不同的区块( s e c t i o n ，又称区段，节) ，块中包含代码或数 据。各个块对齐页边界( 4 k ) 。一般来说，文件会加载在4 0 0 0 0 0 h 开始的空间。而第一个 s e c t i o n 在4 0 1 0 0 0 h 处，同时入口地址也是4 0 1 0 0 0 h 。这个入口地址4 0 1 0 0 0 h 是这样计 算出来的：查看p e 头的i m a g eo p t i o n a l _ h e a d e r ，就会发现它的l m a g e b a s e 一般是 4 0 0 0 0 0 h 。而a d d r e s s o r e n t r y p o i n t 一般是1 0 0 0 h 。4 0 0 0 0 0 + 1 0 0 0 = 4 0 1 0 0 0 h ，掌握了这 一点，就可以在p e 中添加自己的新节，然后把这个入口地址改成指向新节的第一条代码。 当新节执行完毕后。再把原入口恢复，这样一来就能继续执行宿主的代码了。 在几乎每个w i n 3 2p e 病毒的开头都有这样的语句： c a l ln s t a r t n s t a r t ： p o pe b p s u be b p ，o f f e rn s t a r t 当正常的p e 程序执行时，它的基址( 如前所述) 一般是4 0 0 0 0 0 h ，这个地址会由操 作系统为你重定位，因此总是能保证程序被成功地装载运行。但是，如果在p e 中插入了一 段新的代码，假设它要从6 5 4 3 2 1 h 处开始执行，那么事情就没有那么简单了。因为宿主程 序并没有预料到这段代码的存在，而操作系统也不可能为你修正这个偏移。因此我们就要自 己进行重定位操作。上面的语句就是取得病毒在宿主中的实际偏移地址。c a l l 指令实际上 是p u s h 和i m p 的组合。当c a l ln s t a r t 时，实际上是把c a l ln s t a r t 的下一条指令( 也就是 p o pe b p ) 的地址压入堆栈然后j n l p 到n s t a r t ，由于之前已经把p o pe b p 的地址压入了堆 栈，所以当真正执行到p o pe b p 这条指令的时候，实际上就是把p o pe b p 这条指令的地址 放到了e b p 中。这样就得到了当前病毒代码的真正的偏移地址。这也是病毒中常用的手法， 几乎无一例外。 接下来还有一个关键的问题。病毒代码是附属在宿主上的，如果要在病毒中使用a p i ， 则必须首先得到a p i 的入口地址。 例如以下代码： i n v o k ee x l t p r o e e s s0 在经过编译器的编译、连接后，它在内存中形如： 0 0 4 0 1 0 1 5 c a l l0 0 4 0 1 0 1 a 0 0 4 0 1 0 1 aj m pd w o r dp t r1 0 0 4 0 2 0 0 0 】 也就是说，e x i t p r o c e s s 的调用是通过c a l l0 0 4 0 1 0 1 a ，而0 0 4 0 1 0 1 a 处的代码是一个 j m p ，指向 0 0 4 0 2 0 0 0 ，这个【0 0 4 0 2 0 0 0 】处储存的才是真正的e x i t p r o c e s s 的入口地址。 这样做的原因是：调用一个a p i 实际上是调用它在内存中的地址。而病毒由于是在宿 主编译完之后才附属上去的，所以如果病毒要运行a p i ，则必须自己指定a p i 的入口地 自l 。 2 耍得到a p i 的入口地址，方法有很多种，硬编码，只是其中的一种，它的缺陷是不能 在不同的w i n d o w s 版本下运行，不过由于它实现起来比较简便，因此本文还是采用这种方 法。 在同一个版本的w m d o w s 下。同一个核心函数的入口总是固定不变的( 指由 k e m e l 3 2 d l l ，g d l 3 2 d 1 1 ，u s e r 3 2 d 1 1 导出的函数) ，所以就可以利用下面的方法得到a p i 的 入口： s z d i l n a m e d b ”u s e r 3 2 ”，0 s z m e s s a g e b o x ad b ”m e s s a g e b o x a ”0 m e s s a g e b o x a _ a d d r d d0 i n v o k eg e t m o d u l e h a n d l e , a d d rs z d l l n a m e i n v o k el o a d l i b r a r y , a d d rs z d l l n a m e i n v o k eg e t p r o c a d d