（计算机系统结构专业论文）面向pc的utm系统的研究与实现.pdf

东南大学硕士学位论文 摘要 随着计算机和网络技术的普及应用，计算机已成为人们生活、学习和工作中不可缺少的一部分，存 储于计算机中或者通过网络进行传输的重要信息越来越多，针对计算机用户的信息安全问题也日益严峻。 黑客攻击，病毒危害等事件时有大规模爆发，垃圾邮件严重扰乱用户正常工作，同时又出现了网络钓鱼、 恶意软件等新形式的安全危害。计算机用户迫切需要一套能够对计算机进行全方位防护、能够自我学习 的软件 本论文提出了面向p c 的统一威胁管理的思想，即p c u t m 思想，其整合各种安全功能，如个人防 火墙、防病毒、主机入侵保护系统( i p s ) 、防垃圾邮件、防网络钓鱼和防恶意软件等于一身，真正做到 通过一套软件实现个人计算机系统的全面保护。同时，论文在p c u t m 的思想上，完成防病毒和防网络 钓鱼两部分的设计和实现。 论文的主要工作体现在以下几个方面： ( 1 ) 基于u t m 的思想，提出面向p c 的u t m 思想，并构建了整体设计框架。 c 2 ) 采用进程监控、注册表监控、文件监控、网络连接和流量监控、用户帐户状态监控、计算机 性能监控等技术，实现对主机的监控；采用启发式扫描技术，根据进程行为评分，再根据分 值判断是否为病毒。 ( 3 )提出基于网络流量特征的安全监测技术，实现网络连接的安全检测。 ( 4 )通过分析病毒特征，提出计算机病毒特征码自动提取算法，实现病毒特征码的自动提取。同 时，本文采用最近未使用算法( n r u ) 实现病毒特征码的存放管理。 ( 5 )基于贝叶斯算法基本思想，采用了基于规则的贝叶斯算法，实现网络钓鱼的检测。 ( 6 ) 在p c u t m 框架下，综合监控模块、病毒处理模块、网络钓鱼检测等模块，实现基于p c u t m 的防病毒和防网络钓鱼功能。 【关键词】主机保护，统一威胁管理，病毒防范，贝叶斯算法，网络钓鱼防范 东南大学硕士学位论文 a b s t r a c t w i t i lt h ew i d e ra p p l i c a t i o no fc o m p u t e ra n dn e t w c i r k , t h ec o m p u t e rh a sb e c o m emi n d i s p e n s a b l ep a r ti n p e o p l e sl i f e ，s t u d ya n dw o r ka n dm a n yi m p r o t a n tm e s s a g e sa r es t o r e di nc o m p u t e r so rt r a n s m i t e dt h r o u g h n e t w o r k t h ep r o b l e mo fi n f o r m a t i o ns o c u r i t yh a sb e c o m em o r ea n dm o r es e r i o u s h a c k e r sa n dv i r u s e so f t e n b r e a ko u t , s p a r ed i s r u p t e du s e r s d a i l yw o r k , a tt h es a m et i m et h en e wh a z a r d ss u c ha sp h i s h i n g , m a l i c i o u s s o f t w a r eh a sa d v a n t e d 。c o m p u t e ru s e 璐u r g e n t l yn e e das e l f - l e a r n i n gs o f t w a r ew h i c hg a l l p r o v i d ea c o m p r e h e n s i v ep r o t e c t i o no f c o m p u t e r w ep r e s e n ta ni d e ao fp c - o r i e n t e du n i f i e dt h r e a tm a n a g e m e n tw h i c hi sc a l l e dp c u t m ni n t e g r a t e s v a r i o u ss e c u r i t yf e a t u r e s ，i n c l u d i n gf i r e w a l l ，a n t i v i r u s ，i p s ，a n t i - s p a r e ，a n t i - p h i s h i n ga n dm a l i c i o u ss o f t w a r e s d e t e c t i n g i ta c h i e v e st h ec o m p r e h e n s i v ep r o t e c t i o nb yo r l es e to fs o f t w a r e t h i sp a p e rf i n i s h e dt h ed e s i g na n d r e a l i z eo f a n t i v i r u sm o d u l ea n da n t i p h i s h i n gm o d u l e c o n t r i b u t i o n sl i ei n ： b a s e d o n t h e i d e a o f u t m p r e s e n t t h e i d e a o f p c u t m a n db u i l d t h e f r a m e o f t h es y s t e m u s i n gt h et e c h n o l o g yo f p r o c e s sm o n i t o r i n g , r e g e d i tm o n i t o r i n g , f i l em o n i t o r i n g , n e t w o r km o n i t o r i n g , a c c o u n ts t a t em o n i t o r i n ga n dc o m p u t e rp e r f o r m a n c em o n i t o r i n gt oa c h i e v et h eh o s tm o n i t o r i n g u s i n gh e u r i s t i cs c a n n i n g t e c h n o l o g y t o j u d g e w h e t h e r t h eh o s t e x i s t s t h es e c u r i t y t h r e a t p r e s e n ta t e c h n o l o g yw h i c hi sb a s e do nt h ec h a r a c t e r i s t i c so f n e t w o r kt r a f f i c u s i n gt h i st e c h n o l o g yt o a c h i e v et h en e t w o r km o n i t o l a n a l y z et h ec h a r a c t e r i s t i c so ft h ev i r u sa n dp r e s e n tt h ea u t o m a t i ce x l l h e t i o na l g o r i t h mo fv i r u s s i g n a t u r e t h e nr e a l i z et h ev i r u ss i g n a t u r e sa u t o m a t i c a l l ye x t r a c t e d t h i sp a p e ra l s od o e ss o m e r e s e a r c ho nt h es t o r a g em a n a g e m e n to fs i g n a t u r e sa n dp r e s e n t su s i n gn r u a l g o r i t h mt os o l v et h e p r o b l e mo f s i g n a t u r e s s t o r a g e b a s e do ot h ei d e ao fb a y e s i a na l g o r i t h m , p r e s e n tar u l e - b a s e db a y e s i a na l g o r i t h ma n da c h i e v et h e 曲i s h i n gd e t e c t i o n ， u n d e rt h ef r a m e w o r ko fp c u t m ，i n t e g r a t ea l lm o n i t o rm o d u l e s ，v i r u sp r o c e s s i n gm o d u l ea n d p h i s h i n gd e t e c t i o nm o d u l e st oa c h i e v ea n t i v i r u sa n da n t i - p h i s h i n gf u n c t i o n 【k e y w o r d s 】h o s tp r o t e c t i o n , u t m ，a n t i - v i r u s ，b a y e s i a na l g o r i t h m , a n t i p h i s h i n g n m 卿 圆 东南大学硕士学位论文 论文插图索引 圈2 - 1p e 文件构成图6 图2 2 反病毒软件结构图一9 图2 - 3 反病毒引擎体系结构9 图3 i 面向p c 的【玎m 系统的体系结构1 5 图3 2 p c u t m 系统的功能结构图1 5 图4 - l 系统控制台运行界面1 9 匿4 - 2 防病毒子系统控制台运行界面2 0 图4 - 3 舫网络钓鱼子系统控制台运行界面2 0 图4 - 4 系统参数设置：2 0 圈4 5 枚举所有进程的流程图2 4 图4 - 6 进程监控模块流程图2 5 图4 7 注册表监控定时查询方式2 6 图4 8 端口监控模块运行界面2 8 图4 9 当前主机的网络流量信息3 l 图4 1 0 用户帐户状态检测模块运行结果3 2 图4 “单个进程的c p u 使用率监控3 5 图4 - 1 2 新病毒处理模块流程3 6 图4 - 1 3 异常网络连接处理流程3 6 图4 - 1 4 防网络钓鱼浏览器运行界面。3 7 图4 - 1 5 网络钓鱼防御流程图。3 7 图4 1 6 总控模块流程图3 8 图4 - 1 7 面向p c 的u t m 系统判断结果。3 9 图4 - 18 进程名，m d 5 值 存入进程名库3 9 图4 1 9 病毒特征码存入病毒库3 9 图舢2 0 阻止病毒3 9 图4 - 2 1p c u t m 系统实时保护时占用内存数4 0 图4 2 2p c u t m 系统防网络钓鱼时占用内存数4 0 图5 1 病毒特征码的置换算法实验4 6 图6 - 1 一个网络钓鱼网页5 0 图6 2 一个网络钓鱼网页的源代码5 0 图6 - 3p c l r f m 系统打开网络钓鱼网页5 1 图6 - 4p c u t m 系统进行网络钓鱼检查5 l 图6 - 5p c u t m 系统添加黑名单5 l 图6 6p c u t m 系统检测搜狐主页5 2 v i 东南大学硕士学位论文 论文表格索引 表2 1 计算文件m d 5 值的接口函数1 0 表2 2 计算字符串m d 5 值的接口函数。1 0 表4 - 1 描述进程信息的数据结构2 2 表4 2 描述模块信息的数据结构。2 3 表4 3 描述进程占用内存信息的数据结构2 3 表4 4c r e a t e t o o l h d p 3 2 s n a p s h o t 函数d w f l a g s 参数取值2 4 表4 5 参数f d w f i t e r 取值及其含义2 7 表4 6 描述u d p 连接的数据结构2 8 表4 7 描述t c p 连接的数据结构2 8 表4 8 描述i p 流量信息的数据结构。2 9 表4 9 描述t c p 信息的数据结构2 9 表4 1 0 描述u d p 信息的数据结构3 0 表4 1 1 描述i c m p 输入输出类型信息的数据结构3 0 表4 1 2 描述i c m p 数据信息的数据结构3 0 表4 1 3 基于网络流量特征的安全监测方法参数k 1 k i i 定义3 l 表4 1 4 描述计算机内存相关信息的数据结构3 3 表4 _ 1 5 性能计数器的a p i 函数3 4 表4 1 6 描述单个进程内存使用量的数据结构3 4 表4 1 7 存放格式化性能值的结构3 5 表5 一l 字符串格式t a r g e t t y p e 的定义4 1 表5 2 字符串格式o f f s e t q 3 r p e 定义4 l 表5 3 两段校验和格式t a r g e t t y p e 的定义4 2 表5 4 两段校验和格式o f f s e t t y p e 的定义4 2 表5 5v b 病毒特征码自动提取算法实验1 4 5 表5 6v b 病毒特征码自动提取算法实验2 4 5 表6 - 1 纯贝叶斯算法过滤p h i s h i n g 4 9 表6 - 2 基于规则的贝叶斯算法过滤p h i s h i n g 4 9 东南大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得 的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含 其他人已经发表或撰写过的研究成果，也不包含为获得东南大学或其它教育机构 的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均 已在论文中作了明确的说明并表示了谢意。 研究生签名：坌! 銎目期：世j 东南大学学位论文使用授权声明 东南大学、中国科学技术信息研究所、国家图书馆有权保留本人所送交学位 论文的复印件和电子文档，可以采用影印、缩印或其他复制手段保存论文。本人 电子文档的内容和纸质论文的内容相一致。除在保密期内的保密论文外，允许论 文被查阅和借阅，可以公布( 包括刊登) 论文的全部或部分内容。论文的公布( 包 括刊登) 授权东南大学研究生院办理。 研究生繇筮跏虢塑望亟日期：姗j ； 第一章前言 1 1论文背景 第一章前言 随着信息技术的迅猛发展，计算机与i n t e r a c t 已经日益成为人们生活、工作不可分割的一部分，人 们通过计算机和网络进行数据处理、数据存放、数据传送。但是计算机用户信息安全问题也日益突出。 近年来，黑客攻击、病毒危害等事件有增无减，另外又出现了网络钓鱼、恶意软件等新形式的安全危害。 据悉，仅2 0 0 6 年9 月，百度、新网、宝洁( 中国) 公司等网站就多次受到黑客攻击，造成重大损失。 病毒和木马更是越发猖狂，据江民科技发布的2 0 0 6 年计算机病毒疫情报告显示，2 0 0 6 年江民反病毒中 心共截获新病毒6 0 3 8 3 种，较2 0 0 5 年增长5 6 。从2 0 0 6 年的威金病毒、熊猫烧香，到2 0 0 7 年的小浩 病毒、a v 终结者，无一不掀起安全领域的狂风骤雨，给计算机用户带来巨大的损失。网络钓鱼( p h i s h i n g ) t 2 1 t a l 更是一种利用互联网实施的欺诈方式，据不完全统计，每年在线欺诈损失都在数十亿美元以上。此 外，恶意软件、垃圾邮件等恶意行为也威胁着计算机安全领域，造成网民的一片恐慌。 针对各类安全威胁，目前各安全厂商已推出不少安全防护的产品，比如对于病毒和本马，卡巴斯基 【4 j 、m c a f e e l 5 1 、n o r t o n 、n o d 和江民等杀毒软件都能起到很不错的杀毒和防毒效果：对于网络钓鱼，g o o g l e 公司为f i r e f o x 浏览器提供了套用于预防网络钓鱼的插件，可以起到一定程度的保护效果，同时新推出 的i e 7 0 也提供了类似功能：对于恶意软件，安全厂商推出了相应的恶意软件清理工具，如奇虎公司的 3 6 0 安全卫士等；此外，对应不断发展的网络入侵技术，防火墙的功能也在日益增强。 安全厂商所做的这些努力，一定程度上起到了积极的效果。但是，目前不同的安全危害需要由不同 的软件进行处理，从而造成一台主机需要安装多个安全厂商的软件进行保护，比如需要安装m c a f e e 进行 防毒，同时又要安装g o o g l e 提供的插件进行网络钓鱼检测，还需要安装3 6 0 安全卫士进行恶意软件清理， 最后还要使用z o n e a l a r m 的防火墙，这样的结果是加重用户管理的负担，增加系统开销，保护效果不理 想。 本论文提出一种面向主机的统一威胁管理的思想，即面向p c 的u t m 思想( p c u t m ) 。其目的就是 通过一套软件解决所有的安全威胁，即集防病毒、主机入侵保护系统( i p s ：i n t r u s i o np r e v e n t i o ns y s t e m ) 1 6 】、防垃圾邮件、防网络钓鱼和防恶意软件等功能于一体的软件系统，为安全防护提供一个一体化架构 的理念，从而结束客户不得不安装多个功能单一的产品来预防多种不同威胁的历史，以达到尽可能减轻 用户负担的目标。 1 2 论文研究目标 鉴于计算机安全问题日趋严重，用户迫切需要一套软件系统实现对主机全方位安全保护的现状，。本 论文提出面向p c 的u t m 思想( p c u t m ) ，设计和实现p c u t m 原型系统，以期为用户提供一体化的安 全防护。 p c u t m 系统需要集防病毒、主机入侵保护系统、防垃圾邮件、防网络钓鱼和防恶意软件等功能于 一体。限于时间的关系，本论文在设计p c u t m 系统的整体框架的基础上，着重要探讨防病毒和防网络 钓鱼这两部分功能的实现技术。 在防病毒部分中，采用实时监控和基于行为的启发式扫描相结合的方法，对主机进行监控、对威胁 进行分析、对确定为病毒的进程及文件进行处理。 考虑到p c u t m 具有智能化和自学习能力的特点，论文在分析病毒特征的基础上，提出了病毒特征 码自动提取算法，通过系统自动提取病毒的特征码，实现对病毒的记忆功能，从而使系统具有一定的病 毒免疫能力。 在防网络钓鱼部分中，采用基于规则的贝叶斯算法和黑白名单相结合的方法，有效的实现网络钓鱼 的监测和防护。 1 3 论文章节安排 论文的章节安排如下： 东南人学硕士学位论文 第一章：前言部分，介绍论文的研究背景、目标以及论文的组织结构。 第二章：计算机安全综述，介绍u t m 及p c u t m 的思想、计算机系统安全、计算机病毒概述、反 病毒技术与知识、网络钓鱼及其防御方法概述等内容，以及垃圾邮件、网络入侵、恶意软件等相关知识； 第三章：系统的研究与总体设计，主要介绍系统设计的目标、总体设计、软硬件环境等内容； 第四章：系统的详细设计与实现，针对系统的各个模块进行详细的设计，主要包括系统控制台模块、 系统初始化模块，进程监控模块、注册表监控模块、网络连接和端口监控模块，计算机性能监控模块、 总控模块、病毒处理模块、网络钓鱼检测模块等，并进行了相关的系统功能测试和性能分析； 第五章：病毒特征码提取方法的研究与实现，主要介绍了常用的病毒特征码的三种格式，病毒特征 码提取的常见方法，以及进行了病毒特征码自动提取算法和病毒库管理的研究和实现，并通过实验分别 加以论证和分析； 第六章：网络钓鱼预防方法的研究与实现，主要介绍了网络钓鱼的背景及相关工作，以及提出和实 现了基于规则的贝叶斯算法进行网络钓鱼过滤子系统，并通过实验进行优缺点分析； 第七章：论文总结及展望； 最后是致谢、参考文献，以及攻读学位期间发表的学术论文目录。 2 第二章计算机安全综述 第二章计算机安全综述 在国防安全、经济建设和社会生活的各个方面，计算机正在发挥日盏重要的作用，并越来越多地取 代原来需要手工进行的工作，人类对计算机的依赖越来越强烈。因而计算机的安全问题也日益引起人们 的关注。本章主要介绍计算机安全的相关知识。 本章主要介绍计算机安全的相关知识，其组织结构如下：2 1 节介绍u t m 及p c u t m 思想；2 2 节 对计算机系统安全进行相应介绍；2 3 和2 4 节着重介绍计算机病毒的相关知识，以及对应的反病毒技术； 在2 5 节对网络钓鱼及其防御方法进行介绍；在2 6 节、2 7 节和2 8 节分别对垃圾邮件、网络入侵和恶 意软件的相关知识进行介绍；最后在2 9 节对本章进行小结。 2 1u t m 及p c u t m 思想 随着l t 技术的不断发展，网络攻击行为日益呈现出新的特点：一是混合型攻击，如病毒、蠕虫、木马 和后门攻击，通过e - m a i l 和被感染的网站发出，著很快地传播和产生变种，使得安全设备必须对付己知或 未知攻击；二是新漏洞的攻击产生速度快，安全设施需要防范各种被称为“零小时”( z e l o - h o u r ) 或“零 日”( z e r o - d a y ) 的新的未知攻击；三是伴随社会工程学陷阱的攻击层出不穷，恶意软件、网络欺诈、基于 邮件的攻击和恶意w e b 站点等防不胜防，攻击者们伪造合法的应用程序和自口件信息来欺骗用户去运行它们。 面对这些新形式下的安全威胁，传统的防火墙、入侵检测系绗入侵防护系统( i d s i p s ) 或防病毒等单 一功能安全产品已经显得无能为力，因此安全防护技术一体化和集成化需求应运而生。 统一威胁管理( u t m ：u n i f i e d t h r e a t m a n a g e m e n t ) i j l 就是在这个背景下应运而生的。2 0 0 4 年9 月美国 著名的市场研究机构i d c 将其定义为：是由硬件、软件和网络技术组成的专用设备，组合防火墙，v p n 、 i d s i p s l 6 i 、防病毒、防垃圾邮件、网址过滤、内容过滤、流量监控等功能，构成一个标准的统一管理平台。 它的出现在于一些中小企业用户缺乏安全技术人员，希望以网关处的一个硬件设备，揽子解决所有的安 全问题。2 0 0 4 年i d c 首度提出统一威胁管理( u t m ) 的概念以来，u t m 逐渐被众多厂商所追捧。据i d c 预测，到2 0 0 8 年u t m 市场将维持平均8 0 的年增长率并形成2 0 亿美元的细分市场，信息安全市场的5 7 6 将是u t m 的天下。经过几年的市场培育，u t m 作为域边界的主要防护设备也逐渐取得了用户的认同。国 际最早推出u t m 设备的厂商有f o r t i n e t 、w a t c h g u a r d 等公司，而国内最早推出的u t m 设备，则是2 0 0 5 年6 月 启明星辰公司与港湾公司联合推出的天清汉马防火墙虽然被称为防火墙，但它因为在高性能防火墙的 基础上集成了v p n 、网关病毒过滤、网络流量统计分析等众多安全功能于一身，应该属于u t m 的范畴。 u t m 这个理念提供了一个一体化的架构，可通过单个操作系统和管理接口满足多种安全需求，从而 解决了管理多个功能单一的产品这个难题。这使员工无需再花费大量时间去学习新系统，从而提高了i t 人员阻止攻击的效率。在一体化的前提下，继而需要解决的是针对复杂威胁的防御能力，这体现在功能 和性能两个方面。也就是说既要完全发挥每个功能模块的作用，相互实现配合，又要保障性能。这就要 求在软件体系设计上进行创新，实现一体化设计，解决复杂的威胁和复杂的策略实施。 目前的u t m 思想主要应用于网络边缘层，旨在保护局域网内的主机的安全。对于个人计算机而言， 昂贵的网关层u t m 显然不适合。尽管不少安全厂商已经将u t m 思想应用于终端用户( 如p c 机用户) ， 从而能够利用一种安全产品实现多种安全威胁的保护，比如m c a f e e 不仅能够防病毒，而且还能够防 垃圾邮件、防网络入侵等。但是目前的应用，仅仅是将几种防护功能简单累加，远远没有达到通过一套 软件实现对p c 的全方位防护的效果。 面向p c 的u t m 思想是将统一威胁管理的思想应用于p c 机上，从而形成一套整合了各种安全功能 的软件系统，其组合了个人防火墙、防病毒、主机入侵保护系统、防垃圾邮件、防网络钓鱼和防恶意软 件等功能，真正做到通过一套软件实现个人计算机系统的全面保护。 2 2 计算机系统安全 计算机系统是计算机网络的基本元素，没有计算机系统的安全，自然也就没有计算机网络等的安全。 东南大学硕：e 学位论文 2 2 1 计算机系统的安全目标 计算机系统的基本安全且标是保持系统能够正常工作，即系统能够按预期方式工作，完成预定的任 务，并给出正确的结果。具体的安全目标可以分为以下几个方面。 1 ) 安全性 计算机系统的安全性分为内部安全和外部安全两个方面。 系统的内部安全是系统的固有特性，在系统的软、硬件和外设中体现。包括系统中的安全设备，如 加密部件等；软件中设置的安全功能，如访问控制功能、1 3 令鉴别功能等。 系统的外部安全涉及系统的维护和使用，包括： ( 1 ) 、物理安全：指对环境的保护，按照系统所负担的处理任务，可包括电源、空调，防尘、防震、 防污染等内容； ( 2 ) 、人事安全；指有关人员的可靠性，包括操作人员、维护人员、管理人员等； ( 3 ) 、过程安全：指操作过程的可靠性，包括有关人员的职责划分，操作规程制定和执行控制等方 面。 2 ) 完整性 完整性体现了系统的可信度，分为软件完整性和数据完整性两个方面。 软件完整性是指软件的标称功能与实际功能的一致性。软件完整性的威胁来自设计的缺陷、实现中 的b u g 、设计人员或使用人员故意设置的特洛伊木马或逻辑炸弹、计算机病毒等。 数据完整性是指数据的标称内容与实际内容的一致性，即要求存储在计算机系统中或在计算机系统 之间传输的数据能够不受非法删改或意外事件的破坏，从而保持数据整体的完整。 3 ) 保密性 系统中不宜公开的数据称为敏感数据，这些数据可能涉及国家机密、商业机密或个人隐私，因此需 要保密存放，防止信息内容的非法泄露。 2 2 2 计算机系统安全的主要内容 计算机信息系统的安全p 1 可分为实体安全、运行安全和信息安全等三个方面。 实体安全研究和提供保护计算机设备、设旌以及其他媒体免遭地震、水灾，火灾、有害气体和其他 环境事故破坏的措篪和过程，包括环境安全，设备安全和媒体安全等三个方面。 运行安全研究为保障系统功能的安全实现所应提供的安全措施，以保护信息处理过程的安全，包括 风险分析、审计跟踪、备份与恢复、应急技术等四个方面。 信息安全研究防止信息内容被故意地或偶然地非授权泄露、更改、破坏，或使信息被非法的系统识 别、控制的各种机制，它确保信息的完整性、保密性、可用性和可控性，包括操作系统安全、数据库安 全、网络安全、骨算机病毒防护、访问控制、数据加密与鉴别等七个方面。 2 3 计算机病毒概述 2 3 1 计算机病毒的定义 在1 9 9 4 年中华人民共和国国务院颁布的中华人民共和国计算机信息系统安全保护条例中，计算 机病毒1 1 1 【9 1 被明确定义为：“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机 使用并且能够自我复制的一组计算机指令或者程序代码”。 从广义上讲，计算机病毒就是人为编制的，干扰计算机正常运行并造成计算机软硬件故障，甚至破 坏计算机数据的可自我复制的计算机程序或者指令集合。它具有非法性、隐藏性、潜伏性、触发性、表 现性、破坏性、传染性、针对性、变异性及不可预见性等特点。依据此定义，诸如木马、蠕虫、逻辑炸 弹等均可称为计算机病毒。 一般而言，计算机病毒包括三个部分：引导部分、传染部分和表现部分。其中引导部分的作用是将 病毒主体加载到内存，为传染部分做准备( 如驻留内存、修改中断、修改注册表等操作) ；传染部分的作 用是将病毒代码复制到传染目标上去，不同类型的病毒在传染方式、传染条件以及传播所借助的媒体上 各有不同；表现部分是病毒问差异最大的部分，它体现病毒的破坏行为，这部分根据编制者的不同目的 4 第二章计算机安全综述 而千差万别。 2 3 2 计算机病毒的分类 按照计算机病毒的特点及特性，计算机病毒的分类方法有很多种。由于同一种病毒可能同时具备多 种特性，因此在分类隶属关系上会产生交叉。 根据寄生的数据存储方式划分，可以分为引导区型、文件型和混合型； 根据病毒攻击的操作系统划分，可以分为d o s 型、w i n d o w s 型、u n i x ( l i n u x ) 型和0 s 2 型等； 根据病毒攻击的计算机类型划分，可以分为微机病毒、小型机计算机病毒、工作站病毒： 根据病毒的链接方式划分，可以分为源码型病毒、嵌入型病毒、外壳型病毒、操作系统型病毒； 根据病毒的破坏情况划分，可以分为良性病毒和恶性病毒； 根据病毒的传播途径划分，可以分为单机病毒和网络病毒； 根据病毒运行的连续性划分，可以分为驻留内存型和非驻留内存型； 根据病毒激发机制划分，可以分为实时发作型和间歇发作型； 根据病毒自身变化性划分，可以分为原型病毒和变型性病毒( 又称幽灵病毒) ； 根据与被感染对象的关系划分，可以分为寄生病毒、伴随型病毒和独立病毒。 另外还有宏病毒、蠕虫病毒、特洛伊木马病毒等具有代表性的病毒。 2 3 3 计算机病毒的危害 计算机病毒的种类和数量伴随着网络的发展迅猛增长，同时其危害性和破坏性越来越强。大体上， 计算机病毒具有以下几种危害； 1 ) 破坏数据 大部分病毒在发作的时候会利用格式化磁盘、改写文件分配表和目录区、删除重要文件或者用无意 义的“垃圾”数据改写文件、破坏c m o s 设置等手段壹接破坏计算机的重要数据。 2 ) 占用磁盘存储空间 计算机病毒常常会占用部分磁盘空间。引导型病毒的侵占方式通常是利用病毒本身占据磁盘引导 扇区，而磁盘引导扇区中被覆盖的数据会永久消失，无法恢复。文件型病毒则利用一些d o s 功能进行传 染，这些d o s 功能能够检测出磁盘的未用空间，然后把病毒的传染部分写到磁盘的未用部分，这相当于 使每个被感染的文件额外占用一部分存放空间。所以文件型病毒在传染过程中一般不会破坏原先数据， 但是其能够非法占用磁盘空间。由于文件型病毒传染速度较快，在短时间内会感染大量文件，从而使每 个感染文件都被不同程度地加长，造成磁盘空间的严重浪费。 3 ) 抢占系统资源 除了v i e n n a ，c a s p e r 等少数病毒外，其他大多数病毒在动态下都需要常驻内存，这必然抢占一 部分系统资源。由于病毒抢占内存资源，造成系统内存资源减少，使一部分软件不能运行。此外，病毒 还抢占中断，干扰系统运行。 4 ) 影响计算机运行速度 计算机运行速度是人们比较看重的关键指标之一。病毒进驻内存会影响计算机的运行速度。因为病 毒需要对计算机的工作状态进行监视，从而判断是否满足病毒传染激发条件，这对于计算机的正常运行 状态而言是有害的。此外，有些病毒为了保护自己，不但对磁盘上的静态病毒加密，而且进驻内存后的 动态病毒也处于加密状态。c p u 每次寻址到病毒所在位置时都需要执行额外一段解密程序，将加密的病 毒解密为合法的c p u 指令才能再执行，等病毒运行结束时，又需要运行加密程序对病毒进行重新加密， 从而增加了c p u 负担，额外执行了许多指令。 2 4 反病毒技术与知识 2 4 1p e 文件格式 p e 的意思就是p o r t a n ee x e c u t a b l e ( 可移植的执行体) 1 0 1 。它是w i n d o w s 环境自身所带的执行文 件格式。w i n d o w s 操作系统上能够正常运行的应用程序必须是p e 格式。计算机病毒必须是可执行的， 否则就无法感染、破坏、隐藏、对抗其他程序或系统了，而目前主流的操作系统是w i n d o w s 操作系统， 5 东南大学硕士学位论文 病毒要在w i n d o w s 操作系统上进行传播和破坏，其病毒文件也必须遵守p e 的格式结构。 由于所有w i n 3 2 执行体( 除了v x d 和1 6 位的d l l 之外) 都使用p e 文件格式，包括n t 的内核模 式驱动程序。因此，研究p e 文件格式是了解p e 病毒技术的一个基础。 p e 文件的构成如图2 1 所示： p e 文件以一个简单的d o s 文件头( d o sm zh e a d e r ) 开始。当程序在d o s 下执行时，d o s 能够根 据d o sm zh e a d e r 识别出这是有效的执行体，然后运行紧随m zh e a d e r 之后的d o ss t u b 。 d o ss t u b ，即d o s 块，在不支持p e 文件格式的操作系统中，它将简单显示一个错误提示“1 1 i i sp r o g r a m c a n n o t b e l l l l l i n d o s m o d e ”就退出了，这段简单的代码是编译器自动生成的。 p eh e a d e r ，即p e 文件头，是p e 相关结构i m a g en th e a d e r s 的简称，其中包含了许多p e 装 载器用到的重要域。执行体在支持p e 文件结构的操作系统中执行时，p e 装载器将从d o sm zh e a d e r 中找到p eh e a d e r 的起始偏移量( ei f a n e w 字段) ，因而跳过d o ss t u b 直接定位到真正的文件头p e h c a d e t 。 p e 文件的真正内容划分为块，这些块被称为s e c t i o n ( 节) 。每个节是一块具有共同属性的数据。 p e 文件中的所有节的属性、文件偏移量、虚拟偏移量等信息都被记录在s e c t i o nt a b l e ( 节表) 中。 s e c t i o nt a b l e ( 节表) 由一系列的d i a g e s e c t i o n _ h e a d e r 结构排列而成，每个结构用来描述一个 节，结构的排列顺序和它们描述的节在文件中的排列顺序是一致的。最后一个空的 i m a g es e c t i o nh e a d e r 结构作为整个节表的结束。 2 4 2w i n d o w s 自启动方式 p e 文件结构的总体层次分布 d o s m z h c a d e t d o ss t u b p eh e a d e r s e c t i o n t a b l e s e c t i o n1 s c e t i o n2 s e a i o nn 图2 1p e 文件构成图 计算机病毒制作者往往将病毒藏在自启动方式中以希望病毒能够随系统的启动而自动运行。因而熟 悉w i n d o w s 的自启动方式对发现病毒具有及其重要的意义。w i n d o w s 的自启动方式由以下几种方式：自 启动目录、系统配置文件启动，注册表启动和其他启动方式。 1 ) 自启动目录 自启动目录可以分为第自启动目录和第二自启动目录。 第一自启动目录的默认路径为c ：x w i n d o w s 、s t a r tm e n u p r o g r a m s 、s t a r t u p 或者c ：1 w i n d o w s k c a r t m e n u p r o g r a m s 启动。这是最基本，最常用的w i n d o w s 启动方式，主要用于启动一些应用软件的自启动 项目。当需要文件自启动时，只需把所需文件或其快捷方式放入文件夹中即可。 第二自启动目录的默认路径为c ：，w i n d 0 w s 撬f lu s e r s s t a r tm e n u p r o g r a m s s t a r t u p 或者 c ：w i n d o w s a uu s e r s s t a r tm e n u p r o g r a m s 启动。这个目录的使用方法和第一自启动目录是完全一样 的，只要找到该目录，将所需要启动的文件加入该目录即可实现自启动的目的。 2 ) 系统配置文件启动 系统配置文件启动包括w i n i n i 启动、s y s t e m i n i 启动、w i n i n i t i n i 启动、w i n s t a r t b a t 启动和a u t o e x e c ，b a t 启动。 w n i n i 提供了w i n l 6 程序需要的字体设置、文件关联等种种信息，主要完成g u i 下相应的环境 配置。 s y s t e m i n i 是w i n l 6 的系统硬件配置文件，g u i 的外壳程序( s h e l l ，即界面程序) 、鼠标器、显 示器等驱动程序必须通过s y s t e m i n l 设置才能加载使用。 w i n i n i t 即为w i n d o w ss e t u pi n i t i a l i z a t i o nu t i l i t y ，是w i n d o w s 安装初始化工具。w i n i n i t i n i 在 系统装载w i n d o w s 之前运行。 6 第二章计算机安全综述 w i n s t a r t b a t 是一个系统自启动的批处理文件，主要作用是处理一些需要复制、删除的任务。 a u t o e x e c b a t 在每次重新启动系统时会在d o s 下启动。恶意程序往往会利用这个文件采取一些 辅助的措施，典型的病毒例子如s i r c a m 蠕虫。 3 ) 注册表启动 注册表启动是使用最频繁的启动方式之一，其包括常规启动和特殊启动两种。 常规启动主要是通过修改 h k e yl o c a lm a c h l n e k s o f t w a r e k m i c r o s o f t w i n d o w s c u r r e n t v e r s i o n 、 【h k e yc u r r e n tu s e r 峪o r w a 耐m i c r