计算机病毒与反病毒技术十篇

计算机病毒与反病毒技术篇1

关键词：计算机病毒；反病毒；网络病毒

一、计算机病毒

（一）计算机病毒的内涵

计算机病毒(Computer Virus )在《中华人民共和国计算机信息系统安全保护条例》中被明确定义为：“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。自80年代莫里斯编制的第—个“蠕虫”病毒程序至今，世界上已出现了多种不同类型的病毒。

（二）计算机病毒类型

1、按传染方式分

⑴ 引导区型病毒

⑵ 文件型病毒

⑶ 混合型病毒

⑷ 宏病毒

2、按连接方式分

⑴ 源码型病毒

⑵ 入侵型病毒

⑶ 操作系统型病毒

⑷ 外壳型病毒

（三）计算机病毒的特点

计算机病毒对计算机网络影响是灾难性的。从80年的“蠕虫”“小球”病毒起至今，计算机使用者都在和计算机病毒斗争，创造了形形色色的病毒产品和方案。但是随着近年Internet的发展，E-MAIL和一批网络工具的出现改变了人类信息的传播方式和生活，同时也使计算机病毒的种类迅速增加，扩散速度大大加快，出现了一批新的传播方式和表现力的病毒，对企业及个人用户的破坏性和传染力是以往的病毒类型所不可比拟的。病毒的主发地点和传播方式己经由以往的单机之间的介质传染完成了向网络系统的转化，类似于“CIH，Melisa，Exploer”网络传染性质的病毒大量出现，一旦企业或单位被病毒侵入并发作，造成的损失和责任是难以承受的。病毒和防病毒之间的斗争已经进入了由“杀”病毒到“防”病毒的时代。企业或单位只有拒病毒于网络之外，才能保证数据的真正安全。

二、计算机反病毒技术研究

计算机病毒是具有自我复制能力的计算机程序，它能影响计算机软件、硬件的正常运行，破坏数据的正确性与完整性，造成计算机或计算机网络瘫痪，给人们的经济和社会生活造成巨大的损失并且成上升的趋势。计算机病毒的危害不言而喻，人类面临这一世界性的公害采取了许多行之有效的措施：

（一）软件反病毒技术

计算机病毒具有寄生性，即计算机病毒在静态时储存于磁盘、硬盘、光盘等辅存和CMOS中，而激活后则驻留在内存中；利用这个特性反病毒软件手工、自动或定时对这些病毒场所进行查毒杀毒来进行反病毒的技术称为软件反病毒技术。

目前，比较流行的病毒检查方法有：

1、搜索法，用每一种病毒体含有的特定字符串对被检测的对象进行扫描，如果在被检测对象内部发现了某一种特定字节串，则表明发现了该字符串所代表的病毒。该种软件主要包括各种计算机病毒的代码串组成的病毒代码库，它必须要实时更新，否则，新病毒无法检测到；另一部分是利用该代码库进行扫描的扫描程序，如我国公安部发行的SCAN?EXE和美国MCAFEE ASSOCIATES的SCAN?EXE属于此种类型，主要缺点是：各病毒代码串长度不等（从几百字节到几十上百K不等），病毒代码串的选择相当困难，由于病毒代码串长度不等固代码库庞大病毒扫描速度较慢，所以现在已经很少使用。

2、计算机病毒特征字识别法，它是基于特征串扫描法发展起来的一种新方法，只需从病毒体内抽取很少几个关键的特征字来组成特征字库，需要处理的字节少，又不必进行串匹配，则大大加快了识别速度，误报警少等优点，它是目前应用最为广泛的一种软件反病毒技术，目前主流的反病毒软件系统均采用这种技术，如江民公司的KV系列，瑞星的KILL系列，俄罗斯的卡巴斯基等。

3、行为识别法。目前病毒的数量在不断的增加，病毒库在不断的增大，使传统的病毒扫描的速度降低；另外，计算机病毒的变种问题始终没有彻底的解决，所以，最近出现了以程序代码的行为来检查病毒的方法——行为扫描法，它彻底解决了病毒库不断增加和病毒变种的难题，成为软件反病毒技术的未来的发展方向。

软件反病毒技术的优点是：不需额外的硬件投资，使用简单方便可靠，不限操作系统，升级方便；缺点是：必须实时更新病毒库，属于""亡羊补牢""型，对未知病毒没有防护功能。

（二）实时反病毒技术

实时反病毒概念最大的优点是解决了用户对病毒的“未知性”，或者说是“不确定性”问题。不借助病毒检测工具，普通用户只能靠感觉来判断系统中有无病毒存在。而实际上等到用户感觉系统中确实有病毒在做怪的时候，系统已到了崩溃的边缘。而实时反病毒技术能及时地向用户报警，督促用户在病毒疫情大规模爆发以前采取有效措施。

实时监测是先前性的，而不是滞后性的。任何程序在调用之前都先被过滤一遍。一有病毒侵入，它就报警，并自动杀毒，将病毒拒之门外，做到防患于未然。相对病毒入侵甚至破坏以后再去采取措施来挽救的做法，实时监测的安全性更高。

（三）CPU反病毒技术

    之所以病毒和黑客能非常容易地攻击计算机，原因在于网络都是互通的，交换信息的过程中，计算机网络中会建立许多通道，但是设计者并没有过多考虑这个问题，所以只要是信息在通道中通过，都可能被认为是安全信息给予“放行”，

所以这就给计算机带来了极大风险。经过多年努力，俄罗斯科学院计算系统微处理研究所的鲍利斯·巴巴扬通讯院士开发出了一种新型微处理器（CPU），被反病毒界认为成功实现了CPU反病毒，这种CPU可以识别病毒程序，对含有病毒程序的信息给予“抵抗”，同时将这些含有病毒的程序“监禁”起来，同时还可以给这些病毒程序一些数据让它去执行，以免因为空闲而危害计算机，所以这种方法基本上隔离了病毒，让病毒失去了传播的机会。

（四）主动内核技术

主动内核技术，用通俗的说法：是从操作系统内核这一深度，给操作系统和网络系统本身打了一个补丁，而且是一个“主动”的补丁，这个补丁将从安全的角度对系统或网络进行管理和检查，对系统的漏洞进行修补；任何文件在进入系统之前，作为主动内核的反毒模块都将首先使用各种手段对文件进行检测处理。

三、计算机病毒防范措施分析

（一）病毒的预防

网络病毒的预防措施主要有：

1、除非必要 ，尽可能地拆除工作站上的软盘驱动器，采用无盘工作站代替有盘工作站，这样能减少网络感染病毒的机会。

    2、如果软件运行环境许可，还可以进一步把工作站的硬盘拆除，使之成为一个真正的无盘工作站。只要在工作站的网卡上安装一块远程复位EPROM芯片即可。开机后，工作站通过网卡上的这个芯片完成系统引导工作，并直接运行入网程序。这样，工作站既不能从服务器上拷贝文件，也不能向服务器拷贝文件，而只能运行服务器上的文件，杜绝了病毒通过工作站感染服务器的可能性，提高了系统的安全性。

3、被当做网络服务器使用的机器只专门用来当作服务器，而不再作为工作站使用，也不作为单机使用。

4、规定只有专业的网络管理人员使用超级用户用户名登录。因为超级用户对于整个网络系统拥有全部权力（包括读、写、建立、删除等），如果工作站上已经感染了病毒，再用超级用户登录，就会感染整个网络服务器。

5、为用户规定不同的权限，实行专有目录专人使用，防止越权行为，这样即使服务器下的某个用户的子目录感染了病毒，其他的用户如果不执行这个目录下的文件，就不会被病毒感染。

（二）病毒防火墙

病毒防火墙，实际上是“广义”防火墙中一个方面的具体实现。它是安装在用户计算机系统之中的反病毒监控软件，它在用户计算机本地系统与外部环境之间完成实时过滤有害病毒的工作，能够有效地阻止来自本地资源和外部网络资源的病毒侵害.病毒防火墙对病毒的“过滤”应当具有相当好的实时性，这种实时性表现在一旦病毒入侵系统或者从系统向其它资源感染，病毒防火墙会立刻检测到并加以清除。而传统的单机版反病毒软件则更注重于“静态”反病毒，即对本地和远程资源以静态分析扫描的方式检测、清除病毒。病毒防火墙的“双向过滤”保证了本地系统不会向远程网络资源传播病毒，这一特点是传统单机版反病毒产品根本无法实现的。

（三）网络反病毒软件

反病毒解决方案要求包括一套统一全面的实施软件，能够进行中央控制，能对病毒特征码进行自动更新，并且要能支持多平台、多协议和多种文件类型。NAI（美国网络联盟公司）反病毒软件产品占有国际市场超过60%的份额，它提供了适合各类企业网络及个人台式机全面的反病毒解决方案TVD（Toltal?VirusDefense）ionConsole），可以自动接收来自NAI的最新病毒特征文件和升级软件。利用这些套装软件，可以建立符合企业需求的病毒防御系统。

计算机病毒与反病毒技术篇2

摘要：全球信息网络的建设和发展，对整个社会的科学与技术、经济与文化、军事带来了巨大的推动和冲击，同时也给网络的安全运行带来更多的挑战。资源共享和信息安全是一对孪生矛盾。一般认为，计算机网络系统的安全运行来自计算机病毒的攻击。因此，研究计算机病毒的检测技术就显得很有现实意义。本文将从计算机病毒检测技术的研究背景、方法技术、发展现状以及计算机病毒检测技术的作用等几个方面进行简单的分析和探讨。

关键词：计算机病毒检测技术

1研究背景

计算机网络是信息社会的基础，已经进入了社会的各个角落，经济、文化、军事和社会生活越来越多的依赖计算机网络。然而，计算机在给人们带来巨大便利的同时，也带来了不可忽视的问题，计算机病毒给网络系统的安全运行带来了极大的挑战。2003年1月25日，突如其来的“蠕虫王”病毒，在互联网世界制造了类似于“9.11”的恐怖袭击事件，很多国家的互联网也受到了严重影响。同样，前两年的“熊猫烧香”病毒再次为计算机网络安全敲起了警钟。那么，面对网络世界的威胁，人类总在试图寻找各种方面来进行克服和攻关。入侵检测技术作为解决计算机病毒危害的方法之一，对其进行研究就成为可能。

2计算机病毒的发展趋势

计算机病毒的花样不断翻新，编程手段越来越高，防不胜防。特别是Internet的广泛应用，促进了病毒的空前活跃，网络蠕虫病毒传播更快更广，Windows病毒更加复杂，带有黑客性质的病毒和特洛依木马等有害代码大量涌现。据《中华人民共和国工业和信息化部信息安全协调司》计算机病毒检测周报（2009.3.29—2009.4.4）公布的消息称：“木马”及变种、“木马下载者”及变种、“灰鸽子”及变种、“U盘杀手”及变种、网游大盗“及变种等病毒及变种对计算机安全网络的安全运行构成了威胁。对计算机病毒及变种的了解可以使我们站在一定的高度上对变种病毒有一个较清楚的认识，以便今后针对其采取强而有效的措施进行诊治。变种病毒可以说是病毒发展的趋向，也就是说：病毒主要朝着能对抗反病毒手段和有目的的方向发展。

3计算机病毒检测的基本技术

3.1计算机病毒入侵检测技术。计算机病毒检测技术作为计算机病毒检测的方法技术之一，它是一种利用入侵者留下的痕迹等信息来有效地发现来自外部或者内部的非法入侵技术。它以探测与控制为技术本质，起着主动防御的作用，是计算机网络安全中较重要的内容。

3.2智能引擎技术。智能引擎技术发展了特征代码扫描法的优点，同时也对其弊端进行了改进，对病毒的变形变种有着非常准确的智能识别功能，而且病毒扫描速度并不会随着病毒库的增大而减慢。

3.3嵌入式杀毒技术。嵌入式杀毒技术是对病毒经常攻击的应用程序或者对象提供重点保护的技术，它利用操作系统或者应用程序提供的内部接口来实现。它能对使用频率高、使用范围广的主要的应用软件提供被动式的保护。

3.4未知病毒查杀技术。未知病毒查杀技术是继虚拟执行技术后的又一大技术突破，它结合了虚拟技术和人工智能技术，实现了对未知病毒的准确查杀。

4计算机病毒检测技术的发展现状

目前，国外一些研究机构已经研发出了应用于不同操作系统的几种典型的计算机病毒检测技术。这些计算机病毒检测技术基本上是基于服务器、网络以及变种病毒的。基于服务器的入侵检测技术采用服务器操作系统的检测序列作为主要输入源来检测侵入行为，而大多数基于计算机变种病毒的检测技术则以预防和消除计算机病毒作为终结目标的。早期的计算机病毒检测技术主要用来预防和消除传统的计算机病毒；然而，为了更好地应对计算机病毒的花样不断翻新，编程手段越来越高的形势，最新的计算机病毒检测方法技术更多地集中用于预防和消除计算机变种病毒，打好计算机病毒对抗与反对抗的攻坚战。总之，由于计算机病毒的变种更新速度加快，表现形式也更加复杂，那么计算机病毒检测技术在计算机网络安全运行防护中所起的作用就显得至关重要，因此受到了广泛的重视。相信随着计算机病毒检测技术的不断改进和提高，将会有更加安全可靠的计算机病毒检测技术问世，更好维护网络安全，造福于全世界。

5计算机病毒检测方法技术的作用

计算机病毒检测技术在计算机网络安全防护中起着至关重要的作用，主要有：①堵塞计算机病毒的传播途径，严防计算机病毒的侵害；②计算机病毒的可以对计算机数据和文件安全构成威胁，那么计算机病毒检测技术可以保护计算机数据和文件安全；③可以在一定程度上打击病毒制造者的猖獗违法行为；④最新病毒检测方法技术的问世为以后更好应对多变的计算机病毒奠定了方法技术基础。

虽然，计算机病毒检测技术的作用很大，但并不能完全防止计算机病毒的攻击，我们必须提高警惕，充分发挥主观能动性。因此，加强IT行业从业人员的职业道德教育、加快完善计算机病毒防止方面的法律法规、加强国际交流与合作同样显得刻不容缓。也许只有这样计算机计算机病毒检测技术才能更好发挥作用，我们才能更好防止日益变化和复杂的计算机病毒的攻击。

6结语

随着计算机网络技术的不断发展，计算机给人类经济、文化、军事和社会活动带来更多便利的同时，也带来了相当巨大的安全挑战。现代信息网络面临着各种各样的安全威胁，有来自网络外面的攻击，比如网络黑客、计算机病毒及变种等。因此合理有效的计算机病毒检测技术是防治计算机病毒最有效，最经济省力，也是最应该值得重视的问题。研究计算机病毒检测技术有利于我们更好地防止计算机病毒的攻击，有利于我们更好地维护计算机网络世界的安全，使得计算机网络真正发挥其积极的作用，促进人类经济、文化、军事和社会活动的健康。

参考文献：

[1]卓新建，郑康锋，辛阳.《计算机病毒原理与防治》，北京邮电大学出版社，2007年8月第二版.

[2]郝文化.《防黑反毒技术指南》，机械工业出版社，2004年1月第一版.

[3]程胜利，谈冉，熊文龙等.《计算机病毒与其防治技术》，清华大学出版社，2004年9月第一版.

[4]张仁斌，李钢，侯整风.《计算机病毒与反病毒技术》.清华大学出版社，2006年6月.

[5]傅建明，彭国军，张焕国.《计算机病毒与对抗》.武汉大学出版社，2004年版.

[6]吴万钊，吴万铎.《计算机病毒分析与防治大全》.学苑出版社.1993年10月.

计算机病毒与反病毒技术篇3

1计算机反病毒技术概述

1.1启发式代码扫描技术形式的计算机反病毒技术

启发式代码扫描技术是计算机反病毒技术中最主要的技术之一。通常情况下对启发式代码扫描技术的运用都是由专业人员进行的，在实际工作中，病毒分析人员利用启发式代码扫描技术使计算机病毒防治工作更加智能化，该项技术还运用了统计启发知识，两者的相互结合有助于高效的实现对未知病毒的检测，另外启发式代码扫描技术对于病毒的判断相对比较准确。但是启发式代码扫描技术也存在着不足之处，那就是具有较高的误报率，影响病毒检测的正确性。

1.2行为监测技术形式的计算机反病毒技术

行为监测技术是计算机反病毒技术之一，而且行为监测技术是一种主动性质的防御手段，在计算机程序运行中主要对其行为进行判断的技术。如果计算机程序运行中出现了可疑或者是比较特殊的行为，这时利用行为监测技术就可以及时的报警并采取有效的处理，还可以对不同类型的未知病毒进行检测和防御。但是行为监测技术也存在局限性，它的缺点是不能够有效识别病毒的名称。

1.3沙盒技术形式的计算机反病毒技术

沙盒技术是一种较为先进的计算机反病毒技术。沙盒技术主要是运用虚拟技术和策略限制，来实现对计算机病毒的检测。沙盒技术的主要功能是对计算机病毒进行隔离，相对比杀毒软件的杀毒功能沙盒技术并不具备，这也是其主要的不足之处，但是沙盒技术能够有效的保护计算机系统。

2计算机病毒检测技术的研究及病毒检测方案的实现

针对计算机出现的病毒进行有效分析，研究出合适的计算机病毒检测技术，并做出有效的病毒检测方案，将有效实现对计算机网络安全的保护，推动计算机产业的发展。

2.1行为基础下的病毒检测技术

计算机系统的运行主要是通过编写相应的代码来完成的，而随着编写技术的发展，计算机病毒的编写也更加的隐蔽和复杂，加上变形技术的发展，使得计算机病毒在较短的时间内，逐渐变种成多种模式，而且这些变种的计算机病毒在大小、类型、数量等方面都有着不同之处，它们的相同之处在于病毒的传播速度极快，加大了对计算机病毒的检测工作的难度。因此，相关的计算机病毒检测人员开发了新的技术即行为基础下的计算机病毒检测技术。行为基础下的计算机病毒检测技术能够实现高效的处理那些复杂、大量的计算机病毒程序问题，从而解决了固定性的病毒。另外它还可以不需要收集完整的信息数据，完成对变异病毒、已知病毒和未知病毒的检测和处理。

2.2全面病毒检测技术

全面病毒检测技术是一种全面、完整的病毒检测技术，主要是针对计算机中的已知和未知的病毒进行的检测。全面病毒检测技术可以实现对计算机存在的病毒进行有效修复。具体的病毒防治方法是，首先，对计算机内的文件和内容进行全面的掌握和了解，寻找已经被计算机病毒更改的文件内容。其次，利用原有的文件信息覆盖被病毒更改的文件内容，修复被计算机病毒修改的文件内容，达到对计算机病毒彻底清除的目的。

2.3数据加密形式病毒检测技术

运用加密手段实现对计算机数据的保护是计算机病毒防治中普遍使用的。数据加密保护主要是对计算机安全的保护和计算机代码被破译的保护，当数据被计算机病毒侵入的时候，使用加密手段可以阻止这一行为，实现对数据的保护;而且在数据传输中使用加密手段也可以防止信息被窃听的等问题。但是对数据进行加密需要建立相应的管理方案或者密匙交换，目的是为了适应资源有限性的特点，保证信息传输部署的合理，保障计算机网络的安全。

2.4启发式扫描病毒检测技术

启发式扫描病毒检测技术是通过杀毒软件的记忆功能，根据杀毒软件已有的计算机病毒类型，对计算机进行病毒检测。当计算机内出现和杀毒软件内存储的计算机病毒类型相似的情况，启发式扫描病毒检测技术就会及时的发出警告，来提醒使用者尽快的对其进行有效处理。而启发式扫描病毒检测技术对与未知的计算机病毒进行检测时，对计算机有一定的要求，要保证其在正常的运行时才能进行检测工作。具体的工作程序是，扫描计算机内的所有程序，对计算机内的病毒进行查处和分析，并提醒使用者及时处理计算机内的病毒。

计算机病毒与反病毒技术篇4

第一，计算机病毒数据库具有很强的扩散性。我们需要清楚的是，计算机病毒数据库具有很强的自我复制功能，如果计算机的数据库一不小心感染了某种病毒，那么病毒数据在短时间内就会迅速地自我复制或扩散，从而使得计算机的整个数据库感染病毒，最终甚至会导致计算机的整个工作系统瘫痪。第二，计算机病毒数据库具有明显的破坏性。从实际上来看，计算机数据库本身不是一种病毒，但是一旦染上病毒，那么这些有病毒性的程序代码或指令等组成的病毒数据库，就会尽可能的展现它的破坏性，从而也就进一步地破坏了计算机的整体运行系统。第三，计算机病毒数据库具有较强的隐蔽性。计算机病毒数据库，作为具有病毒性的指令或程序代码的集合，它会想方设法的把自己隐藏起来，将自己夹杂在安全性的指令或程序当中，从而使得它们自己很难被发现，这样一来，它们就达到了给计算机系统造成不同程度的破坏和损坏的目的。

2在对计算机病毒数据库的数据挖掘方面存在的问题和局限

2.1对计算机病毒数据库的数据挖掘技术有限据有关调查，目前的信息技术行业对计算机病毒数据库的数据挖掘在技术方面还是存在局限与问题的；从客观层面上来讲，没有哪一种计算机的技术可以完全杜绝或制止计算机病毒对计算机数据库的侵入和威胁，这种糟糕情况的出现，不仅给单个计算机的系统造成损害，而且给整个计算机技术行业在某些时候也会造成不必要的损失和危害。所以说，开创有关减弱甚至是消灭计算机病毒数据库的计算机技术就显得尤为重要。

2.2对计算机病毒数据库的数据挖掘效率极低我们都知道，可以利用相应的计算机技术来对计算机病毒数据库的数据进行挖掘，但是就目前而言，单一而又较为简单的计算机技术很难高效地对数据进行挖掘，只能够从具有病毒的数据库中挖掘出极少数数据甚至是挖掘不出来。所以说，提高计算机病毒数据库的数据挖掘效率也就显得尤为重要。

2.3对计算机病毒数据库的数据挖掘成本较高值得注意的是，某些计算机病毒数据库中的数据是值得使用和发挥作用的，所以，计算机行业的某些操作人员就会尽可能采用多种渠道和方法来对有用的数据进行挖掘和分析，这样一来，通常花费的成本就会相对地高，不免也就会给某些企业造成沉重的负担。所以说，降低对计算机病毒数据库的数据挖掘成本就显得尤为重要了。

3计算机病毒数据库的数据挖掘的策略与方法

3.1实施相应的计算机病毒监控技术如何进一步地减弱计算机病毒对计算机数据库的侵入和威胁，我们需要慎重考虑，而实施相应的计算机病毒监控技术已成为此时的无疑之策；进一步来说，就是设置多种监控技术，例如设置内存监控，配备相应的文件监控，还有就是注册不同的表监控等等，这些都是有效地减弱甚至是防止计算机病毒侵袭数据库的监控技术。总之，我们通过这些技术，就会尽可能的从计算机病毒数据库中挖掘出需要的数据。

3.2配置适当的计算机病毒源的追踪设备据有关部门调查，目前使用较为有效的计算机病毒源的追踪设备就是邮件追踪设备，它能够有效地通过相应的消息或指令来对计算机的查询进行追踪，这样就能够高效地检测出是否有计算机病毒侵入。依据这种情况，我们可以进一步开拓思维，尤其是计算机行业的管理员和操作人员，更应该为计算机设计出以及配置适当的不同的计算机病毒源的追踪设备，从而使人们在计算机病毒侵入数据库的情况下，仍然能够得到自己想要的正常数据。

3.3设置独特的计算机反病毒数据库所谓的计算机反病毒数据库，就是在计算机操作系统的底部值入反病毒的指令或程序，让它成为计算机系统内部数据库的底层模块，而不是计算机系统外部的某种软件。这样一来，当计算机的病毒侵入系统内数据库时，就会被底层的反病毒程序代码或指令反攻出来，就进一步达到了减弱甚至消除计算机病毒对计算机数据库的侵袭和威胁的目的，那么我们这时就可以挖掘出必需的数据了。

4结束语

计算机病毒与反病毒技术篇5

关键词：病毒；代码；扫描；加密

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）08-0039-02

1计算机病毒的检测技术

1.1特征代码扫描法

现今经常使用的计算机病毒扫描软件通常有两部分组成，一部分是扫描程序，扫描程序是通过计算机病毒代码库进行扫描，而另一各部分就是病毒的代码库，特别选择的是一些常见以及危害性大的计算机病毒的代码。对于计算机病毒扫描程序的工作方式就是计算机中的病毒，而识别所要依据的标准就是病毒代码库中的病毒种类数量。因而从这个层面来说，计算机病毒代码库中代码种类越多，数量越庞大，扫描程序可以识别的病毒种类也越多，可以为计算机排除的安全隐患也越多。所以，计算机病毒扫描程序的关键就是选择合适的病毒代码串。对于选择合适的计算机病毒代码串的原则有五项可供参考：1）首先代码串一般不包括数据区域，这是因为病毒数据区的多变和不易琢磨造成的。2）针对不同的病毒代码，长度差别较大。短的可能只有百来字节，而长度长的可能达到10K字节。可是，如果任意选择病毒本身的其中一段作为病毒特征代码串，这样这种不具备任何特征性质的代码串就不会具有特定的性质，因而在不同的环境中会产生不同的反应，结果导致不能成功胜任检测相应病毒的工作。这样看来，病毒库的特征代码串准确选择对于检验相应病毒的作用就显得尤为重要和关键。3）注意在病毒的监测工作中，不要总是改变病毒特征代码串，要注意保持病毒的唯一性，以不变应万变。因而应避免过长的病毒特征代码的长度过长，减少在建设空间和时间上的开销。4）注意特征码的一项重要功能一定是可以准确无误的分析出正常程序和病毒程序，不能混淆两者，导致计算机运作的混乱。5）为了可以正确选择出最具有代表性的病毒代码串，使其的工作效率达到最高，应该严谨细致的分析程序。

1.2特征字扫描法

上文中所提到的利用病毒特征代码串的方法是常见的一种病毒甄别方法，在此基础上，计算机病毒特征字扫描法是技术上一种全新的进步。相较于传统的病毒特征代码串的病毒检测方法，特征字检测法的优势更为突出和鲜明：误警报少，检测病毒速度快。因为特征字检测病毒的方法的技术依据是只需要抽取病毒体中的少量关键字特征即可，简化了工作环节和减少了工作数量。特征字扫描法的工作界面仅仅是操作少量的字节，不需要像病毒特征代码串的扫描方法一样进行串的匹配，这样简化的工作步骤就直接加快了工作的进度，提高了工作的效率。特别是在处理一些程序较为复杂和数据颇为庞大的应用时，这种特征字扫描法的优势就显得尤为明显和突出。

1.3启发式病毒扫描检测技术

所谓启发式技术是计算机病毒检测的全新手段，启发式技术的核心是借助于杀毒软件的内部记忆功能，确定和存入不同的病毒类型，开启的工作程序就是在计算机遭受同样或者类似的病毒侵袭的时候，可以十分快速地捕捉到病毒的敏感信号，及时进行计算机应用程序的识别和处理，果断给予使用者以警告，从而避免了病毒对于计算机的伤害。启发式技术的一大功能性特点就是当启发式技术运行来检测和查杀计算机内的病毒的同时，还可以保证计算机系统的正常运行和工作。启发式技术的工作流程是全方位立体式的对计算机内的所有程序进行实时的检测和处理，一旦发现病毒就要立时进行查杀和处理。但是在启发式扫描技术的工作过程中，错误率较高，时而会出现虚假的警报。这是因为启发式技术所能分辨的病毒类型和特点不够确切和完整，所以在模棱两可的情况下，为了保险起见，一律划归到病毒的处理行列。

1.4数据加密

众所周知，数据安全是互联网时代的一大重要议题，同时也是当今世界计算机用户最为关心的问题之一。而对于书籍数据安全的保证措施之一就是机密，这种技术手段所发挥的功能就是当数据不幸被攻击者截获之后，可以保证数据的安全和不被破译。当今社会的信息泄露和窃听问题是全世界所关注的焦点，信息的保护工作就显得尤为突出和重要。现在广泛使用的解决信息窃听问题的技术手段之一就是重点加密传输信息。但这项工作开展的先决条件是稳定和灵活的管理方案和密钥交换。想要密钥管理方案发挥其真正的功能，要保证方案可以灵活适应感知节点的资源有限的这一特点。结合这一特点的发挥，可以更方便的安排和部署，保证整个网络的安全和不被破坏。随着现在加密技术的越来越发达，加密技术的越来越先进，设计出既满足高效要求又能更好保障安全的方案就是现在加密技术的核心研究方向。

1.5完整性检验

需要注意的是，在计算机病毒的检测技术中，关键的是完整检验处病毒的特征和要点，这里的完整是不仅针对已知的病毒源更要注意未知的病毒源。利用完整性检验的手段，可以更好修复被病毒侵袭的计算机系统。针对完整性检验的工作程序是首先充分了解计算机文件或者引导扇区的内容，在充分了解的前提下，开展针对那些被篡改的进行修复工作，并且会用还原的信息覆盖住被更改的信息内容。

1.6虚拟机技术

在对抗各色计算机病毒的技术中，较为高端和先进的技术当属虚拟机技术。虚拟机技术在国际上的反病毒领域内颇负盛名，属于国际反病毒领域的前沿和尖端技术。虚拟机技术的显著特点就是更加接近于人工分析，智能化水平很高，因而技术运行时定位病毒和查杀病毒的准确性也随之大幅度提高。当计算机病毒检测的应用程序发现可疑样本时，计算机会谨慎考虑其所具有的风险性，所以不会立即运行这个程序，而是分析其程序组成，紧接着做的一步就是跟踪这个可疑程序的执行步骤，仔细查看其是否带有传染性模块，是否还兼具破坏性模块。带有传染性模块的病毒称之为病毒，而针对那些都带有破坏性模块的程序，就是极其危险的恶性病毒了。这是病毒检测的步骤和要求。

对虚拟机技术而言，利用程序代码建立一个虚拟的系统运行环境，其中含有虚拟内存空间、CPU的各个寄存器，也有时包括硬件的端口虚拟。在这种虚拟的系统运行环境下，可以假设很多病毒入侵的情景，然后借助调试程序将程序样本调入，把操作程序运行的每条命令都放在虚拟的环境下完后。这种完全虚拟的环境更便于我们的操作和控制，特别是可以控制程序的执行，通过变化内存、寄存器以及端口的方式。但是正如任何事物都有其两面性，在虚拟机技术追求病毒检测高准确性的同时，虚拟机的劣势也凸显了出来，就是虚拟机技术的运行速度过慢。由于虚拟机技术的运行步骤的复杂，导致虚拟机技术的运行时间比一般程序运行的时间慢几十倍甚至上百倍，而且还有一个关键问题需要考虑的是，现实中不可能虚拟出一切执行程序的代码，这要是虚拟机技术的局限所在。

1.7主动内核技术

随着技术的不断进步，病毒的版本也在不断升级和更新，防御和干扰体系更为顽固。但是之前在检测病毒的技术中，不论是采用防病毒卡还是自升级的软件反病毒产品[1]，都是一些被动防御病毒的技术。被动防御理念最大的问题就是其操作环境是当病毒已经入侵了计算机系统之后才开展的反病毒程序，已经使计算机遭受到了病毒的侵害才被动采取应对措施，不免有些亡羊补牢的意味。这类技术手段无法避免计算机所受到的侵害，即使最终消灭了病毒，也会给计算机系统本身带来安全隐患，这都是应该注意的问题。因而，主动内核技术在这种环境下应运而生。主动内核技术，顾名思义就是采用主动干扰病毒的技术手段，可以保证在病毒突破计算机系统的瞬间，保护计算机免受伤害。这种主动追击病毒的理念一直是计算机病毒检测工作研究者们的想要达到的目标。主动内核技术的优点是不会在查杀病毒的同时伤及到计算机系统，并且还可以有效的对想要入侵计算机系统的病毒给予有力打击和彻底拦截[2]。主动内核技术的优势就在于和以往的计算机病毒检测技术相比，拥有主动的话语权，不会像传统的计算机病毒检测技术一样，本身并不具有防护能力，只会在病毒侵害里计算机系统之后做一些善后工作，来治疗病毒感染的计算机系统。这种被动防御的计算机病毒检测技术的清除病毒的力度不够大，还是会给计算机的本身系统带来安全隐患。

其实综上所述，主动内核技术的真正核心理念，或者精髓所在，就是针对计算进系统的操作内核，给计算机操作系统和网络系统打一个补丁，这个补丁的打法不是被动而是主动的，之后病毒检测技术的运行就围绕这个补丁开展。用这个补丁对于计算机系统的漏洞进行修补，并且从安全和稳定的双重角度去管理和检查整个计算机的系统或者网络。

1.8网络备份存储管理系统

众所周知，为了避免由于计算机系统被病毒感染而造成计算机系统的重要信息丢失这一严重后果，所以传统意义上来讲，利用备份已经完成的数据文件这一方法来规避风险。所谓网络备份存储管理系统，是指利用存储设备和硬件设施[3]，然后借助于存储管理软件的帮助，进行数据文件和信息的统一收集和管理。支撑起网络备份存储管理系统的核心技术是备份管理软件这一功能的完成，在备份的前提下开展计算机系统的继续运行，是安全无虞的。并且需要注意的是，计算机病毒检测技术中的网络备份存储管理系统的运行，可以在原有计算机的数据文件被破坏后可以借助备份的数据文件进行替换和覆盖，不影响计算机系统的正常运行和稳定操作，从而可以最大程度的最好的实现计算机网络数据备份与恢复的智能化管理和高效性的服务。

2总结

综上所述，现今计算机病毒的技术主要采用的是隐藏技术，就是指在计算机病毒在静态保存和动态运作的时候，采取一些为了躲避计算机系统或其他应用程序的检测的技术和方法，就为了可以更好地隐藏自己使其不被发现。隐藏技术是计算机病毒现今采用最为高端和广泛的一种核心技术，因而针对这种计算机病毒的隐藏技术，本文提出一系列行之有效的检测手段和思想作为后续计算机病毒检测技术的参考。

参考文献：

[1] 张勇，张卫民，欧庆于，等.基于主动学习的计算机病毒检测方法研究[J].计算机与数字工程，2011，39（11）：89-93，105.

计算机病毒与反病毒技术篇6

【关键词】计算机 病毒 防治措施

【中图分类号】TP309.5 【文献标识码】A 【文章编号】2095-3089（2013）06-0166-02

计算机技术的发展，使得计算机病毒技术不断发展，随着计算机网络的发展，计算机病毒也从单机病毒发展到网络病毒，从单机传染、破坏到网络的传播、破坏，综观病毒的发展史，当一种新的计算机技术出现以后，新的病毒技术也相继出现，病毒迅速发展，接着反病毒技术的发展会抑制病毒流传。目前，计算机硬件、软件不断向高技术发展，未来的计算机病毒也朝着更高技术方向发展。

1.计算机病毒概述

1.1计算机病毒定义

计算机病毒是一组通过复制自身来感染其它软件的程序。当程序运行时，嵌入的病毒也随之运行并感染其它程序。一些病毒不带有恶意攻击性编码，但更多的病毒携带毒码，一旦被事先设定好的环境激发，即可感染和破坏。

1.2计算机病毒特性

1.2.1 传染性

计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。因此，这也是计算机病毒这一名称的由来。

1.2.2 潜伏性

有些计算机病毒并不是一侵入你的机器，就会对机器造成破坏，它可能隐藏在合法文件中，静静地呆几周或者几个月甚至几年，具有很强的潜伏性，一旦时机成熟就会迅速繁殖、扩散。

1.2.3 隐蔽性

计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序，如不经过程序代码分析或计算机病毒代码扫描，病毒程序与正常程序是不容易区别开来的。

1.2.4 破坏性

任何计算机病毒浸入到机器中，都会对系统造成不同程度的影响。轻者占有系统资源，降低工作效率，重者数据丢失、机器瘫痪。

除了上述四点外，计算机病毒还具有不可预见性、可触发性、衍生性、针对性、欺骗性、持久性等特点。正是由于计算机病毒具有这些特点，给计算机病毒的预防、检测与清除工作带来了很大的难度。

2.计算机病毒的主要传播途径

计算机病毒具有自我复制和传播的特点，因此，只要是能够进行数据交换的介质都有可能成为计算机病毒的传播途径。

2.1通过移动存储设备来传播，包括软盘、光盘、U 盘、移动硬盘等。其中 U盘是使用最广泛、移动最频繁的存储介质，因此也成了计算机病毒寄生的“温床”。

2.2 通过网络传播，如电子邮件、BBS、网页、即时通讯软件等，计算机网络的发展使计算机病毒的传播速度大大提高，感染的范围也越来越广。

2.3 利用系统、应用软件漏洞进行传播，尤其是近几年，利用系统漏洞攻击已经成为病毒传播的一个重要的途径。

2.4 利用系统配置缺陷传播。很多计算机用户在安装了系统后，为了使用方便，而没有设置开机密码或者设置密码过于简单、有的在网络中设置了完全共享等，这些都很容易导致计算机感染病毒。

2.5 通过点对点通信系统和无线通道传播，在无线网络中被传输的信息没有加密或者加密很弱，很容易被窃取、修改和插入，存在较严重的安全漏洞。目前，这种传播途径十分广泛，已与网络传播一起成为病毒扩散的两大“时尚渠道”。

3.计算机病毒的防治措施

3.1建立新型的病毒防治理念

由于计算机软件的脆弱性和互联网的开放性，以及计算机技术的广泛应用，要从根本上完全杜绝和制止计算机病毒的产生和发展是不可能的。我们所面临的计算机病毒的攻击事件不但没有减少反而日益增多，病毒的种类也越来越多，破坏方式日趋多样化。面对此种严峻形势，我们必须建立新型的病毒防治理念，进一步提升病毒科学防治意识。

3.1.1树立积极应对的观念

面对来势凶猛的病毒攻击，我们必须保持清醒的头脑，克服麻痹、侥幸、恐慌心理，采取积极的态度，不断提高病毒防范意识和水平，认真、负责地把病毒防治措施落到实处。

3.1.2树立群防群治的观念

计算机应用具有独立性和相关性两重属性，一旦一台计算机系统受到病毒的攻击，就很可能会波及其它计算机系统。所以必须坚持以人为本，加大宣传力度，动员全社会力量，人人参与，综合治理，才能有效地控制计算机病毒的蔓延。

3.1.3树立持续发展的观念

计算机病毒防治是一项长期、艰巨的工作，不能有丝毫的放松、懈怠，应长期防治，持之以恒，并根据计算机技术发展的要求，不断提高防范理念、水平、措施。经常性地对计算机病毒问题进行专题研究、交流，推动计算机病毒防治工作的发展。同时，要不断加强计算机信息安全人才的培养，提高各级计算机安全人员的安全技术水平，造就一支计算机信息安全专业技术队伍。

3.1.4树立科学防治的观念

紧紧依托科学技术，加大科技投入，构建先进的防病毒系统，并充分发挥科技新成果的功效。建立与国家计算机病毒应急处理中心、公安机关计算机监察部门及有关防病毒专业机构的联系，及时掌握病毒防治技能。

3.2建立完善的病毒防治机制

3.2.1组织管理机制

在管理上应建立相应的组织机构，采取行之有效的管理方法，扼制计算机病毒的产生、传播和危害。各级部门要设立专职或兼职的安全员，形成以各地公安计算机监察部门为龙头的计算机安全管理网，加强密切配合、信息共享和技术互助。

3.2.2法规管理机制

计算机病毒的防治应有相应的规章制度、法令法规作保障。计算机病毒的编制、蓄意传播扩散是一种危害社会公共安全的行为，应受到国家法令、法规的打击。各级部门也要建立和完善病毒防治规章制度，对计算机操作人员、数据存储介质、软件、硬件及操作规程进行规范管理，制止违规行为。

3.2.3应急处理机制

坚持“积极预防、及时发现、快速反应、确保恢复”的病毒防治原则，建立一套行之有效的防范计算机病毒的应急措施和应急事件处理机构，以便对发现的计算机病毒事件进行快速反应和处置，为遭受计算机病毒攻击、破坏的计算机信息系统提供数据恢复方案，保障计算机信息系统和网络的安全、有效运转。

3.2.4病毒预警机制

需建立一种快速的预警机制，能够在最短的时间内发现并捕获病毒，向计算机用户发出警报，提供计算机病毒的防治方案。

3.2.5病毒报告机制

一旦发现计算机病毒，应及时向应急中心报告，如果是重大计算机病毒疫情要报告公安部门，以便能迅速地向社会病毒疫情，减少计算机病毒对我国计算机信息系统和网络的破坏。

3.3建立科学的技术规范

3.3.1产品的准入程序

对计算机的硬件、软件及安全防范产品要严格按照有关技术标准，把好准入关。对新购置的机器和软件不要马上投入正式使用，经检测后，试运行一段时间，未发现异常情况，验收合格方可交给有关部门使用。

3.3.2系统的安装标准

由于很多病毒的传播利用操作系统及相关软件的漏洞和缺陷，因此计算机系统软件安装的完整性是确保系统安全的前提。在操作系统安装完成后不能马上投入正式使用，还要安装相关软件。一是为系统打好最新补丁，修补系统本身存在的漏洞，堵住病毒入口；二是利用单机版查杀病毒软件，对系统进行全面、彻底的病毒清除，提高防病毒系统环境的安全性和可靠性；三是制作系统启动应急盘，防止引导型病毒对系统的破坏；四是安装防毒软件，并根据自身需求合理配置软件功能，使病毒防护产品发挥最大功效保护系统安全。

3.4防范的技术措施

3.4.1传播途径的控制

建立和执行严格的数据软盘和外来软件的病毒检查制度，不要随便使用在别的机器上使用过的可擦写存储介质（如：软盘、硬盘、可擦写光盘等）。

3.4.2数据的安全保护

将操作系统单独存放于一个逻辑分区，数据、文件等存放在其他的逻辑分区，并做好系统以及数据的备份，以便在遭受病毒感染后及时恢复，降低损失。

3.4.3防病毒软件的管理

及时升级杀毒软件和病毒库，启动实时监控功能，关闭不必要的端口，以提高系统的安全性和可靠性。

3.4.4网络的安全管理

加强对内部网络的资源管理，建立网络监测系统和防火墙系统，杜绝非法外联，扼制非法入侵，对于重要部门的计算机要尽量专机专用，并与外界隔绝。

4.结语

互联网的发展，使病毒制造手段越来越高明，结构越来越特别，病毒、黑客、后门、漏洞、有害代码等相互结合，更具有隐蔽性、破坏性，传播能力更强.所以，研究计算机未来病毒的发展趋势，提高反病毒技术，防治计算机病毒，减少病毒的危害，将是我们信息时代能否健康发展的关键。

参考文献：

[1]袁忠良. 计算机病毒防治实用技术[M].清华大学出版社

[2]张忠利. 浅谈计算机病毒[J]. 科技资讯， 2009，（29）

[3]张文娜. 计算机病毒的特征与防治[J]. 光盘技术， 2008，（01）

[4]李亚芳. 浅谈计算机病毒的特点及防治措施[J]. 中国科技信息， 2009，（07）

计算机病毒与反病毒技术篇7

关键词 网络安全；计算机病毒；反病毒技术

中图分类号：TP309 文献标识码：A 文章编号：1671—7597（2013）032-145-01

1 计算机病毒的概念

计算机病毒的理解多样，现今最广泛的解释为：计算机病毒是附加在某程序上，可自己繁殖的程序代码。复制带有病毒的程序后形成的新病毒一样具备感染能力。

病毒生长周期历经下面四个过程：

1）潜伏过程：在此过程的病毒属休眠状态，病毒后期会在条件允许的情况下（如时间、某指定程序或指定文件的打开、或内容量超值）被激活。当然不是所有病毒都历经这个阶段。

2）传染过程：带有病毒的程序被复制后传到其他系统或磁盘的某区域，以此程序便会带有被复制的病毒，然后进入感染过程。

3）触发过程：在条件满足的情况下，病毒被激活后就会根据他特殊的功能运作以达到最终的目的。这就像病毒在潜伏期，它自身的复制次数或者其他的系统事件都会触发它。

4）发作过程：当病毒触发条件得到满足时变能够在系统中运行。不同病毒运行的毁坏程度是不一样的。也存在无害病毒，有些干扰信息对系统来说是一个很大的危害，比如毁坏电脑程序甚至破坏文件数据。大多数的病毒是根据特定规律来运行工作的，比如指定操作系统或指定硬件平台。机器上的全部病毒不可能被简单的杀毒程序“全盘托出”。

2 常见病毒分类

病毒发作飞速蔓延，给用户们带来的麻烦和困扰与日俱增。尤其从2003年以来，对机器造成较为严重影响的病毒逐年增加。下表是最近几年所出现的病毒类别。

3 计算机反病毒技术

1）特征值查毒法。根据病毒的功能或运行效果表明，病毒是一类很特别的程序。当然，每一种独立的病毒在其代码上会存在不同于其他病毒的程序。由此研究制作出普遍查杀病毒的方案，首先分析这种病毒特征及功能时要十分缜密，我们将取出其不同于其他程序里的代码，接着将提取出的代码特征作为代码标志来扫描程序和特定的病毒。最终，感染了这种病毒的所有程序都在此代码标志的扫描下被扫描出。这就是现在反病毒软件中比较流行的“特征值查毒法”。

如果只查杀一个病毒那么以上程序就可以完成。但是反病毒软件一般是对千万病毒批量查杀。现最佳方案是将反病毒软件分开执行：病毒扫描引擎和病毒特征库。我们可以按照两种方法来设计反病毒引擎：①查杀所有的文件，将特殊的字符串进行重新比对。此时病毒特征值要取出是很难的，之所以难是因为要求高，所取出的特征值在别的程序里不再出现或出现的可能性很低。反病毒引擎开发人员会对这个特征值的长度制定一定的范围。②仅根据病毒的相应特征值和特征值出现的位置来匹配。不一一对每个文件全盘查杀。特征值的提取方法很简单，但有时也出现某些问题。

笔者认为，结合两者特点同时互相补充的办法是个不错的选择。

2）虚拟机技术。多态和变形病毒造成的毁坏让传统的特征值查杀病毒技术不知所措。导致此情况的原因是传统特征值查杀病毒技术只负责对静态文件扫描，然而，多态和变形病毒只能在系统运行后才显现真面目。

怎样让多态和变形病毒在系统运行以后再对系统全面查杀呢？此方法是可行的，但此时病毒已在系统中运行，也就是说已开始破坏我们的机器了。以上表明病毒在系统运行后查杀方法暂不可取。假设让病毒在虚拟环境中运行便很容易的把问题处理了。

为更深一步查杀多态、变形等加密病毒，因此“虚拟机技术”被挖掘出世。它又叫软件模拟法，这是一种软件分析器，采取软件方法来模拟和分析程序的运行。特点是当程序在运行时不会对机器系统起实际的作用（仅是“模拟”），因而不会对系统造成损坏。其目的就是让病毒在虚拟环境中运行而查杀其病毒代码。

3）启发式扫描技术。让有病毒调试经验的工作人员对病毒样本进行追踪，他们可根据几十条甚至几条指令判定文章是否有病毒。启发式扫描技术是启发性扫描，它的作用是分析文件中的指令序列，依据统计知识来判断此文件是否被感染，也有可能会查到未知病毒。

4 结束语

根据当前网络安全现状分析，计算机病毒已是现今网络安全重大危害因素。病毒给我们带来的危害程度和后果很严重。并且国内现有的病毒技术资料相对实际病毒技术的水平还是比较落后的，另外国内很多杀毒公司所研发的反病毒技术的水平和他们所做的广告相差很大，根本达不到广告中的水平，这些不负责任的夸大的广告只是让大部分的用户对他产生依赖性，但是这是完全没有安全保证的。因此，对计算机病毒的防御常识普步伐被阻碍了，同时，我们对抗病毒的能力和技术的提高也慢了下来。这些信息提示我们，我们不能只加强病毒的防范工作，加深病毒的研究工作，还应该让广大的计算机用户知道对于防范计算机病毒的实际情况和最基本的知识。

参考文献

计算机病毒与反病毒技术篇8

[关键词]计算机网络病毒；数据挖掘技术；防御；DMAV系统

一、计算机网络病毒技术

加密技术就是当前计算机病毒中最为常见的一种，它的特点就是能够实现对病毒本体的隐藏，并存在抗分析效能。在最关键的加密环节，该病毒则运用到了病毒密文代码，它潜伏于病毒的宿主程序中，在程序运行过程中，它能够精确实现对密钥的触发及病毒解密密码执行过程，让加密前的明文病毒代码转化为密文病毒代码，实现病毒的成功变形，即加密多形病毒。

另外还有程序演化，该套技术也是目前计算机网络病毒的主要变形技术，它所指的程序演化是从一个对源程序的出发，在不改变任何程序功能的前提下来实现计算机程序等价指令的变量替换，促使程序演化指令代码快速异变。譬如说等价指令序列替换、指令重排序、变量寄存器替换、插入垃圾指令等等都是病毒程序所善用的程序演化技术，成功的程序演化可以让病毒衍生出多个变体，使计算机反病毒体系顾此失彼，防不胜防，在其漏查漏杀的状况下，大量网络病毒就会陆续入侵到计算机系统中，造成大面积系统伤害。

可以说，当今计算机网络病毒的多变特性及技术性也为计算机反病毒体系带来了十分严峻的考验。所以要在病毒技术不断变形发展的同时，加快节奏对反病毒防御体系的构建。

二、数据挖掘技术

（一）数据挖掘技术的基本概念

数据挖掘技术的精髓指出就在于它能够从人们所预先未知的潜在层次中大量、随机挖掘有价值的应用数据及信息知识，为他们建立规则模型，进而来体现它们的作用。综合来讲它是具有交叉性的综合性学科，显而易见它所涉及的领域包括模式识别、归纳推理、机械学、统计学以及数据库管理等等，所以数据挖掘是具有相当广阔的发展应用前景的。

（二）选择数据挖掘技术建设计算机网络病毒防御体系的原因

就目前对数据挖掘技术的发展与研究形势来看，它不仅作为一个关键的信息科技领域课题而存在，而且还被许多IT企业思维是计算机网络病毒防御的重中之重，希望通过它的技术优势来建立更加稳固的防御体系，抵御网络病毒于千里之外。因此选择数据挖掘技术来进行病毒主动防御体系建立主要有以下考虑：第一，目前对众多反病毒软件的研发已经初见成效，并在实践过程中积累了多元化的病毒样本，为数据挖掘技术建设奠定优秀基础平台。依据该技术的发展特点来看，它完全可以在任何类型的信息存储环境中实施防御体系建设；第二，如今是讲求大数据的信息爆炸时代，必须要合理应用数据挖掘技术来提取计算机网络系统中有价值信息。在对信息进行挖掘过程中，对大量病毒样本的提取也可以帮助人们发现数据万巨额模型与数据本身之间所存在的微妙关系，所以利用这样的关系也可以对某些已知的计算机网络病毒和未知病毒进行分析、预测，从而为建立主动病毒防御对策而创建思路。再者，数据挖掘技术的关联规则挖掘相当实用，且可拓展范围广泛，基于它相关理论的一些研究也有利于对计算机网络病毒防御体系的研究。

（三）基于关联规则挖掘的OOA挖掘技术分析

本文所探讨的数据挖掘技术就围绕OOA挖掘技术展开，所谓OOA（Objective-Oriented utility-based Association min-ing）就是面向目标对象的，基于效用度关联规则挖掘所展开的算法，它所针对并满足的是计算机网络系统中的特定目标用户，基于其目标的效用度与关联规则展开数据挖掘行为。

从OOA挖掘技术的项目集表现来看，它的数据挖掘行为是相对频繁的。而如果项目集中所体现的OOA挖掘行为并不频繁，这表示项目集属性也是不频繁的。那么根据以上描述就可以了解到，OOA挖掘技术基本能满足传统Apriori算法（挖掘关联规则频繁项集算法）在数据挖掘行为中的实现。经调查得知：OOA挖掘技术的主要算法与Apriori算法在形式上是基本类似的。但与传统ICOA挖掘技术相比，它的项集相关性在本文中将要提到的DMAV系统中会产生满足于特定目标关联规则的挖掘数据。而该挖掘数据在满足一定条件下就可判断其是否是可以文件数据或病毒，因此下文将结合OOA挖掘算法，并实施修正，将其应用于DMAV系统所创建的规则生成器中，建立真正的计算机网络病毒防御应用体系。

三、基于OOA数据挖掘技术的DMAV病毒主动防御系统的设计与应用

（一）DMAV系统

DMAV系统通过数据挖掘技术对计算机网络变形病毒与未知病毒实施检测与主动防御，是综合性平台。它通过改进后的OOA挖掘算法开启对计算机网络数据库的学习，基于OOA规则生成器来建立目标关联规则。当系统在判定可疑数据文件是否存在病毒时，它会导出WinAPI函数来对可以文件进行扫描，并对其数据规则的每一条进行校对，当其规则满足数据库中条件时，就可视为该文件为病毒文件。

（二）PE文件剖析器

PE文件剖析器的关键就在于它的WinAPI调用序列，它能够反映计算机网络系统的代码段行为，并调查网络病毒的来源与去向。以某一网络病毒“LoveGate”为例，调用部分WinAPI函数来实现3点说明。

首先，LoveGate是通过调用GerVersion函数来获取网络系统版本号的。

其次，它也通过调用上述文件中的ShellExecute函数来终止当前可能存在的反病毒软件监控行为。

最后，在调用Net PI.DLL和SVRAPI.DLL函数时，DMAV系统会微计算机网络创建有效的安全信息目录。

所以说，WinAPI函数调用序列真正能做到对某个或多个病毒文件所实施全部行为的实时反应。

（三）OOA规则生成器

围绕Apriori算法，OOA挖掘技术所创建的OOA规则生成器可以实现实际算法，进而对OOA频繁集里的所有关联项目集实施判断，从而找出病毒文件。

OOA-Apriori算法应该是产生于OOA的频繁集产生规则中的，所以当每个频繁集产生后，都只需要扫描一次数据库即可作出PE文件判断。当该算法中包含了集k-hemSet时，考虑由于数据都在特征人库过程中，所以它们的有序向量都是针对事务t的搜索所展开的，这就为DMAV系统主动防御病毒腾出了大量的有效空间与时间。

（四）可疑文件扫描器

当前两项计算对PF可疑数据文件中的病毒样本进行特征提取之后，就需要利用可疑文件扫描器来对它的特征优化部分与规则部分进行进一步提取。但同时为了提高数据提取的精确度，还要在实施进一步扫描前对诸如WANDER和WADERS的序列进行重新排列。新的排列序列基于重拍算法展开，通过矩阵来实现演算结果。比如说设定矩阵首行为Am，当首列为0行0列时，对设定矩阵进行判定，看病毒PE文本文件的特征向量间距离是否已经超出了DMAV系统所规范的常规阈值，如果文件超过规定阈值标准，则可认定该数据文件是病毒文件，需要及时处理。

目前的DMAV计算机网络病毒主动防御系统都是基于VC++语言展开界面设计的，并调动系统中的常用描述方法来检测界面中可能存在的可疑数据文件。该系统的一大特色就是会主动为用户设定可以扫描路径，并展开主动检测工作，及时判定某些PE文件是否是病毒文件。主要将其与系统中导出的WinAPI函数调用序列进行基于规则的文件比较，如果其文件向量均满足规则库中所提出的某一规则，那么就可认定网络系统中出现了病毒文件。

计算机病毒与反病毒技术篇9

【关键词】网络传播；计算机病毒；原因分析；防御策略

进入二十一世纪后，随着计算机网络的普及和Internet技术的日趋成熟，网络无形中已经深入到人民生活的多个方面，无论是日常生活交流还是出门旅游，人们对信息网络的依赖程度也不断上升。利用网络全球互联的特性和网络系统自身的漏洞进行广泛传播的计算机病毒，也逐渐成为了现阶段计算机系统面临的最主要威胁。基于此，了解基于网络传播的计算机病毒机理，同时研究相关的防御策略，对保障计算机系统乃至整个互联网行业有着不可或缺的重要意义。

1病毒基于计算机网络传播的原因分析

1.1网络本身具有的安全问题

地球上数亿的网络用户和上亿台计算机，组建了全球错综复杂的互连网络，但也正是由于Internet技术这种大众化的开放性，使得整个网络面临着更大的安全隐患。再加上Internet一直使用的TCP/IP协议本身具有各种安全漏洞，在Internet网络使用该协议的网络系统时，会面临着病毒恶意侵入计算机、阻止计算机访问互联网、盗取用户信息和非法破坏用户计算机数据等潜在威胁和破坏行为的影响。

1.2用户缺乏安全意识

用户对自己在互联网上注册的一些的账号缺乏安全意识同样是计算机病毒传播的中央原因。有的用户在注册账户时设置的用户口令过于简单、有的用户随意将帐号密码透露给陌生网站等情况，这都会给计算机网络带来安全问题，为病毒的传播奠定重要基础。

1.3恶意的人为攻击

有些了解计算机网络的人会利用计算机网络的安全漏洞来攻击计算机网络系统进行恶意的破坏，恶意攻击大体可以分为两种类型，即主动攻击和被动攻击两类。主动攻击指的是计算机病毒的传播者利用网络漏洞有选择性的破坏网络信息的完整性和有效性，进而达到自身的目的。而被动攻击指互联网用户在正常上网的情况下，重要的网络机密信息被窃取或破译。主动攻击和被动攻击对计算机网络造成了极大的危害，使得一些重要的网络信息被泄露，导致用户和企业遭受严重的经济损失。

1.4软件本身的漏洞

黑客是威胁计算机网络安全的一个因素，黑客经常利用网络软件的漏洞和缺陷对其进行攻击。在编写软件是软件设计编程人员为了方便自己在软件中设置了“后门”，这些后门虽然大多难以被发现，但一旦这些“后门”被发现泄露，黑客将会很容易的利用这些“后门”侵入用户计算机进行破坏和一些非法操作。

2基于网络传播的计算机病毒的新特性概述

2.1传播介质与攻击对象更加多元化

与传统的网络病毒传播模式相比，基于网络传播的计算机病毒更多的是通过各类通信端口、网络端口甚至电子邮件迅速进行传播，所攻击的对象也由个人电脑转变为了为所有具备网络协议的各类工作站甚至于大型服务器，进而引起网络拥塞和瘫痪、机密信息失窃等严重后果，具有更强的破坏性。

2.2具有更多样化的编写方式和变种传统的病毒多利用

C语言等汇编语言编写而成，随着网络技术的不断成熟，以JavasSriPt和VBScriPt为代表的各类脚本语言开始广泛应用于病毒的编写，这就使得病毒的变种越来越多，利用反病毒软件对其进行搜索和清除的难度也越来越大。

2.3智能化和隐蔽化成为病毒的重要发展趋势

现阶段，基于网络传播的计算机病毒常常用到隐形技术、反跟踪技术、加密技术、自变异（MutationEngine）技术、自我保护技术等等，整个病毒向着智能化和隐蔽化不断发展，这就使得针对某一种病毒技术开发的反病毒措施越来越难以达到预期效果。

3基于网络传播的计算机病毒防御策略研究

3.1校验和法技术

大部分病毒寄生于其它的文档程序，无法所单独存在的。因此，病毒感染文件的重要特征之一就是档案大小增加或档案日期被修改，因此，对病毒的防御措施可考虑从此处着手。在使用文件之前，可将硬盘中的所有档案资料进行汇总和记录，得出文件的校验和，然后将所得出的校验和写入到别的文件中进行保存，这样在使用文件之后，可将文件的校验和与原来保存的校验和进行比对，进而发现文件是否感染。实际操作过程中，可考虑将校验和检查程序常驻于内存中，每当应用程序运行时自动与预先内置的校验和相比对。

3.2行为监测技术

大多引导型病毒都会以硬盘的Boot扇区和主引导扇区作为主要的攻击对象，其原因在于当系统启动后会执行INT13H功能，来完成系统的各种初始化设置，此时引导型病毒将会启动，并在扇区内放置病毒所需的代码，这样会导致系统加载病毒代码，影响系统的正常使用。又如木马类病毒为了完成信息的窃取，会将自身的代码复制于.exe等常见的可执行文件中，导致用户在执行这类文件时会同时进行病毒的写入或是进行病毒的二次传播。基于此，利用病毒的特有行为特征性来对病毒进行检测，进而防御和消灭病毒的方法称之为行为检测技术。

3.3特征代码技术

特征代码技术最早出现于SCAN,CPAV等著名的早期病毒检测工具中，现已发展成为了用来检测已知病毒的最具有可行性和经济性的重要方法。其实现过程包括四个步骤，首先是采集计算机病毒样本并抽取病毒的共有特征代码，然后是将特征代码纳入建立好的病毒数据库中，最后是检验待检测文件中是否具有病毒特征代码。利用这种方式，可以做到将病毒的特征代码与数据库中的代码一一对应，从而判断文件感染的病毒类型，最后采取针对性的解决措施消灭病毒。

4结语

计算机网络发展至今，新的技术层出不穷，基于网络传播的计算机病毒使得计算机安全问题也逐渐成为了社会关注的热点问题。基于此，为了营造一个一个安全绿色的计算机网络环境，计算机网络的相关维护人员应投以更多的热情，以认真的态度去对计算机病毒的传播机理和防御策略进行研究，从而保障网络安全。

参考文献

[1]陈坤.计算机网络安全问题及对策[J].工程技术,2013,4(20):190-191.

[2]宋强松.计算机网络病毒机理及防御策略研究[J].网络技术,2013,5(17):67-68.

计算机病毒与反病毒技术篇10

【关键词】网络环境计算机病毒防范技术发展趋势

随着网络技术的发展，计算机病毒技术也得到了不断的提升，而在互联网与计算机已经实现大面积普及的背景下，各类计算机病毒对社会大众的信息安全、财产安全等都带来了很大的威胁，因此，重视网络环境下计算机病毒的有效防范具有着重要的现实意义。

一、网络环境下计算机病毒防范技术

在网络环境下，计算机病毒具有了更强的隐蔽性、潜伏性、传染性以及破坏性。从常规的计算机病毒防范技术原理来看，主要是破坏病毒的完整性或者切断病毒与计算机之间的联系。为了阻止病毒在网络以及计算机中的传播，常用的技术主要包括以下几点方面：

1.1病毒检测技术

病毒检测技术是病毒处理技术的重要基础，在网络环境下，计算机病毒检测技术主要可以分为基于计算机的检测与基于网络的检测两个部分。从基于计算机的病毒检测技术来看，主要包括完整性验证技术、权限控制技术与特征码匹配技术。其中完整性验证技术是对稳当程序的完整性作出检测，从而发现依附或嵌入稳当程序的病毒。权限控制技术是指对计算机程序权限作出严格控制，从而避免病毒对计算机造成破坏。其原理在于以病毒代码特点为依据给予程序代码加权值，当加权值总和超过计算机管理员所设置的阈值时，则可判定程序被病毒感染。特征码匹配则是依据病毒所具有的共性，对程序作出检测。由于这种技术只能识别已经出现的病毒，所以对新病毒的检测效果并不理想；从基于网络的病毒检测技术来看，主要包括误用检测与异常检测两类。其中，误用检测是依照特征库数据对数据流作出检测，特征库中的所具有的特征码规则包括端口、数据包长度、协议类型等内容。这种检测技术的有点在于能够精准检测并报告病毒特征，缺点则是难以防范未知病毒，并需要对病毒特征库进行管理。异常检测时候对网络流量等内容作出检测，这是因为病毒传播过程中会对扫描探测包进行发送，这会造成网络流量的突变，但是较高的误报率是这种技术的主要缺陷。

1.2漏洞修补技术

计算机漏洞指的是计算机中存在的软硬件以及协议，在运行过程或者安全策略等方面存在一定的缺陷，而计算机病毒则可以利用这些缺陷，在没有经过计算机管理员许可的情况下进入计算机与系统，并对计算机系统造成破坏。事实上，计算机漏洞的存在具有着绝对性，这是因为计算机软硬件以及协议的开发所具有的滞后性所决定的，因此，漏洞修补往往是软件商主动发现软件缺陷或者是出现可入侵病毒之后再采取弥补措施的行为。因此，在计算机的维护中，需要选取能够提供漏洞修补程序服务的软件厂商，从而及时通过漏洞修补来破坏计算机病毒的传播环境。

1.3防火墙与路由器控制技术

防火墙与路由器控制技术是指使用防火墙软件或者对网络配置作出合理的设置，避免设置端口以外的端口为计算机提供服务，同时对设置端口中的信息作出限制，从而有效切断计算机病毒的移动渠道，以便屏蔽具有病毒特征的数据或者切断已感染计算机与其他计算机之间的联系。当然，无论是防火墙还是路由策略，对病毒所作出的判断都以病毒的行为特征为依据，而一些病毒的行为特征和一般的应用十分类似，因此，使用这种技术对计算机病毒作出防范，容易出现对正常软件的误判。

二、网络环境下计算机病毒防范技术的发展趋势

网络技术以及网络病毒技术都处在高速发展的过程中，因此网络环境下的计算机病毒防范工作也将有很长的路要走。当前，类型不同的计算机病毒特别是具有复合型特征的计算机病毒，很难利用常规的方法进行检测与防范，因此，在病毒库的建设中，有必要对计算机病毒的通性作出进一步的挖掘，这对于提升病毒检测与防范的准确性和有效性具有着重要意义；其次，当前计算机病毒检测与防范技术普遍具有着“一刀切”的特点，许多正常的程序会产生误报现象。因此，未来的计算机病毒防范技术，有必要使用模糊思想对程序作出判断，从而避免病毒漏检或者正常程序的误报现象，并确保对病毒的检测过程始终保持谨慎态度；最后语义分析将成为网络环境下计算机病毒检测与防范的主要依据，这主要是因为面对不断变异的计算机病毒，代码语义能够对病毒作出解释，并能够成为对程序作出准确判断的依据。

三、结语

网络环境下计算机病毒的传播，对于网络与计算机技术的发展、社会大众的生活与工作都产生着严重危害，因此，计算机用户应当掌握病毒检测技术、漏洞修补技术以及防火墙与路由控制技术等。同时，网络环境下计算机病毒防范技术中出现的问题，也为计算机病毒检测与防范技术的发展指明了方向。相信随着反病毒技术的发展，计算机病毒对社会所产生的危害也会被逐渐弱化。

参考文献

[1]尹立贤.信息安全技术的实践探索与创新研究[J].电子技术与软件工程,2016,05:212.