摘要:病毒检测是计算机安全领域的重要技术之一,是反病毒技术的核心。利用病毒检测技术便于发现计算机系统是否受到安全威胁,同时也可以及时通告用户做好病毒防范措施,本文设计实现了一个对该病毒的检测工具。
关键词:计算机安全;病毒检测;匹配
中图分类号:TP393 文献标识码:A文章编号:1007-9599 (2011) 13-0000-02
Analysis on the Realization of the Computer Virus Detection Software
Hong Yunxi
(College of Continuing Education,Guizhou University,Guiyang550003,China)
Abstract:Virus detection is one of the most significant technologies in computer security field as well as the core technology in anti-virus software.With the technology of virus detection,it is useful to discover whether a computer system is safe or not.Simultaneously,it could also inform users to do some preventive measure for virus promptly.Finally a virus detection software for virus is designed and realized.
Keywords:Computer security;Virus detection;Matching
随着计算机技术的飞速发展,计算机应用日趋深入普及,逐步渗透到人类生活的各个方面,为社会发展做出了巨大的贡献。然而,科学技术都是在自身的矛盾中发展的,计算机技术的提高和计算机应用的普及使人们忽略了潜在的不安全因素,致使计算机的安全运行受到了病毒的严重威胁。有效地防范计算机病毒已成为计算机、互联网应用中迫切需要解决的突出问题。
一、计算机病毒与病毒检测技术概述
(一)计算机病毒具有以下几个特点
1.寄生性:计算机病毒寄生在其他程序之中,当执行这个程序时,病毒就起破坏作用,而在未启动这个程序之前,它是不易被人发觉的。
2.传染性:计算机病毒不但本身具有破坏性,更有害的是具有传染性,一旦病毒被复制或产生变种,其速度之快令人难以预防。
3.潜伏性:有些病毒发作时间是预先设计好的。比如黑色星期五病毒,不到预定时间一般觉察不出来,等到条件具备的时候再暴发进而对系统进行破坏。
4.隐蔽性:计算机病毒具有很强的隐蔽性,有的可以通过病毒检测软件检查出来,有的很难检测出来,有的则时隐时现、变化无常,因此处理起来通常很困难。
(二)计算机病毒的表现形式
计算机受到病毒感染后,会表现出不同的症状,常见的要有:
1.机器不能正常启动。通电后机器根本不能启动,或者可以启动,但所需要的时间比原来的启动时间变长。
2.运行速度降低。如果发现在运行某个程序时,读取数据的时间比原来长,存取文件的时间都增加了,那就可能是由于病毒造成的。
3.磁盘空间迅速变小。由于病毒程序要进驻内存,而且又能繁殖,因此使内存空间变小甚至变为0。
4.文件内容和长度有所改变。一个文件存入磁盘后,它的长度和其内容都不会改变,可是由于病毒的干扰,文件长度可能改变,文件内容也可能出现乱码。有时文件内容无法显示或显示后又消失了。
5.经常出现“死机”现象。正常的操作是不会造成死机现象的。如果机器经常死机,那可能是由于系统被病毒感染了。
6.外部设备工作异常。因为外部设备受系统的控制,如果机器中有病毒,外部设备在工作时可能会出现一些异常情况。
二、需求分析
欢乐时光脚本病毒具有很强的传播性和破坏性,是脚本病毒的典型代表。欢乐时光脚本病毒被激活后会感染系统内html、htm和asp等文件,将病毒脚本写入文件,创建相关注册表项以配合病毒的感染和传播。
本设计需分析设计并实现一个专门检测欢乐时光脚本病毒的检测工具。主要需实现的功能有:
1.可以检测系统是否被欢乐时光病毒感染,在检测到文件被其感染时能自动弹出提示框进行报警提示。
2.清除被感染文件中的病毒脚本且不能更改正常文件。
3.需提供全盘检测和指定路径检测两种方式。
4.可以清理被病毒修改的相关注册表项。
还可以使用的次数。本软件应能在Windows操作系统下运行,还需有使用方便,界面简洁友好等特性。
三、欢乐时光脚本病毒及其检测
(一)VBS脚本病毒介绍
脚本病毒以文本格式存在,可以用文本编辑器打开并编辑。VBScript这种脚本语言功能非常强大,利用Windows系统的开放性,可以直接对文件系统、注册表等进行控制,功能强大。
VBS脚本病毒主要有以下特点:
1.破坏力大。表现在对用户系统文件及性能的破坏和使邮件服务器崩溃,网络发生严重阻塞。
2.感染力强。由于脚本是直接解释执行,因此这类病毒可以直接通过自我复制的方式感染其他同类文件,并且自我的异常处理变得非常容易。
3.传播范围大。这类病毒通过html文档,Email附件或其它方式,可以在很短时间内传遍世界各地。
4.病毒源码容易被获取,变种多。由于VBS病毒解释执行,其源代码可读性非常强,因此变种比较多以至于很多杀毒软件无能为力。
5.欺骗性强。脚本病毒为了得到运行机会,往往会采用各种让用户不大注意的手段,譬如,邮件的附件名采用双后缀,如.txt.vbs,由于系统默认不显示后缀,因此在计算机系统里就只显示出.txt,因此,人们很容易认为这是一文本文件而轻易地运行。
正因为以上几个特点,脚本病毒发展异常迅猛,使得生成新型脚本病毒变得非常容易。
(二)欢乐时光脚本病毒
脚本病毒的代表作欢乐时光病毒VBS.Happytime是一个专门感染html、htm、http、asp、vbs文件的脚本类病毒。该病毒采用VBScript语言编写,将病毒脚本内嵌至上述文件中。它既可在电子邮件的形式通过互联网进行传播,也可以在本地通过文件进行感染。病毒脚本的部分关键代码如下:
Rw Ks&"Help\wall Paper",n3
Rw"HKEY_CURRENT_USER\Control Panel\desktop\wall Paper",n3
将带毒的超文本设置成活动桌面。
Web=Cs&"\WEB"
Setgf=Of.Get Folder(Web).Files
得到windows\web文件夹里的文件。
Od.Add"htt","1100"
Function IsHTML()
此函数判断是不是html文件以便进行感染,判断其余类型文件类似。
Dim ErrTest
On Error Resume Next
ErrTest=document.Location
If Er Then
IsHTML=False
如果出错,则不是该类型文件。
Else
IsHTML=True
End If
End Function
Function IsDel(S)
此函数查看当前文件是否是要删除的文件类型。
If Mid(S,4,1)=1 Then
检查S的第四个字符是否是1——即是0001,则为exe和dll文件。
IsDel=True
如是,返回True,以备删除。
Else
IsDel=False
如不是,返回False。
End If
End Function
四、检测工具的测试
测试环境:Windows XP Professional
(一)使用次数限制测试
首次打开该检测工具,自动弹出提示框“本软件有使用次数限制,您还可以使用5次”,关闭软件。此后连续打开再关闭4次。由于该工具使用次数限定为5次,第6次打开时弹出提示框“您已经使用过5次”。由此说明该软件有使用次数限制的功能。
(二)病毒检测测试
新建文件夹test,在文件夹里放入被欢乐时光脚本病毒感染的文件test1.html,test2.htt,test3.hta,test4.htm,test5.asp,以及相应类型的未被病毒感染的5个文件。打开该病毒检查工具,点击“请选择路径”按钮,选择test文件夹并确定。点击“查毒”按钮。检测工具在检测中弹出提示框“发现欢乐时光病毒。病毒脚本已清除”。检测结束后,依次打开之前感染的5个文件,发现病毒脚本已被清除。而5个正常文件的内容未被改变。说明该软件可以检测到被欢乐时光病毒感染的文件,且不会改动未被病毒感染的文件。
(三)清理相关注册表项测试
检测前,注册表里发现注册表项HKEY_CURRENT_USER\Software\Help\Count,值为43,注册表项HKEY_CURRENT_USER\Control Panel\desktop\wallpaper指向一个病毒文件help.htm。检测后HKEY_CURRENT_USER\Software\Help\Count已被删除,且系统壁纸已改非病毒文件。说明该软件可以清理相关注册表项。
参考文献:
[1]李海涛.网络蠕虫的结构分析和相关技术研究[D].北京邮电大学,2009
[2]廖晨辉.防火墙与网络入侵检测系统联动的研究与实现[D].南昌大学,2010
[3]卓新建,郑康锋,辛阳.计算机病毒原理与防治[M].北京邮电大学出版社,2010,8:2
[4]程胜利,谈冉,熊文龙等.计算机病毒与其防治技术[M].清华大学出版社,2011,9:1
相关热词搜索: 计算机病毒 检测工具
