基于結構分析與數(shù)學模型的計算機病毒.doc

基于結構分析與數(shù)學模型的計算機病毒李垂嬌廣東商學院 信息學院 中國 廣州 510320 Email: Tel要：本文主要介紹計算機病毒的結構來分析它的傳染機理，并通過建立數(shù)學模型來分析計算機病毒的傳播途徑，以此采取相應的防治措施，并通過一個反病毒案例來說明計算機病毒犯罪者最終將受法律的制裁。關鍵詞：計算機病毒、病毒的特征、結構、數(shù)學模型、防治策略一、概述:隨著IT的發(fā)展，編程技術和計算機病毒技術的提高，計算機病毒的花樣層出不窮，表現(xiàn)形式更加的隱蔽，破壞性更加的嚴重。由于計算機系統(tǒng)的脆弱性和因特網(wǎng)的開放性，一種新病毒的出現(xiàn)會以驚人的速度通過網(wǎng)絡傳播到世界各地，對世界各地的計算機信息系統(tǒng)和網(wǎng)絡體系進行破壞，造成網(wǎng)絡堵塞癱瘓，計算機內存儲的機密信息被竊取。二、計算機病毒的特征:計算機病毒是指人為的且故意置入計算機的程序，它可自行復制并感染其他計算機中的程序，并通過計算機磁盤的共用，通信線路數(shù)據(jù)的傳輸（如電子郵件）或對軟件、硬件的直接操作，都有可能感染病毒，它有良性和惡性之分。1、計算機病毒的基本特征是：程序性、傳染性、潛伏性、干擾與破壞性、可觸發(fā)性、針對性、衍生性、奪取系統(tǒng)的控制權、依附性、不可預見性。程序性：計算機本身不會生成計算機病毒，計算機病毒是由人編制的具有特定功能的計算機程序。這就決定了計算機病毒的表現(xiàn)形式和破壞行為的多樣性和復雜性。 傳染性：計算機病毒將自身復制到其他程序上，使每個被感染的程序都包含該病毒的復制品。 潛伏性：有些文件受染只有在特定的條件下才會被激發(fā)，而在還未激發(fā)之前它就還處于休眠狀態(tài)中， 用戶根本覺察不到它的存在。 干擾與破壞性：有些計算機病毒對系統(tǒng)不會造成很嚴重的危害，它只是影響計算機的工作效率，它們就好像在跟計算機用戶開玩笑一樣，而有些卻能把格式化磁盤、更改系統(tǒng)文件、攻擊硬件等，這樣的病毒對計算機就已經(jīng)達到了破壞的程度了。 可觸發(fā)性：可觸發(fā)性的出現(xiàn)就意味著潛伏性的結束，觸發(fā)的實質是一種或多種條件的控制。 針對性：每一種病毒的發(fā)作都是有特定的環(huán)境平臺，當對應的環(huán)境平臺還沒出現(xiàn)的時候，計算機病毒只能處于潛伏狀態(tài)。 衍生性：計算機病毒的可修改性比較強，病毒程序可以通過被修改而衍生出其他的病毒，它雖來源于源病毒程序，跟它卻有著本質的不同。奪取系統(tǒng)的控制權：病毒通過寄居在宿主程序上，使得調用受染文件時首先執(zhí)行病毒程序。依附性：病毒只有依附在可執(zhí)行的文件中才有可能被執(zhí)行，當沒有可執(zhí)行文件讓它依附的時候它也就無計可施了。不可預見性：由于病毒技術的不斷更新，使得反病毒軟件的問世跟病毒的防治措施總是滯后于病毒的產(chǎn)生時間，這就決定了病毒的不可預見性。2、當前流行的病毒由于技術的發(fā)展又具有一些新的特征，這些特征是：抗分析性、隱蔽性、誘惑欺騙性、傳播方式的多樣性與廣泛性、破壞性、變形性、遠程啟動性、攻擊對象的混合性、攻擊技術的混合性、多態(tài)性。隨著計算機技術的不斷發(fā)展，病毒也變得越來越復雜和高級。目前最難防御的是變形病毒，由于它的不確定性更加適應病毒的生存，所以估計它將會成為今后病毒發(fā)展的主要方向之一。變形病毒特征主要是，病毒傳播到目標后，病毒自身的代碼和結構在空間上、時間上具有不同形式的變化。三、計算機病毒的結構：病毒程序在系統(tǒng)中的運行是：做初始化工作 在內存中尋找傳染目標 奪取系統(tǒng)控制權 完成傳染破壞活動。病毒程序可以放在正?？蓤?zhí)行文件的首部、尾部可中間，譬如新歡樂時光病毒可以將自己的代碼附加在.htm文件的尾部，并在頂部加入一條調用病毒代碼的語句。它會產(chǎn)生標題為“help”，附件為“Untitled.htm”的病毒郵件。當發(fā)作日期到來時，病毒將硬盤中的所有可執(zhí)行文件用自己的代碼覆蓋掉。病毒可以執(zhí)行其他程序所能執(zhí)行的一切功能，唯一不同的是它必須將自身附著在宿主程序上，當運行宿主程序時，病毒一些意想不到的功能也就跟著悄悄地執(zhí)行了。病毒的結構一般由以下三部分組成：初始化部分、傳染部分、破壞和表現(xiàn)部分。其中傳染部分包括激活傳染條件的判斷部分和傳染功能的實施部分，而破壞和表現(xiàn)部分則由病毒觸發(fā)條件判斷部分和破壞表現(xiàn)功能的實施部分組成。下面用一段代碼來表示宿主程序受染的工作機理： program V:= /病毒體程序 （1）goto main; （2） 1234567; /標志 （3） subroutine infect-executable := /傳染子程序 （4） loop: /循環(huán) （5） file := get-random-executable-file;/ 從文件中隨機地找到一個可執(zhí)行文件 （6） if (first-line-of-file =1234567) /若該文件的第一行是標志1234567 （7） then goto loop /則返回循環(huán)開始 （8） else prepend V to file; /將病毒體程序附著在文件之中 （9） subroutine do-damage : = /破壞子程序 （10） whatever damage is to be done /進行相關的破壞功能 （11） subroutine trigger-pulled : = / 激活子程序 （12） return true if some condition holds /當達到某種條件后則返回真值 （13） main : main-program : = /主程序體 （14） infect-executable; /傳染可執(zhí)行程序 （15） if trigger-pulled then do-damage; /若觸發(fā)條件為真則執(zhí)行破壞 （16） goto next; / 執(zhí)行正常程序體 （17） next : （18） 由上面的程序代碼可知受染程序的工作機理是：第一行代碼的功能是跳轉執(zhí)行病毒程序，也即是病毒的初始化階段。病毒通過寄居在宿主程序上以獲得系統(tǒng)控制權，從而保證當調用受染文件時，首先被執(zhí)行的是病毒程序，然后才是原主程序。第三行代碼是個特殊標記，它被用來判斷一個可能被感染文件是否已經(jīng)感染病毒。第四行開始到第九行代碼是病毒程序的傳染部分。當該程序被調用后，很快又將控制權交給病毒程序模塊，病毒程序首先尋找未被感染過的可執(zhí)行文件并感染之。如果遇到的目標文件已經(jīng)被該病毒感染了就跳過繼續(xù)尋找下一個目標。第十行和第十一行代碼則是病毒的破壞部分，病毒通常會對宿主程序進行破壞活動，宿主程序每被調用一次，該破壞就會進行一次。第十二行跟第十三行代碼是程序的激發(fā)條件，如果前兩行的破壞行為是個邏輯炸彈（邏輯炸彈是最早出現(xiàn)的程序威脅之一，它預先規(guī)定了病毒和蠕蟲的發(fā)作時間。它是嵌在合法程序中的、只有當特定的事件出現(xiàn)時才會進行破壞的一組程序代碼），那它就僅在某個特定條件滿足時才會被激發(fā)。第十四行到第十七行代碼是病毒的表現(xiàn)部分，它表現(xiàn)了宿主程序受感染的全過程。最后一行代碼表示病毒程序把控制權交還給原主程序。 四、計算機病毒傳播的數(shù)學模型：病毒可以利用其所得到的系統(tǒng)權限進行傳染并通過計算機系統(tǒng)或者網(wǎng)絡進行擴散，而每個被傳染的程序也會具有病毒體一樣的行為能力，從而使病毒傳染愈演愈烈。顯然，病毒的傳染性是它的關鍵特性。下面通過建立一個數(shù)學模型來分析計算機病毒的傳播機理：假設一個由N臺計算機組成的計算機群，它受某一病毒V的威脅并且相互之間有數(shù)據(jù)交換的關系。數(shù)值N表示了該計算機病毒所能傳播到的計算機最大數(shù)目。為了簡化分析，我們只考慮病毒在由這N臺計算機組成的封閉系統(tǒng)內傳播，對這N臺計算機進行編號：C1、C2、. 、Cn，并定義集合C=C1、C2、. 、Cn。因此，可定義C上的二元關系為Dc=Ci，Cj|Ci、Cj屬于C，i不等于j，該關系表示有數(shù)據(jù)從Ci單向流向Cj，其中Ci為源機器，Cj為目標機器；定義Mv=Ci|Ci屬于C，且Ci已經(jīng)感染病毒V，該定義表示傳染過程中已染毒計算機集合。從病毒進入系統(tǒng)的時刻（n=0）開始研究，則這N臺機器中有一臺是帶毒的，設其編號為C1，此時C1=1。當C1跟C中的任何一臺機器進行數(shù)據(jù)通信時，（N-1）臺機器中的任一臺都有被感染跟源機器同樣病毒的可能，且感染后不可清除，即計算機一旦染上病毒后，在整個流行期間都是帶毒機。依此循環(huán)下去，最后將導致所有的機都染上病毒，除非它不與其他的機器進行數(shù)據(jù)通信，可在因特網(wǎng)如此普及的年代不跟其他機器進行數(shù)據(jù)通信的機器跟一臺死機根本沒什么區(qū)別。所以，所有的計算機最后全部被感染的趨勢是必然的。 在單位時間內，一臺帶毒機跟另一臺機器進行數(shù)據(jù)通信，如果對方已經(jīng)感染上跟源機器同樣的病毒，則源機器的病毒就會跳過目標機器的程序，如果目標機器還沒感染上病毒，源機器的病毒程序就會傳染給目標機器的程序，致使目標機器中毒。而在這個單位時間里，這臺目標機器都不可能再與其他的機器進行數(shù)據(jù)通信。令Xn是在第n個單位時間上C中感染病毒的計算機數(shù)目，帶病毒源機器的數(shù)目為E（Xn），則未染毒機的數(shù)目為（N-E（Xn）。在單位時間內，N臺計算機之間發(fā)生M次數(shù)據(jù)通信（1=M=N/2，且參與通信的源機器和目標機器都是隨機的，在N中均勻分布。所謂數(shù)學期望值是指一個變量的可能取值與其對應出現(xiàn)概率的乘積。所以，在第n個單位時間和第n+1 個單位時間間隙內的M次數(shù)據(jù)通信中，源機器中染毒機器的數(shù)學期望值為（M/N）*E（Xn），其中M/N是指這個時間段內中毒源機器出現(xiàn)的概率，乘以帶毒源機器的數(shù)目E（Xn），就可得出源機器中染毒機器的數(shù)學期望值，即（M/N）* E（Xn）。目標機中無毒機器的數(shù)學期望值就等于源機器的數(shù)目M減于中毒機數(shù)目，即M-（M/N）*E（Xn）。由于傳播是隨機的。所以在這次數(shù)據(jù)通信完畢之后，新增加的染毒機器的數(shù)學期望值是（M/N）*E（Xn）*（1-E（Xn）/N）。由于互相通信的兩部機都有可能有毒，所以式中的1-E（Xn）/N表示接收信息的機在跟源機器進行數(shù)據(jù)通信之前沒有帶毒的概率，乘以跟其進行數(shù)據(jù)通信的那些帶毒機的數(shù)目就可得出新增加的染毒機的數(shù)學期望值，即（M/N）*E（Xn）（1-E（Xn）/N）。則有： E（Xn+1）-E（Xn）=（M/N）*E（Xn）*（1-E（Xn）/N）=（M/（N*N）*E（Xn）*（N-E（Xn）=K*E（Xn）*（N-E（Xn）其中，K=M/(N*N)為傳染系數(shù)。上式即為計算機病毒傳播的數(shù)學模型 該模型就是通過假設N臺機器中有一臺帶毒，而當它跟其他（N-1）臺中的任一臺機進行數(shù)據(jù)通信時，它就把病毒傳染給另外一部機器，就這樣這N臺機器中任何兩臺機隨機進行數(shù)據(jù)通信，最后會致使更多的機器中毒。而在一個單位時間內，當有M臺帶毒源機器要進行數(shù)據(jù)通信的時候，跟其進行數(shù)據(jù)通信的目標機器就有M臺，如果這些目標機器都不帶毒的話在一個單位時間內就將增加M臺帶毒機，而如果其中有一部分目標機器是帶毒的，設其數(shù)目為R，那么新增加的帶毒機就是M減去帶毒的目標機器，即M-R。這就是該數(shù)學模型的工作機理。五、計算機病毒的防治策略： 隨著病毒技術的發(fā)展，反病毒技術也不甘示弱地緊跟其后，解決計算機病毒攻擊的理想方法是對病毒進行預防，即在第一時間阻止病毒進入系統(tǒng)。這絕對可以降低病毒攻擊成功的概率，但它卻不能百分之百地保證病毒不會入侵，所以定期進行病毒的檢測是必要的。一旦系統(tǒng)被感染，檢測系統(tǒng)就可以通過特征代碼法、校驗碼法、行為監(jiān)測法、軟件模擬法等方法中的一種或幾種立即斷定病毒的存在并進行定位，然后鑒別該病毒的類型，最后從受染文件中刪除所有的病毒并恢復程序的正常狀態(tài)，以阻止病毒的進一步傳染。從檢測、鑒別到清除是解決病毒攻擊的比較有效的、可行的、實際的方法。雖然如此，但如果檢測病毒成功而鑒別或清除沒有成功的話，就必須把受染文件刪除并重新裝入無毒文件的備份。由此可看出，為了防止病毒對計算機數(shù)據(jù)的毀壞，對數(shù)據(jù)進行備份是非常必要的。六、應用案例 2003年9月3日，羅馬尼亞警方以涉嫌與Worm.Blaster（沖擊波）計算機病毒有關而逮捕了一名24歲的青年，該青年據(jù)稱名為丹。西奧巴努，曾經(jīng)是羅馬尼亞東北部伊亞西技術大學的研究生。警方表示，西奧巴努與一個破壞力較弱的變種Worm.Blaster病毒有關，這一病毒名為“MsBlast.F”，被西奧巴努在大學的計算機網(wǎng)絡上傳播。2003年8月，美國一名高中生杰弗里.李.帕森已經(jīng)因為傳播另外一個變種的Worm.Blaster病毒而被捕。調查人員是根據(jù)上述病毒中的一些羅馬尼亞語文本追蹤到西奧巴努的個人網(wǎng)頁的，網(wǎng)頁上包括他的家庭住址和電話號碼。但調查人員表示，西奧巴努僅僅涉嫌對最初的Worm.Blaster病毒進行修改，而不是編寫了原版的病毒。調查人員表示，與原版的Worm.Blaster傳播非常廣泛不同的是，西奧巴努的“MsBlast.F”版本可能僅在羅馬尼亞國內傳播。警方已經(jīng)將西奧巴努家里和辦公室的計算機全部沒收，并準備查找上述病毒的證據(jù)。根據(jù)羅馬尼亞一項新的法律，西奧巴努有可能面臨最長達15年的有期徒刑。七、結束語：網(wǎng)絡的發(fā)展在一定程度上促使計算機病毒的發(fā)展，而日新月異的技術，更加給計算機病毒提供生存的空間。盡管目前出現(xiàn)的計算機病毒數(shù)量、種類繁雜多樣，但是通過對病毒程序代碼的分析、比較和歸納可知，它們的程序結構都存在著很大的相似性，一種病毒往往都是另一種病毒的變身，它們都是通過對一種病毒程序的修改使其變成一種與原病毒不同的病毒，但其中還是有很多相同之處的，只要弄懂一種病毒的結構，對于病毒的防治也就有了方向了。而對計算機病毒的傳播途徑的了解又可以幫助我們預防病毒通過網(wǎng)絡、軟盤等方式入侵個人計