廣義病毒的形式化定義及識別算法

1、廣義病毒的形式化定義及識別算法何鴻君，羅莉，董黎明，何修雄，侯方勇，鐘廣軍國防科技大學計算機學院，長沙，410073摘要 惡意軟件的定義是多年來安全領(lǐng)域的研究重點，惡意軟件包括病毒、蠕蟲和木馬。目前僅有病毒的形式化定義，蠕蟲、木馬沒有公認的形式化定義。按照傳統(tǒng)病毒的定義，不存在準確識別病毒的算法。本文提出代碼是否為病毒是相對于用戶而言的，給用戶帶來損害的代碼才是病毒。據(jù)此觀點，本文以用戶意愿為標準，將病毒區(qū)分為顯式病毒、隱式病毒，并給出了顯式病毒的形式化定義和識別算法。理論分析表明，傳統(tǒng)病毒以及大部分木馬、蠕蟲均屬于顯式病毒，實際案例分析也證實了這一點。關(guān)鍵詞 病毒、蠕蟲、木馬、用戶意愿、顯式

2、病毒、隱式病毒1 前言病毒的定義是反病毒技術(shù)研究的基礎(chǔ)，一直是計算機安全領(lǐng)域的重要研究課題，相關(guān)論文很多1。廣義病毒包括了傳統(tǒng)病毒、蠕蟲、木馬等所有惡意程序，本文的討論針對廣義病毒。公認的傳統(tǒng)病毒定義是Cohen博士1984年提出的，“計算機病毒是一種程序，它可以感染其它程序，感染的方式為在被感染程序中加入計算機病毒的一個副本，這個副本可能是在原病毒基礎(chǔ)上演變過來的”2。其后，很少提出新的有影響力的形式化定義3。蠕蟲、木馬的定義研究，情況要更糟糕些，有個別的形式化定義4，但影響力不大。事實上，隨著病毒技術(shù)的發(fā)展，很多病毒同時具備病毒、蠕蟲、木馬的特征。例如，2001年9月8日發(fā)現(xiàn)的Nimda

3、病毒，NAI 公司把它歸為病毒，CERT把它歸為蠕蟲，而Incidents.Org則把它同時歸為病毒和蠕蟲。從這個角度看，嚴格區(qū)分狹義病毒、蠕蟲、木馬的意義不大。技術(shù)是中性的，本身不存在惡意，好人用它來造福社會，壞人用它來損人利己。因此，如果定義了一種稱為“病毒”的技術(shù)，并將采用該技術(shù)的程序稱為病毒，那么，這種定義肯定是不嚴謹?shù)?。?jù)此觀點，我們以是否違背用戶意愿為標準，將廣義病毒區(qū)分為顯式病毒、隱式病毒，并給出了顯式病毒的形式化定義和識別算法。理論分析表明，狹義病毒以及大部分木馬、蠕蟲均屬于顯式病毒，實際案例分析也證實了這一點。這些工作的重要價值在于，指出了狹義病毒以及大部分木馬、蠕蟲是可以準

4、確識別的。這一結(jié)論與“不能準確識別狹義病毒”歷史結(jié)論并不矛盾，因為狹義病毒的經(jīng)典定義實質(zhì)上是定義了一種“病毒”技術(shù)，而不是病毒本身。本文第2節(jié)提出程序是否為病毒是相對的，若對用戶有損害則為病毒，否則不是，并簡要分析傳統(tǒng)病毒定義的不足。第3節(jié)提出“用戶意愿”概念，用以描述用戶操作計算機過程中的意圖。第4節(jié)給出廣義病毒的定義，并討論定義的性質(zhì)。第5節(jié)給出一種準確識別顯式病毒的算法，并指出與傳統(tǒng)結(jié)論截然不同的原因在于對病毒的定義不同。最后，總結(jié)全文。2 病毒本質(zhì)的討論2.1 損害的相對性一個程序之所以被稱為“病毒”，是因為它具有損害性。損害性是惡意程序的本質(zhì)，而是否造成損害一定是對用戶而言的。例如病

5、毒V，對于作者來說，如果他是在測試V，那V對他而言是沒有損害的，因為V運行的結(jié)果就是他所需要的；而如果他在不知道的情況下運行了V或者被V感染的程序，則V對他而言是有損害的，因為運行結(jié)果不是他希望的。再例如，用戶已經(jīng)知道病毒V的功能是刪除當前目錄下的所有文件，用戶經(jīng)常把它當作一個文件刪除工具使用，對用戶來說V是一個實用程序。可見，程序是否為病毒是用戶的主觀判斷，這種認識可表述為以下公理。病毒相對性公理 一個程序是否為病毒，是相對于用戶而言的。如果用戶認為程序給自己帶來了損害就是病毒，否則不是病毒。根據(jù)病毒相對性公理，我們可以直接得到一個非常有趣的結(jié)論：判斷某程序是否為病毒的算法，如果不引入用戶的

6、意見，則該算法是不可能做出準確判斷的。這種認識可表述為以下定理。判不準定理 通過分析程序代碼的方法準確判斷一個程序是否為病毒，這樣的判斷算法是不存在的。2.2 傳統(tǒng)病毒定義的不足為加深對病毒相對性的理解，我們回顧一下經(jīng)典的病毒定義。Fred Cohen1984年給出了廣為接受的病毒定義，“計算機病毒是一種程序，它可以感染其它程序，感染的方式為在被感染程序中加入計算機病毒的一個副本，這個副本可能是在原病毒基礎(chǔ)上演變過來的”1。隨后，Cohen給出了病毒的形式化定義5，將病毒的范圍擴大到了所有的自我復(fù)制程序，以及在系統(tǒng)或網(wǎng)絡(luò)中演化和移動的程序?；谏鲜霆M義病毒的定義，有兩個重要結(jié)論：1）很多正常程

7、序被歸結(jié)為病毒，從而病毒有了“好”、“壞”之分6,7。例如自動升級程序，雖然不是病毒，但是按照Cohen給出的定義它們被歸結(jié)為病毒。2）按照給定的病毒定義，沒有算法能夠準確識別病毒1,2,8。Cohen的病毒定義沒有引入用戶的意見，因此，根據(jù)判不準定理有結(jié)論：不存在一個算法能夠準確識別病毒。事實確實如此，下面引用的是Cohen關(guān)于不能檢測病毒的證明過程1?！盀閿喽ㄒ粋€給定程序P是病毒，必須斷定P感染其他程序。這是不可判定的，因為P能夠調(diào)用判斷過程D并且感染其他程序，當且僅當D斷定P不是病毒。我們由此斷定一個程序通過檢查一個病毒的外表來區(qū)分病毒與其他程序是不可行的。下面是對程序V的一個修改，作為

8、D的不可判定性例子，我們使用了一個假定的判斷過程D，D返回true當且僅當其參數(shù)是一個病毒?！眕rogram contradictory-virus:=.main-program:=if D(contradictory-virus) theninfect-executable;if trigger-pulled then do-damage;goto next;記上述代碼為CV。如果D斷定CV是病毒，CV將不感染其他程序，所以不是病毒。如果D斷定CV不是病毒，CV將感染其他程序，所以是病毒。因此，假定的過程D是自相矛盾的，通過外表來準確斷定病毒是不可判定的?！? 用戶意愿為準確描述用戶的意見，

9、這里提出“用戶意愿”概念。用戶意愿代表著用戶的想法，理論上我們可以根據(jù)實際需要，定義各種各樣的用戶意愿。本文僅討論用戶對程序訪問文件的意愿。用戶意愿是用戶發(fā)布的文件訪問授權(quán)，表示同意某程序以某模式訪問某文件。例如，用戶操作程序Word，通過打開文件對話框選擇了只讀文件doc，那么，用戶意愿就是允許程序Word以只讀模式訪問文件doc。用戶意愿強調(diào)授權(quán)信息的真實性，即這種訪問授權(quán)確實是用戶本人發(fā)布的，而不是程序偽造的。定義1 一個用戶意愿是用戶發(fā)布的一個文件訪問授權(quán)，表示授權(quán)程序p以模式m訪問文件f，記為(p, f, m)。用戶授予程序某種訪問權(quán)，程序可以長期性擁有這種訪問權(quán)，也可以只是臨時性的

10、獲得。對應(yīng)的，將用戶意愿區(qū)分為靜態(tài)意愿、動態(tài)意愿。定義2 如果用戶授權(quán)程序p以模式m訪問文件f，其有效時間是永久性的，那么，用戶意愿(p, f, m)稱為靜態(tài)意愿。例如，用戶希望系統(tǒng)啟動后自動運行某日程安排程序MySchedule，那么其意愿“授權(quán)操作系統(tǒng)只讀訪問文件MySchedule”就是一種靜態(tài)意愿。除非用戶后來改變了這種授權(quán)，否則，每次系統(tǒng)啟動時都會自動運行MySchedule。定義3 如果用戶授權(quán)程序p以模式m訪問文件f，其有效時間是直到文件關(guān)閉，那么，用戶意愿(p, f, m)稱為動態(tài)意愿。用戶與程序的交互過程中，其發(fā)布的文件訪問授權(quán)通常是動態(tài)意愿。例如，用戶操作程序Word編輯文

11、檔doc，用戶希望的是當他授權(quán)Word打開doc時，Word才能訪問doc，關(guān)閉doc后，Word不能訪問doc。定義4 用I表示用戶意愿的集合，用Fall表示計算機上所有文件的集合。稱Fin= f |$p $m (p, f, m) Î I 為意愿內(nèi)文件集合，F(xiàn)out = Fall - Fin為意愿外文件集合。計算機運行過程中，用戶意愿的集合隨時間在變化，相應(yīng)地，F(xiàn)in、Fout也在變化。根據(jù)經(jīng)驗，| Fout| >10000，| Fin | <10，并且Fin隨時間變化的幅度很小。特殊情況下，例如掃描文件系統(tǒng)，F(xiàn)in可能接近或者等于Fall。讀者或許從字面上理解“用戶意

12、愿”，認為意愿是一種主觀想法，具有強烈的不確定性：對不同的用戶來說，同一件事情可能有不同的意愿，甚至相反的意愿。下面作進一步澄清。用戶意愿是由用戶進行的工作明確決定的。例如，用戶運行程序Word 編輯文件f1，這決定了一個動態(tài)意愿（Word，f1，讀寫），即授權(quán)Word 以讀寫模式訪問文件f1；隨后，用戶關(guān)閉了f1，這決定了取消一個動態(tài)意愿（Word，f1，讀寫）；再后來，用戶編輯文件f2，這決定了一個動態(tài)意愿（Word，f2，讀寫）。靜態(tài)意愿也是明確的，由用戶的需要唯一決定，前面解釋靜態(tài)意愿的定義時已經(jīng)舉過例子。這可表述為以下性質(zhì)。性質(zhì) 用戶意愿是明確的，動態(tài)意愿由用戶進行的工作唯一決定，靜

13、態(tài)意愿由用戶的需要唯一決定。4 病毒的新定義及性質(zhì)4.1 定義有了“用戶意愿”概念，就可以準確描述用戶的意圖，而從代碼的執(zhí)行行為是否符合用戶意愿角度則可以定義損害性。因此，可以以是否遵循用戶意愿作為病毒判斷標準。定義以下記號：p、p：任意的程序。m、m：任意的文件訪問模式。ACCESSP：ACCESSP = (f, m) | 程序p以模式m訪問了文件f。定義5 一個程序p是顯式病毒（簡稱EV），當且僅當，$f $m ( (f, m) Î ACCESSP Ù (p, f, m) Ï I )。4.2 性質(zhì)根據(jù)EV的定義，有以下覆蓋能力結(jié)論。覆蓋能力定理1 EV涵蓋了所

14、有攻擊Fout中文件的惡意程序，以及攻擊Fin中文件的兩類惡意程序：1）不按照用戶授權(quán)的模式進行訪問；2）訪問其他程序被授權(quán)訪問的文件?！咀C明：先證明第一條結(jié)論：EV涵蓋了所有攻擊Fout中文件的惡意程序。"p，假設(shè)p攻擊了Fout中的文件。® $f $m (f, m) Î ACCESSP Ù f Î Fout)® $f $m (f, m) Î ACCESSP Ù f Ï Fin)，又 Fin= f | $p $m (p, f, m) Î I ，® $f $m (f, m) Î

15、; ACCESSP Ù (p, f, m) Ï I)® p是EV。下面證明第二條結(jié)論。1）"p，假設(shè)p不按照用戶授權(quán)的模式訪問Fin中的文件。® $f $m $m (f, m) Î ACCESSP Ù (p, f, m) Ï I Ù (p, f, m) ÎI Ù m ¹ m)® $f $m (f, m) Î ACCESSP Ù (p, f, m) Ï I) p是EV。2）"p，假設(shè)p訪問程序p被授權(quán)訪問的文件。® $

16、f $p $m (f, m) Î ACCESSP Ù (p, f, m) Ï I Ù (p, f, m) ÎI Ù p ¹ p)® $f $m (f, m) Î ACCESSP Ù (p, f, m) Ï I)® p是EV。證畢！】根據(jù)傳統(tǒng)病毒的定義，病毒的感染環(huán)節(jié)一定要首先分析程序文件，發(fā)現(xiàn)適合感染后一定要修改該程序文件。由于程序文件是穩(wěn)定的對象，用戶不會授權(quán)程序?qū)λM行修改，狹義病毒的這種讀/寫文件訪問不屬于用戶授權(quán)范圍。因此，狹義病毒屬于EV。同樣道理，蠕蟲、木馬為了能

17、夠在計算機上永久駐留，必須將自身以單獨的文件形式或者寄生在其他文件中的形式保存在系統(tǒng)中。大部分的蠕蟲、木馬是這樣的，也屬于EV。這可表述為以下結(jié)論。覆蓋能力定理2 EV涵蓋了狹義病毒，以及涉及文件篡改、文件竊取的蠕蟲、木馬。為驗證上述結(jié)論，我們隨機抽取了Trend Lab8提供的實際病毒案例共255個進行分析。結(jié)果表明，這些病毒在執(zhí)行過程中都包含了對文件系統(tǒng)的訪問操作，特別是大多具有安裝環(huán)節(jié)，在安裝環(huán)節(jié)中修改注冊表以保證在系統(tǒng)啟動時能夠自動運行。這種文件系統(tǒng)訪問操作，是違背用戶意愿偷偷進行的，因而都是EV。覆蓋能力定理3 EV擴大了傳統(tǒng)廣義病毒的內(nèi)涵，涵蓋了部分有設(shè)計或開發(fā)缺陷的程序，如果這種

18、缺陷導(dǎo)致程序進行非授權(quán)文件訪問。上述結(jié)論可由EV的定義直接得到。這種范圍擴大的重要意義，就在于把這類有缺陷的程序納入到了需要防御的范疇，更好地滿足了用戶的需求?？紤]一個例子，為保證機器丟失時信息不泄密，設(shè)計這樣一個自毀程序：當連續(xù)10次輸入登錄密碼錯誤時，刪除系統(tǒng)中的所有信息。由于程序設(shè)計中存在有缺陷，程序在非預(yù)定條件下激活了自毀功能，毀掉了系統(tǒng)的信息，造成了損失。這樣的程序是不是病毒是有爭議的，但是需要防御它卻是沒有爭議的。為覆蓋所有的病毒，我們將EV之外的病毒定義為隱式病毒（簡稱HV）。定義6 一個病毒v是HV，當且僅當，v不是EV。從文件系統(tǒng)角度看，HV能夠帶來的后果是有限的，原因在于：

19、1）只要程序p的攻擊對象超出Fin，p就屬于EV。2）相比整個文件系統(tǒng)，F(xiàn)in通常非常小，HV能夠造成的損失也就限定在很小的范圍內(nèi)。參見圖1，小方格區(qū)域為Fout，小圓圈區(qū)域為Fin。圖1 EV、HV攻擊范圍示意4.3 案例分析為證實大部分病毒為EV，我們在2004、2006年對Trend Lab提供的實際病毒案例進行了三次隨機分析，共分析了255個病毒。分析結(jié)果表明，這255個病毒全部為EV，其中傳統(tǒng)病毒45個，蠕蟲178個，木馬32個。2009年，我們又對1998年以來最具影響力、破壞力的典型病毒進行了分析，共分析了19個病毒。分析結(jié)果表明，17個病毒屬于EV，有對文件系統(tǒng)的讀寫操作和對注

20、冊表的修改操作，而Code Red、SQL Slammer不屬于EV。分析結(jié)果見表1，考慮到篇幅限制，僅給出個別病毒的原理分析。表1 著名病毒的主要原理分析序號病毒名病毒類型主要原理分析1CIH文件病毒利用VXD技術(shù)，直接攻擊、破壞PE文件（EXE、DLL文件）。2WIN32.FunLove.4099文件病毒3Melissa 宏病毒4I LOVE YOU蠕蟲5Code Red 蠕蟲6SQL Slammer蠕蟲利用SQL SERVER 2000的解析端口1434的緩沖區(qū)溢出漏洞，對網(wǎng)絡(luò)上的SQL服務(wù)器進行攻擊，該病毒也只存在于內(nèi)存中。7Blaster 蠕蟲8Sobig.F蠕蟲9Bagle蠕蟲10

21、My Doom蠕蟲11Sasser 蠕蟲利用LSASS 的緩沖區(qū)溢出漏洞進行攻擊，并感染計算機上的PE文件。病毒運行后，將自身復(fù)制為%WinDir%avserve.exe，并在注冊表的相關(guān)啟動項中創(chuàng)建："avserve.exe" = %WinDir%avserve.exe，以實現(xiàn)自動啟動。 12HappyTime蠕蟲13Nimda 蠕蟲14Want.Job蠕蟲15WhBoy.h蠕蟲16Trojan/QQPass木馬17win32.hack.huigezi 木馬18Trojan/PSW.GamePass木馬19Trojan/Agent.pgz 木馬圖2給出了著名的“熊貓燒香”

22、病毒的感染、傳播流程。該病毒于2006年10月16日爆發(fā)，并迅速登上年度病毒之王的寶座，被評為全球病毒史上最具有影響力的病毒之一。從流程圖可以看出，病毒運行會對磁盤文件系統(tǒng)進行訪問操作（圖中以灰色背景顯示），且具有安裝和修改注冊表的環(huán)節(jié)。圖2 熊貓燒香病毒的感染、傳播流程綜合以上案例分析，可以得出：絕大多數(shù)病毒在藏匿、感染、傳播和破壞等過程中，都存在著對文件的讀寫和對注冊表的修改。其原因在于：病毒為在計算機上永久保留下來，必須把自身的拷貝以文件形式保存起來；病毒為達到自動啟動的目的，必須改寫注冊表文件。上面案例中的“Red Code”和“SQL Slammer”病毒屬于例外，原因是：它們都是利

23、用緩沖區(qū)溢出漏洞，借助于服務(wù)器的網(wǎng)絡(luò)連接（通過某些開著的端口對外大量地發(fā)送自己）來攻擊其他的服務(wù)器，將病毒自身直接從一臺電腦內(nèi)存?zhèn)鞑サ搅硪慌_電腦內(nèi)存中，它們并不往被攻擊服務(wù)器的硬盤中寫入病毒信息。它們攻擊的對象并非終端計算機用戶，而是網(wǎng)絡(luò)服務(wù)器。5 病毒識別算法及討論5.1 算法定義病毒識別算法 設(shè)UA是當前登錄系統(tǒng)的用戶，p為任意程序，I是用戶意愿的集合，IS是用戶的靜態(tài)意愿，(p, f, m)表示“用戶授權(quán)了程序p以模式m訪問文件f”，op(p, f, m)表示“程序p請求以模式m訪問文件f”，將目錄當作文件看待。算法步驟如下：初始化IS;while(true) do等待事件E的發(fā)生； i

24、f (E = UA動態(tài)授權(quán)p以模式m打開文件f) then I = I (p, f, m); break;if (E = UA靜態(tài)授權(quán)p以模式m打開文件f) then IS= IS (p, f, m);將IS以文件形式保存在系統(tǒng)中;break;if (E = p退出) then從I中刪除所有的(p, f, m);break;if (E = p關(guān)閉了文件f && (p, f, m) ÎI ) thenI = I - (p, f, m); break;if (E = UA取消靜態(tài)授權(quán)(p, f, m) thenIS= IS - (p, f, m);將IS以文件形式保存在系

25、統(tǒng); break; if (E = UA取消動態(tài)授權(quán)(p, f, m) ) then I = I - (p, f, m);break; if (E = p發(fā)出請求op(p, f, m) then if (op(p, f, m)是“讀目錄名稱、屬性信息或目錄下的文件名稱、屬性信息”) then 執(zhí)行op(p, f, m);break; if (p, f, m) ÎIIS) then 執(zhí)行op(p, f, m);break; 報警“p是EFM”；注意算法中標記為斜體字的語句塊，它監(jiān)控了所有的文件訪問請求op(p, f, m)，如果(p, f, m) ÏIIS就被認為是病毒。而這

26、正好是EV的判斷條件。因此，直接有以下結(jié)論。識別能力性質(zhì) 如果程序p是EV，那么p一定會被病毒識別算法檢測出來。5.2 識別能力的討論識別能力性質(zhì)表明，包括傳統(tǒng)病毒在內(nèi)的顯式病毒可以被準確檢測出來。這與“病毒不可準確檢測”的著名論斷相矛盾。這是否意味著前人的工作存在錯誤呢？其實不然，原因就在于對病毒的定義完全不同。傳統(tǒng)的病毒定義，實質(zhì)上是定義了一種稱為“病毒”的技術(shù)，這種定義肯定是不完善的。原因在于：首先，技術(shù)是中性的，本身不存在善惡，好人用它來造福社會，壞人用它來損人利己；其次，病毒程序設(shè)計技術(shù)是發(fā)展的。對此，Cohen博士也意識到了，認為“就像任意的新技術(shù)一樣，病毒是一把雙刃劍”1。例如，

27、鉤子函數(shù)技術(shù)被許多惡意軟件用來竊取用戶賬戶、密碼等，根據(jù)狹義病毒定義，使用該技術(shù)的程序可以歸結(jié)為病毒，但是許多正常軟件采用該技術(shù)使自身功能強大，戶使用軟件更方便。6 未來工作應(yīng)用廣義病毒定義進行病毒防御，如果頻繁向用戶詢問其意愿，會造成用戶反感，甚至迫使用戶放棄該方案。因此，尋求全面準確的自動獲取用戶意愿的方案是下一步研究的重點。此外，廣義病毒定義雖然在安全性質(zhì)、識別能力上比傳統(tǒng)的病毒定義有較大突破，但仍然存在不足。比如，隱式病毒沒有給出準確、具體的形式化定義，這也是下一步的努力方向。7 總結(jié)本文以是否違背用戶意愿為標準，將廣義病毒區(qū)分為顯式病毒、隱式病毒，并給出了顯式病毒的形式化定義和識別算

28、法。理論分析表明，狹義病毒以及大部分木馬、蠕蟲均屬于顯式病毒，實際案例分析也證實了這一點。本文工作的意義在于從用戶意愿角度給出了顯式病毒、隱式病毒的定義，指出傳統(tǒng)病毒以及大部分木馬、蠕蟲在理論上是可以準確識別的。8 參考文獻 Prabhat K. Singh, Arun Lakhotia, Analysis and detection of computer viruses and worms: An annotated bibliography, ACM SIGNPLAN Notices, vol. 37, No. 2, pp. 29-35, Feb. 20022 F. Cohen, &qu

29、ot;Computer Viruses-Theory and Experiments," Computers and Security, 6, 19843 David M. Chess, Steve R. White, An Undetectable Computer Virus, In Virus Bulletin Conference, September 20004 Adleman L M. An abstract theory of computer viruses. Advances in cryptology - CRYPTO'88 Proceedings, 40

30、3 (Aug, 1988) p354-374. Springer-Verlag5 F. Cohen, "Computational Aspects of Computer Viruses," Computers and Security, vol. 8, pp. 325-344, 19896 Fred Cohen, A Case for Benevolent Viruses, ASP Press, 19917 Vesselin Bontchev，Are 'Good' Computer Viruses Still a Bad Idea?, Proc. EICA

31、R94 Conf., pp. 25-47, 19948 Adleman L M. An abstract theory of computer viruses. Advances in cryptology - CRYPTO'88 Proceedings, 403 (Aug, 1988) p354-374. Springer-Verlag.附1Formal Definition of Generalized Virus and Its Identifying AlgorithmHe Hongjun, Luo Li, Dong Liming, He Xiuxiong, Hou Fangy

32、ong, Zhong GuangjunComputer School of National University of Defense Technology, Computer DepartmentAbstract The definition of malicious software is a hot in security domain, malicious software includes virus, worm and Trojan horse. There is now only formal definition of virus, and no widely accepte

33、d formal definitions of worm and Trojan horse. According to definition of traditional virus, there is no algorithm to identify virus definitely. This paper proposes that whether a program code is virus is relative to user, and only those bringing damage to user are viruses. The paper distinguishes v

34、iruses to explicit virus and hidden virus based on users intention, and presents a formal definition of explicit virus and its identifying algorithm. Both theoretical analysis and actual cases study indicates that traditional virus, most of worm, and Trojan horse are explicit viruses.Keyword Virus,

35、Worm, Trojan horse, Users Intention, Explicit Virus, Hidden Virus附2何鴻君（1968-）男，博士，副教授，主要研究興趣為信息安全、軟件工程經(jīng)濟學等。羅莉（1971-）女，博士后，副研究員，主要研究興趣為體系結(jié)構(gòu)、信息安全等。董黎明（1984-）男，碩士，主要研究方向為信息安全。何修雄（1979-）男，碩士，主要研究方向為信息安全。候方勇（1971-）男，博士，副教授，主要研究興趣為信息安全、體系結(jié)構(gòu)等。鐘廣軍（1974-）男，博士，副教授，主要研究興趣為信息安全、圖形學等。附3Background:In security dom

36、ain, the definition of malicious software is a hot. Presently, there is only formal definition of virus, but no widely accepted definitions of worm and Trojan horse. However, according to traditional definition of virus, there is no algorithm can identify virus definitely. Definition of virus is the base to develop defense method, so its valuable to work on