廣義病毒的形式化定義及識(shí)別算法

1、廣義病毒的形式化定義及識(shí)別算法何鴻君，羅莉，董黎明，何修雄，侯方勇，鐘廣軍國防科技大學(xué)計(jì)算機(jī)學(xué)院，長(zhǎng)沙，410073摘要 惡意軟件的定義是多年來安全領(lǐng)域的研究重點(diǎn)，惡意軟件包括病毒、蠕蟲和木馬。目前僅有病毒的形式化定義，蠕蟲、木馬沒有公認(rèn)的形式化定義。按照傳統(tǒng)病毒的定義，不存在準(zhǔn)確識(shí)別病毒的算法。本文提出代碼是否為病毒是相對(duì)于用戶而言的，給用戶帶來損害的代碼才是病毒。據(jù)此觀點(diǎn)，本文以用戶意愿為標(biāo)準(zhǔn)，將病毒區(qū)分為顯式病毒、隱式病毒，并給出了顯式病毒的形式化定義和識(shí)別算法。理論分析表明，傳統(tǒng)病毒以及大部分木馬、蠕蟲均屬于顯式病毒，實(shí)際案例分析也證實(shí)了這一點(diǎn)。關(guān)鍵詞 病毒、蠕蟲、木馬、用戶意愿、顯式

2、病毒、隱式病毒1 前言病毒的定義是反病毒技術(shù)研究的基礎(chǔ)，一直是計(jì)算機(jī)安全領(lǐng)域的重要研究課題，相關(guān)論文很多1。廣義病毒包括了傳統(tǒng)病毒、蠕蟲、木馬等所有惡意程序，本文的討論針對(duì)廣義病毒。公認(rèn)的傳統(tǒng)病毒定義是Cohen博士1984年提出的，“計(jì)算機(jī)病毒是一種程序，它可以感染其它程序，感染的方式為在被感染程序中加入計(jì)算機(jī)病毒的一個(gè)副本，這個(gè)副本可能是在原病毒基礎(chǔ)上演變過來的”2。其后，很少提出新的有影響力的形式化定義3。蠕蟲、木馬的定義研究，情況要更糟糕些，有個(gè)別的形式化定義4，但影響力不大。事實(shí)上，隨著病毒技術(shù)的發(fā)展，很多病毒同時(shí)具備病毒、蠕蟲、木馬的特征。例如，2001年9月8日發(fā)現(xiàn)的Nimda

3、病毒，NAI 公司把它歸為病毒，CERT把它歸為蠕蟲，而Incidents.Org則把它同時(shí)歸為病毒和蠕蟲。從這個(gè)角度看，嚴(yán)格區(qū)分狹義病毒、蠕蟲、木馬的意義不大。技術(shù)是中性的，本身不存在惡意，好人用它來造福社會(huì)，壞人用它來損人利己。因此，如果定義了一種稱為“病毒”的技術(shù)，并將采用該技術(shù)的程序稱為病毒，那么，這種定義肯定是不嚴(yán)謹(jǐn)?shù)摹?jù)此觀點(diǎn)，我們以是否違背用戶意愿為標(biāo)準(zhǔn)，將廣義病毒區(qū)分為顯式病毒、隱式病毒，并給出了顯式病毒的形式化定義和識(shí)別算法。理論分析表明，狹義病毒以及大部分木馬、蠕蟲均屬于顯式病毒，實(shí)際案例分析也證實(shí)了這一點(diǎn)。這些工作的重要價(jià)值在于，指出了狹義病毒以及大部分木馬、蠕蟲是可以準(zhǔn)

4、確識(shí)別的。這一結(jié)論與“不能準(zhǔn)確識(shí)別狹義病毒”歷史結(jié)論并不矛盾，因?yàn)楠M義病毒的經(jīng)典定義實(shí)質(zhì)上是定義了一種“病毒”技術(shù)，而不是病毒本身。本文第2節(jié)提出程序是否為病毒是相對(duì)的，若對(duì)用戶有損害則為病毒，否則不是，并簡(jiǎn)要分析傳統(tǒng)病毒定義的不足。第3節(jié)提出“用戶意愿”概念，用以描述用戶操作計(jì)算機(jī)過程中的意圖。第4節(jié)給出廣義病毒的定義，并討論定義的性質(zhì)。第5節(jié)給出一種準(zhǔn)確識(shí)別顯式病毒的算法，并指出與傳統(tǒng)結(jié)論截然不同的原因在于對(duì)病毒的定義不同。最后，總結(jié)全文。2 病毒本質(zhì)的討論2.1 損害的相對(duì)性一個(gè)程序之所以被稱為“病毒”，是因?yàn)樗哂袚p害性。損害性是惡意程序的本質(zhì)，而是否造成損害一定是對(duì)用戶而言的。例如病

5、毒V，對(duì)于作者來說，如果他是在測(cè)試V，那V對(duì)他而言是沒有損害的，因?yàn)閂運(yùn)行的結(jié)果就是他所需要的；而如果他在不知道的情況下運(yùn)行了V或者被V感染的程序，則V對(duì)他而言是有損害的，因?yàn)檫\(yùn)行結(jié)果不是他希望的。再例如，用戶已經(jīng)知道病毒V的功能是刪除當(dāng)前目錄下的所有文件，用戶經(jīng)常把它當(dāng)作一個(gè)文件刪除工具使用，對(duì)用戶來說V是一個(gè)實(shí)用程序?？梢姡绦蚴欠駷椴《臼怯脩舻闹饔^判斷，這種認(rèn)識(shí)可表述為以下公理。病毒相對(duì)性公理 一個(gè)程序是否為病毒，是相對(duì)于用戶而言的。如果用戶認(rèn)為程序給自己帶來了損害就是病毒，否則不是病毒。根據(jù)病毒相對(duì)性公理，我們可以直接得到一個(gè)非常有趣的結(jié)論：判斷某程序是否為病毒的算法，如果不引入用戶的

6、意見，則該算法是不可能做出準(zhǔn)確判斷的。這種認(rèn)識(shí)可表述為以下定理。判不準(zhǔn)定理 通過分析程序代碼的方法準(zhǔn)確判斷一個(gè)程序是否為病毒，這樣的判斷算法是不存在的。2.2 傳統(tǒng)病毒定義的不足為加深對(duì)病毒相對(duì)性的理解，我們回顧一下經(jīng)典的病毒定義。Fred Cohen1984年給出了廣為接受的病毒定義，“計(jì)算機(jī)病毒是一種程序，它可以感染其它程序，感染的方式為在被感染程序中加入計(jì)算機(jī)病毒的一個(gè)副本，這個(gè)副本可能是在原病毒基礎(chǔ)上演變過來的”1。隨后，Cohen給出了病毒的形式化定義5，將病毒的范圍擴(kuò)大到了所有的自我復(fù)制程序，以及在系統(tǒng)或網(wǎng)絡(luò)中演化和移動(dòng)的程序?；谏鲜霆M義病毒的定義，有兩個(gè)重要結(jié)論：1）很多正常程

7、序被歸結(jié)為病毒，從而病毒有了“好”、“壞”之分6,7。例如自動(dòng)升級(jí)程序，雖然不是病毒，但是按照Cohen給出的定義它們被歸結(jié)為病毒。2）按照給定的病毒定義，沒有算法能夠準(zhǔn)確識(shí)別病毒1,2,8。Cohen的病毒定義沒有引入用戶的意見，因此，根據(jù)判不準(zhǔn)定理有結(jié)論：不存在一個(gè)算法能夠準(zhǔn)確識(shí)別病毒。事實(shí)確實(shí)如此，下面引用的是Cohen關(guān)于不能檢測(cè)病毒的證明過程1?！盀閿喽ㄒ粋€(gè)給定程序P是病毒，必須斷定P感染其他程序。這是不可判定的，因?yàn)镻能夠調(diào)用判斷過程D并且感染其他程序，當(dāng)且僅當(dāng)D斷定P不是病毒。我們由此斷定一個(gè)程序通過檢查一個(gè)病毒的外表來區(qū)分病毒與其他程序是不可行的。下面是對(duì)程序V的一個(gè)修改，作為

8、D的不可判定性例子，我們使用了一個(gè)假定的判斷過程D，D返回true當(dāng)且僅當(dāng)其參數(shù)是一個(gè)病毒?！眕rogram contradictory-virus:=.main-program:=if D(contradictory-virus) theninfect-executable;if trigger-pulled then do-damage;goto next;記上述代碼為CV。如果D斷定CV是病毒，CV將不感染其他程序，所以不是病毒。如果D斷定CV不是病毒，CV將感染其他程序，所以是病毒。因此，假定的過程D是自相矛盾的，通過外表來準(zhǔn)確斷定病毒是不可判定的?！? 用戶意愿為準(zhǔn)確描述用戶的意見，

9、這里提出“用戶意愿”概念。用戶意愿代表著用戶的想法，理論上我們可以根據(jù)實(shí)際需要，定義各種各樣的用戶意愿。本文僅討論用戶對(duì)程序訪問文件的意愿。用戶意愿是用戶發(fā)布的文件訪問授權(quán)，表示同意某程序以某模式訪問某文件。例如，用戶操作程序Word，通過打開文件對(duì)話框選擇了只讀文件doc，那么，用戶意愿就是允許程序Word以只讀模式訪問文件doc。用戶意愿強(qiáng)調(diào)授權(quán)信息的真實(shí)性，即這種訪問授權(quán)確實(shí)是用戶本人發(fā)布的，而不是程序偽造的。定義1 一個(gè)用戶意愿是用戶發(fā)布的一個(gè)文件訪問授權(quán)，表示授權(quán)程序p以模式m訪問文件f，記為(p, f, m)。用戶授予程序某種訪問權(quán)，程序可以長(zhǎng)期性擁有這種訪問權(quán)，也可以只是臨時(shí)性的

10、獲得。對(duì)應(yīng)的，將用戶意愿區(qū)分為靜態(tài)意愿、動(dòng)態(tài)意愿。定義2 如果用戶授權(quán)程序p以模式m訪問文件f，其有效時(shí)間是永久性的，那么，用戶意愿(p, f, m)稱為靜態(tài)意愿。例如，用戶希望系統(tǒng)啟動(dòng)后自動(dòng)運(yùn)行某日程安排程序MySchedule，那么其意愿“授權(quán)操作系統(tǒng)只讀訪問文件MySchedule”就是一種靜態(tài)意愿。除非用戶后來改變了這種授權(quán)，否則，每次系統(tǒng)啟動(dòng)時(shí)都會(huì)自動(dòng)運(yùn)行MySchedule。定義3 如果用戶授權(quán)程序p以模式m訪問文件f，其有效時(shí)間是直到文件關(guān)閉，那么，用戶意愿(p, f, m)稱為動(dòng)態(tài)意愿。用戶與程序的交互過程中，其發(fā)布的文件訪問授權(quán)通常是動(dòng)態(tài)意愿。例如，用戶操作程序Word編輯文

11、檔doc，用戶希望的是當(dāng)他授權(quán)Word打開doc時(shí)，Word才能訪問doc，關(guān)閉doc后，Word不能訪問doc。定義4 用I表示用戶意愿的集合，用Fall表示計(jì)算機(jī)上所有文件的集合。稱Fin= f |$p $m (p, f, m) Î I 為意愿內(nèi)文件集合，F(xiàn)out = Fall - Fin為意愿外文件集合。計(jì)算機(jī)運(yùn)行過程中，用戶意愿的集合隨時(shí)間在變化，相應(yīng)地，F(xiàn)in、Fout也在變化。根據(jù)經(jīng)驗(yàn)，| Fout| >10000，| Fin | <10，并且Fin隨時(shí)間變化的幅度很小。特殊情況下，例如掃描文件系統(tǒng)，F(xiàn)in可能接近或者等于Fall。讀者或許從字面上理解“用戶意

12、愿”，認(rèn)為意愿是一種主觀想法，具有強(qiáng)烈的不確定性：對(duì)不同的用戶來說，同一件事情可能有不同的意愿，甚至相反的意愿。下面作進(jìn)一步澄清。用戶意愿是由用戶進(jìn)行的工作明確決定的。例如，用戶運(yùn)行程序Word 編輯文件f1，這決定了一個(gè)動(dòng)態(tài)意愿（Word，f1，讀寫），即授權(quán)Word 以讀寫模式訪問文件f1；隨后，用戶關(guān)閉了f1，這決定了取消一個(gè)動(dòng)態(tài)意愿（Word，f1，讀寫）；再后來，用戶編輯文件f2，這決定了一個(gè)動(dòng)態(tài)意愿（Word，f2，讀寫）。靜態(tài)意愿也是明確的，由用戶的需要唯一決定，前面解釋靜態(tài)意愿的定義時(shí)已經(jīng)舉過例子。這可表述為以下性質(zhì)。性質(zhì) 用戶意愿是明確的，動(dòng)態(tài)意愿由用戶進(jìn)行的工作唯一決定，靜

13、態(tài)意愿由用戶的需要唯一決定。4 病毒的新定義及性質(zhì)4.1 定義有了“用戶意愿”概念，就可以準(zhǔn)確描述用戶的意圖，而從代碼的執(zhí)行行為是否符合用戶意愿角度則可以定義損害性。因此，可以以是否遵循用戶意愿作為病毒判斷標(biāo)準(zhǔn)。定義以下記號(hào)：p、p：任意的程序。m、m：任意的文件訪問模式。ACCESSP：ACCESSP = (f, m) | 程序p以模式m訪問了文件f。定義5 一個(gè)程序p是顯式病毒（簡(jiǎn)稱EV），當(dāng)且僅當(dāng)，$f $m ( (f, m) Î ACCESSP Ù (p, f, m) Ï I )。4.2 性質(zhì)根據(jù)EV的定義，有以下覆蓋能力結(jié)論。覆蓋能力定理1 EV涵蓋了所

14、有攻擊Fout中文件的惡意程序，以及攻擊Fin中文件的兩類惡意程序：1）不按照用戶授權(quán)的模式進(jìn)行訪問；2）訪問其他程序被授權(quán)訪問的文件?！咀C明：先證明第一條結(jié)論：EV涵蓋了所有攻擊Fout中文件的惡意程序。"p，假設(shè)p攻擊了Fout中的文件。® $f $m (f, m) Î ACCESSP Ù f Î Fout)® $f $m (f, m) Î ACCESSP Ù f Ï Fin)，又 Fin= f | $p $m (p, f, m) Î I ，® $f $m (f, m) Î

15、; ACCESSP Ù (p, f, m) Ï I)® p是EV。下面證明第二條結(jié)論。1）"p，假設(shè)p不按照用戶授權(quán)的模式訪問Fin中的文件。® $f $m $m (f, m) Î ACCESSP Ù (p, f, m) Ï I Ù (p, f, m) ÎI Ù m ¹ m)® $f $m (f, m) Î ACCESSP Ù (p, f, m) Ï I) p是EV。2）"p，假設(shè)p訪問程序p被授權(quán)訪問的文件。® $

16、f $p $m (f, m) Î ACCESSP Ù (p, f, m) Ï I Ù (p, f, m) ÎI Ù p ¹ p)® $f $m (f, m) Î ACCESSP Ù (p, f, m) Ï I)® p是EV。證畢！】根據(jù)傳統(tǒng)病毒的定義，病毒的感染環(huán)節(jié)一定要首先分析程序文件，發(fā)現(xiàn)適合感染后一定要修改該程序文件。由于程序文件是穩(wěn)定的對(duì)象，用戶不會(huì)授權(quán)程序?qū)λM(jìn)行修改，狹義病毒的這種讀/寫文件訪問不屬于用戶授權(quán)范圍。因此，狹義病毒屬于EV。同樣道理，蠕蟲、木馬為了能

17、夠在計(jì)算機(jī)上永久駐留，必須將自身以單獨(dú)的文件形式或者寄生在其他文件中的形式保存在系統(tǒng)中。大部分的蠕蟲、木馬是這樣的，也屬于EV。這可表述為以下結(jié)論。覆蓋能力定理2 EV涵蓋了狹義病毒，以及涉及文件篡改、文件竊取的蠕蟲、木馬。為驗(yàn)證上述結(jié)論，我們隨機(jī)抽取了Trend Lab8提供的實(shí)際病毒案例共255個(gè)進(jìn)行分析。結(jié)果表明，這些病毒在執(zhí)行過程中都包含了對(duì)文件系統(tǒng)的訪問操作，特別是大多具有安裝環(huán)節(jié)，在安裝環(huán)節(jié)中修改注冊(cè)表以保證在系統(tǒng)啟動(dòng)時(shí)能夠自動(dòng)運(yùn)行。這種文件系統(tǒng)訪問操作，是違背用戶意愿偷偷進(jìn)行的，因而都是EV。覆蓋能力定理3 EV擴(kuò)大了傳統(tǒng)廣義病毒的內(nèi)涵，涵蓋了部分有設(shè)計(jì)或開發(fā)缺陷的程序，如果這種

18、缺陷導(dǎo)致程序進(jìn)行非授權(quán)文件訪問。上述結(jié)論可由EV的定義直接得到。這種范圍擴(kuò)大的重要意義，就在于把這類有缺陷的程序納入到了需要防御的范疇，更好地滿足了用戶的需求?？紤]一個(gè)例子，為保證機(jī)器丟失時(shí)信息不泄密，設(shè)計(jì)這樣一個(gè)自毀程序：當(dāng)連續(xù)10次輸入登錄密碼錯(cuò)誤時(shí)，刪除系統(tǒng)中的所有信息。由于程序設(shè)計(jì)中存在有缺陷，程序在非預(yù)定條件下激活了自毀功能，毀掉了系統(tǒng)的信息，造成了損失。這樣的程序是不是病毒是有爭(zhēng)議的，但是需要防御它卻是沒有爭(zhēng)議的。為覆蓋所有的病毒，我們將EV之外的病毒定義為隱式病毒（簡(jiǎn)稱HV）。定義6 一個(gè)病毒v是HV，當(dāng)且僅當(dāng)，v不是EV。從文件系統(tǒng)角度看，HV能夠帶來的后果是有限的，原因在于：

19、1）只要程序p的攻擊對(duì)象超出Fin，p就屬于EV。2）相比整個(gè)文件系統(tǒng)，F(xiàn)in通常非常小，HV能夠造成的損失也就限定在很小的范圍內(nèi)。參見圖1，小方格區(qū)域?yàn)镕out，小圓圈區(qū)域?yàn)镕in。圖1 EV、HV攻擊范圍示意4.3 案例分析為證實(shí)大部分病毒為EV，我們?cè)?004、2006年對(duì)Trend Lab提供的實(shí)際病毒案例進(jìn)行了三次隨機(jī)分析，共分析了255個(gè)病毒。分析結(jié)果表明，這255個(gè)病毒全部為EV，其中傳統(tǒng)病毒45個(gè)，蠕蟲178個(gè)，木馬32個(gè)。2009年，我們又對(duì)1998年以來最具影響力、破壞力的典型病毒進(jìn)行了分析，共分析了19個(gè)病毒。分析結(jié)果表明，17個(gè)病毒屬于EV，有對(duì)文件系統(tǒng)的讀寫操作和對(duì)注

20、冊(cè)表的修改操作，而Code Red、SQL Slammer不屬于EV。分析結(jié)果見表1，考慮到篇幅限制，僅給出個(gè)別病毒的原理分析。表1 著名病毒的主要原理分析序號(hào)病毒名病毒類型主要原理分析1CIH文件病毒利用VXD技術(shù)，直接攻擊、破壞PE文件（EXE、DLL文件）。2WIN32.FunLove.4099文件病毒3Melissa 宏病毒4I LOVE YOU蠕蟲5Code Red 蠕蟲6SQL Slammer蠕蟲利用SQL SERVER 2000的解析端口1434的緩沖區(qū)溢出漏洞，對(duì)網(wǎng)絡(luò)上的SQL服務(wù)器進(jìn)行攻擊，該病毒也只存在于內(nèi)存中。7Blaster 蠕蟲8Sobig.F蠕蟲9Bagle蠕蟲10

21、My Doom蠕蟲11Sasser 蠕蟲利用LSASS 的緩沖區(qū)溢出漏洞進(jìn)行攻擊，并感染計(jì)算機(jī)上的PE文件。病毒運(yùn)行后，將自身復(fù)制為%WinDir%avserve.exe，并在注冊(cè)表的相關(guān)啟動(dòng)項(xiàng)中創(chuàng)建："avserve.exe" = %WinDir%avserve.exe，以實(shí)現(xiàn)自動(dòng)啟動(dòng)。 12HappyTime蠕蟲13Nimda 蠕蟲14Want.Job蠕蟲15WhBoy.h蠕蟲16Trojan/QQPass木馬17win32.hack.huigezi 木馬18Trojan/PSW.GamePass木馬19Trojan/Agent.pgz 木馬圖2給出了著名的“熊貓燒香”

22、病毒的感染、傳播流程。該病毒于2006年10月16日爆發(fā)，并迅速登上年度病毒之王的寶座，被評(píng)為全球病毒史上最具有影響力的病毒之一。從流程圖可以看出，病毒運(yùn)行會(huì)對(duì)磁盤文件系統(tǒng)進(jìn)行訪問操作（圖中以灰色背景顯示），且具有安裝和修改注冊(cè)表的環(huán)節(jié)。圖2 熊貓燒香病毒的感染、傳播流程綜合以上案例分析，可以得出：絕大多數(shù)病毒在藏匿、感染、傳播和破壞等過程中，都存在著對(duì)文件的讀寫和對(duì)注冊(cè)表的修改。其原因在于：病毒為在計(jì)算機(jī)上永久保留下來，必須把自身的拷貝以文件形式保存起來；病毒為達(dá)到自動(dòng)啟動(dòng)的目的，必須改寫注冊(cè)表文件。上面案例中的“Red Code”和“SQL Slammer”病毒屬于例外，原因是：它們都是利

23、用緩沖區(qū)溢出漏洞，借助于服務(wù)器的網(wǎng)絡(luò)連接（通過某些開著的端口對(duì)外大量地發(fā)送自己）來攻擊其他的服務(wù)器，將病毒自身直接從一臺(tái)電腦內(nèi)存?zhèn)鞑サ搅硪慌_(tái)電腦內(nèi)存中，它們并不往被攻擊服務(wù)器的硬盤中寫入病毒信息。它們攻擊的對(duì)象并非終端計(jì)算機(jī)用戶，而是網(wǎng)絡(luò)服務(wù)器。5 病毒識(shí)別算法及討論5.1 算法定義病毒識(shí)別算法 設(shè)UA是當(dāng)前登錄系統(tǒng)的用戶，p為任意程序，I是用戶意愿的集合，IS是用戶的靜態(tài)意愿，(p, f, m)表示“用戶授權(quán)了程序p以模式m訪問文件f”，op(p, f, m)表示“程序p請(qǐng)求以模式m訪問文件f”，將目錄當(dāng)作文件看待。算法步驟如下：初始化IS;while(true) do等待事件E的發(fā)生； i

24、f (E = UA動(dòng)態(tài)授權(quán)p以模式m打開文件f) then I = I (p, f, m); break;if (E = UA靜態(tài)授權(quán)p以模式m打開文件f) then IS= IS (p, f, m);將IS以文件形式保存在系統(tǒng)中;break;if (E = p退出) then從I中刪除所有的(p, f, m);break;if (E = p關(guān)閉了文件f && (p, f, m) ÎI ) thenI = I - (p, f, m); break;if (E = UA取消靜態(tài)授權(quán)(p, f, m) thenIS= IS - (p, f, m);將IS以文件形式保存在系

25、統(tǒng); break; if (E = UA取消動(dòng)態(tài)授權(quán)(p, f, m) ) then I = I - (p, f, m);break; if (E = p發(fā)出請(qǐng)求op(p, f, m) then if (op(p, f, m)是“讀目錄名稱、屬性信息或目錄下的文件名稱、屬性信息”) then 執(zhí)行op(p, f, m);break; if (p, f, m) ÎIIS) then 執(zhí)行op(p, f, m);break; 報(bào)警“p是EFM”；注意算法中標(biāo)記為斜體字的語句塊，它監(jiān)控了所有的文件訪問請(qǐng)求op(p, f, m)，如果(p, f, m) ÏIIS就被認(rèn)為是病毒。而這

26、正好是EV的判斷條件。因此，直接有以下結(jié)論。識(shí)別能力性質(zhì) 如果程序p是EV，那么p一定會(huì)被病毒識(shí)別算法檢測(cè)出來。5.2 識(shí)別能力的討論識(shí)別能力性質(zhì)表明，包括傳統(tǒng)病毒在內(nèi)的顯式病毒可以被準(zhǔn)確檢測(cè)出來。這與“病毒不可準(zhǔn)確檢測(cè)”的著名論斷相矛盾。這是否意味著前人的工作存在錯(cuò)誤呢？其實(shí)不然，原因就在于對(duì)病毒的定義完全不同。傳統(tǒng)的病毒定義，實(shí)質(zhì)上是定義了一種稱為“病毒”的技術(shù)，這種定義肯定是不完善的。原因在于：首先，技術(shù)是中性的，本身不存在善惡，好人用它來造福社會(huì)，壞人用它來損人利己；其次，病毒程序設(shè)計(jì)技術(shù)是發(fā)展的。對(duì)此，Cohen博士也意識(shí)到了，認(rèn)為“就像任意的新技術(shù)一樣，病毒是一把雙刃劍”1。例如，

27、鉤子函數(shù)技術(shù)被許多惡意軟件用來竊取用戶賬戶、密碼等，根據(jù)狹義病毒定義，使用該技術(shù)的程序可以歸結(jié)為病毒，但是許多正常軟件采用該技術(shù)使自身功能強(qiáng)大，戶使用軟件更方便。6 未來工作應(yīng)用廣義病毒定義進(jìn)行病毒防御，如果頻繁向用戶詢問其意愿，會(huì)造成用戶反感，甚至迫使用戶放棄該方案。因此，尋求全面準(zhǔn)確的自動(dòng)獲取用戶意愿的方案是下一步研究的重點(diǎn)。此外，廣義病毒定義雖然在安全性質(zhì)、識(shí)別能力上比傳統(tǒng)的病毒定義有較大突破，但仍然存在不足。比如，隱式病毒沒有給出準(zhǔn)確、具體的形式化定義，這也是下一步的努力方向。7 總結(jié)本文以是否違背用戶意愿為標(biāo)準(zhǔn)，將廣義病毒區(qū)分為顯式病毒、隱式病毒，并給出了顯式病毒的形式化定義和識(shí)別算

28、法。理論分析表明，狹義病毒以及大部分木馬、蠕蟲均屬于顯式病毒，實(shí)際案例分析也證實(shí)了這一點(diǎn)。本文工作的意義在于從用戶意愿角度給出了顯式病毒、隱式病毒的定義，指出傳統(tǒng)病毒以及大部分木馬、蠕蟲在理論上是可以準(zhǔn)確識(shí)別的。8 參考文獻(xiàn) Prabhat K. Singh, Arun Lakhotia, Analysis and detection of computer viruses and worms: An annotated bibliography, ACM SIGNPLAN Notices, vol. 37, No. 2, pp. 29-35, Feb. 20022 F. Cohen, &qu

29、ot;Computer Viruses-Theory and Experiments," Computers and Security, 6, 19843 David M. Chess, Steve R. White, An Undetectable Computer Virus, In Virus Bulletin Conference, September 20004 Adleman L M. An abstract theory of computer viruses. Advances in cryptology - CRYPTO'88 Proceedings, 40

30、3 (Aug, 1988) p354-374. Springer-Verlag5 F. Cohen, "Computational Aspects of Computer Viruses," Computers and Security, vol. 8, pp. 325-344, 19896 Fred Cohen, A Case for Benevolent Viruses, ASP Press, 19917 Vesselin Bontchev，Are 'Good' Computer Viruses Still a Bad Idea?, Proc. EICA

31、R94 Conf., pp. 25-47, 19948 Adleman L M. An abstract theory of computer viruses. Advances in cryptology - CRYPTO'88 Proceedings, 403 (Aug, 1988) p354-374. Springer-Verlag.附1Formal Definition of Generalized Virus and Its Identifying AlgorithmHe Hongjun, Luo Li, Dong Liming, He Xiuxiong, Hou Fangy

32、ong, Zhong GuangjunComputer School of National University of Defense Technology, Computer DepartmentAbstract The definition of malicious software is a hot in security domain, malicious software includes virus, worm and Trojan horse. There is now only formal definition of virus, and no widely accepte

33、d formal definitions of worm and Trojan horse. According to definition of traditional virus, there is no algorithm to identify virus definitely. This paper proposes that whether a program code is virus is relative to user, and only those bringing damage to user are viruses. The paper distinguishes v

34、iruses to explicit virus and hidden virus based on users intention, and presents a formal definition of explicit virus and its identifying algorithm. Both theoretical analysis and actual cases study indicates that traditional virus, most of worm, and Trojan horse are explicit viruses.Keyword Virus,

35、Worm, Trojan horse, Users Intention, Explicit Virus, Hidden Virus附2何鴻君（1968-）男，博士，副教授，主要研究興趣為信息安全、軟件工程經(jīng)濟(jì)學(xué)等。羅莉（1971-）女，博士后，副研究員，主要研究興趣為體系結(jié)構(gòu)、信息安全等。董黎明（1984-）男，碩士，主要研究方向?yàn)樾畔踩?。何修雄?979-）男，碩士，主要研究方向?yàn)樾畔踩：蚍接拢?971-）男，博士，副教授，主要研究興趣為信息安全、體系結(jié)構(gòu)等。鐘廣軍（1974-）男，博士，副教授，主要研究興趣為信息安全、圖形學(xué)等。附3Background:In security dom

36、ain, the definition of malicious software is a hot. Presently, there is only formal definition of virus, but no widely accepted definitions of worm and Trojan horse. However, according to traditional definition of virus, there is no algorithm can identify virus definitely. Definition of virus is the base to develop defense method, so its valuable to work on