計(jì)算機(jī)病毒傳播模型及防御策略研究-工學(xué)學(xué)士畢業(yè)論文

PAGE22AbstractWiththedevelopmentofcomputertechnologyandtheexpansionofInternet,thecomputerhasbecomeessentialparttopeople'slivesandworkAtthesametime,computervirusisattackingcomputerandnetworkdaybyday.Intheopennetworkenvironment,thecomputervirushasmuchmoreharmthanbefore,especiallyintherecentyears,thevirusarespreadingthroughtheInternetrapidly,arealsoexpandingthescopeofdamage,thatbringshugeeconomiclosses.Therefore,itisanimportandurgentresearchtopictoenhancethepreventionofcomputervirusinordertoensurethesafetyofthecomputer’sinformationinthecurrentprocessofcomputer.Atthesametime,.buildingasafeandhealthyinternetenvironmentisthetopprioritytocreateharmonioussocietyFirstly,theemergenceanddevelopmentbackgroundofthecomputervirusisintroducedinthepaper,andwhichalsodescribedthestructureandtransmissionofthemTherearethousandsofexistingtypesofcomputerviruses,theyareclassifiedbytheircharacteristicinthepaperthedangersareanalyzeddetaillytocatchtheattentionofthepeopleSecondly,withthecombinationofbiologicalvirusesspreadmodeltoanalyzeSISmodelandtheSIRmodelspreadingbycomputerviruses,andtakingtheinfluenceofhumanfactorsintoaccount,analyzethetwo-factormodelintheoryFinally,thereisadetailedanalysisofthesymptomsofcomputerinfectedbyvirusandvirusdetectiontechnology.Howtorespondtotheincreasingcomputerviruses,themostimportantthingistohaveahealthyonlinehabitsandknowsomebasicanti-virusknowledge.Keywords:computerviruses,virusspreadingmodel,classification,hazardcontrolstrategiesofvirus一計(jì)算機(jī)病毒概述計(jì)算機(jī)病毒與醫(yī)學(xué)上的“病毒”不同，它不是天然存在的，而是某些人利用計(jì)算機(jī)軟、硬件所固有的脆弱性，編制的具有特殊功能的程序。由于它與生物學(xué)上的“病毒”同樣有傳染和破壞性。計(jì)算機(jī)病毒具有很強(qiáng)的復(fù)制能力、很強(qiáng)的感染性、一定的潛伏性、特定的觸發(fā)性和很大的破壞性等，因此由生物學(xué)上的“病毒”概念引申出“計(jì)算機(jī)病毒”這一名詞。從廣義上來說，凡是能夠引起計(jì)算機(jī)故障、破壞計(jì)算機(jī)數(shù)據(jù)的程序統(tǒng)稱為計(jì)算機(jī)病毒。1.1計(jì)算機(jī)病毒的產(chǎn)生和發(fā)展背景病毒在最早期時(shí)，先驅(qū)者馮?諾伊曼就曾經(jīng)在他的論文中提出過模糊的病毒的想法.1975年美國(guó)科普作家約翰?布魯勒爾、1977年托馬斯?捷?瑞安2位作家書中也提到了一些自己對(duì)病毒的遐想，而差不多在同一時(shí)間，美國(guó)著名的AT&T貝爾實(shí)驗(yàn)室中，三個(gè)年輕人用電腦各自也曾制造出類似有病毒特征的程序來作戰(zhàn)游戲，1983年11月3日，一位南加州大學(xué)的學(xué)生弗雷德?科恩，他自己也寫出了個(gè)會(huì)引起系統(tǒng)死機(jī)的程序，并發(fā)表言論.再2年后，一本《科學(xué)美國(guó)人》的月刊中的作者杜特尼把先前的那些古怪程序定論為“病毒”，之后這名字就開始相傳了.到了1987年，第一個(gè)電腦病毒C-BRAIN終于誕生了.伴隨著各類掃毒、防毒與殺毒軟件以及專業(yè)公司也紛紛出現(xiàn)。一時(shí)間，各種病毒創(chuàng)作與反病毒程序，不斷推陳出新，如同百家爭(zhēng)鳴。計(jì)算機(jī)病毒的產(chǎn)生是計(jì)算機(jī)技術(shù)和以計(jì)算機(jī)為核心的社會(huì)信息化進(jìn)程發(fā)展到一定階段的必然產(chǎn)物。其產(chǎn)生的過程可分為：程序設(shè)計(jì)→傳播→潛伏→觸發(fā)、運(yùn)行→實(shí)施攻擊。其產(chǎn)生的原因不外乎以下幾種：（1）一些計(jì)算機(jī)愛好者出于好奇或興趣，也有的為了滿足自己的表現(xiàn)欲他們故意編制一些特殊的計(jì)算機(jī)程序，去整蠱別人的，以顯示自己的才干。這種程序流傳出去就演變成計(jì)算機(jī)病毒。（2）產(chǎn)生于個(gè)別的報(bào)復(fù)心理。此種病毒對(duì)電腦用戶會(huì)造成一定的災(zāi)難。（3）用于研究或?qū)嶒?yàn)而設(shè)計(jì)的“有用”的程序，由于某種原因失去控制而擴(kuò)散出來。（4）產(chǎn)生于游戲。編程人員在無聊時(shí)互相編制一些程序輸入計(jì)算機(jī)，讓程序去銷毀對(duì)方的程序，如最早的磁芯大戰(zhàn)。（5）來源于軟件加密。一些商業(yè)軟件公司為了不讓自己的軟件被非法復(fù)制和使用，運(yùn)用加密技術(shù)，編寫一些特殊程序附在正版軟件上，如遇到非法使用，則此類程序自動(dòng)激活，于是產(chǎn)生一些新病毒，如巴基斯坦病毒。我國(guó)在計(jì)算機(jī)防毒治毒上發(fā)展得相對(duì)比較落后，直至1994年2月18日我國(guó)正式頒布實(shí)施了《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，在條例的第二十八條中明確指出：“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。”此定義具有法律性，權(quán)威性。如今，計(jì)算機(jī)病毒變得更加活躍，木馬、蠕蟲、后門病毒等輪番攻擊互聯(lián)網(wǎng)，甚至出現(xiàn)了06年炒得火熱的流氓軟件。2000年以來，由于病毒的基本技術(shù)和原理被越來越多的人所掌握，新病毒的出現(xiàn)以及原有病毒的變種層出不窮，病毒的增長(zhǎng)速度也遠(yuǎn)遠(yuǎn)超過的以往任何時(shí)期。根據(jù)最新的07年上半年病毒總結(jié)發(fā)現(xiàn)，緊上半年新增病毒就達(dá)11萬種，其中以盜取用戶信息為住的木馬程序就占到了7成?？萍嫉倪M(jìn)步，總是帶來技術(shù)的飛躍，技術(shù)的飛躍又總是帶來新的課題。計(jì)算機(jī)技術(shù)被迅速掌握的同時(shí)，出現(xiàn)了大批以病毒盈利的程序開發(fā)者。有專家總結(jié)到，病毒發(fā)展到今天，開發(fā)者已經(jīng)很少或不再以炫耀自己的技術(shù)為主要目的，更多的是把矛頭對(duì)準(zhǔn)了網(wǎng)絡(luò)用戶的信息，網(wǎng)絡(luò)犯罪事件大大增加。幸好，如今國(guó)內(nèi)外各大廠商已經(jīng)十分重視網(wǎng)絡(luò)安全問題，紛紛出臺(tái)了不同的安全防范措施?？萍嫉倪M(jìn)步必將促進(jìn)計(jì)算機(jī)病毒與反病毒技術(shù)的快速發(fā)展。1.2計(jì)算機(jī)病毒的結(jié)構(gòu)如下圖所示，計(jì)算機(jī)病毒的結(jié)構(gòu)主要分為：引導(dǎo)模塊、傳染模塊和破壞表現(xiàn)模塊。引導(dǎo)模塊傳染模塊傳染條件判斷部分傳染部分破壞表現(xiàn)模塊破壞或表現(xiàn)條件判斷部分破壞或表現(xiàn)部分圖1-1計(jì)算機(jī)病毒結(jié)構(gòu)大致分解圖有些病毒的引導(dǎo)是在內(nèi)存中實(shí)現(xiàn)的，有些病毒則是感染到引導(dǎo)區(qū)（硬盤最開始的部分，啟動(dòng)操作系統(tǒng)首先讀的一個(gè)區(qū)）。這也是殺毒軟甲查殺病毒時(shí)，主要掃描內(nèi)存和引導(dǎo)區(qū)。傳染模塊中的條件判斷部分同時(shí)也是防病毒一個(gè)手段。如針對(duì)操作系統(tǒng)漏洞的沖擊波病毒，如果給系統(tǒng)打上補(bǔ)丁，則不會(huì)再受到該病毒的攻擊。傳染部分是將病毒再生體與傳染對(duì)象及其寄生宿主程序相鏈接，來完成病毒的傳染。破壞或表現(xiàn)模塊是病毒程序的核心部分，也是病毒設(shè)計(jì)者的意圖體現(xiàn)，例如震蕩波，其破壞性就不是很強(qiáng)，只是運(yùn)行了一個(gè)自生文件，從而造成操作系統(tǒng)的頻繁重啟，通過給操作系統(tǒng)打補(bǔ)丁可以有效地控制它。1.3計(jì)算機(jī)病毒的傳播途徑計(jì)算機(jī)病毒的傳播途徑有多種，它隨著計(jì)算機(jī)技術(shù)的發(fā)展而進(jìn)化。具有自我復(fù)制和傳播的特點(diǎn)，因此了解計(jì)算機(jī)病毒的傳播途徑是極為重要的，目前主要有以下幾種種途徑：第一種途徑：通過不可移動(dòng)的計(jì)算機(jī)硬件設(shè)備進(jìn)行傳播，這些設(shè)備通常有計(jì)算機(jī)的專用ASIC芯片和硬盤等。第二種途徑：通過移動(dòng)存儲(chǔ)設(shè)備來傳播這些設(shè)備包括軟盤、磁盤、尤盤等。在移動(dòng)存儲(chǔ)設(shè)備中，軟盤是使用最廣泛移動(dòng)最頻繁的存儲(chǔ)介質(zhì)，因此也成了計(jì)算機(jī)病毒寄生的“溫床”。第三種途徑：通過Internet（計(jì)算機(jī)網(wǎng)絡(luò)）進(jìn)行傳播。網(wǎng)絡(luò)是人們現(xiàn)在生活不可缺少的一部分，越來越多的人利用它來獲取信息、發(fā)送和接收文件、接收和發(fā)布新的消息以及下載文件和程序，正因?yàn)槿绱擞?jì)算機(jī)病毒也走上了高速傳播之路。像病毒以附件的形式通過電子郵件進(jìn)行傳播，使得電子郵件成為當(dāng)今世界上傳播計(jì)算機(jī)病毒最主要的媒介；通過WWW瀏覽，目前互聯(lián)網(wǎng)上有些別有用心的人利用JavaApplets和ActiveXControl來編寫計(jì)算機(jī)病毒和惡性攻擊程序，因此WWW瀏覽感染計(jì)算機(jī)病毒的可能性也在不斷地增加；利用BBS松散的安全管理，使之成為計(jì)算機(jī)病毒傳播的場(chǎng)所；通過FTP（文件傳輸協(xié)議）文件下載，使互聯(lián)網(wǎng)上的病毒傳播更容易、更廣泛，這一途徑能傳播現(xiàn)有的所有病毒；利用接收新聞組，這些信息當(dāng)中包含的附件有可能使您的計(jì)算機(jī)感染計(jì)算機(jī)病毒。在信息國(guó)際化的同時(shí)，病毒也在國(guó)際化，這種方式已成為第一傳播途徑。第四種途徑：通過IM（即時(shí)通信系統(tǒng)，如QQ、\o"MSN"MSN）和無線通道傳播。目前，后者傳播途徑還不是十分廣泛，但預(yù)計(jì)在未來的信息時(shí)代，無線通道途徑很可能與網(wǎng)絡(luò)傳播途徑成為病毒擴(kuò)散的兩大“時(shí)尚渠道”。其他未知途徑：計(jì)算機(jī)工業(yè)的發(fā)展在為人類提供更多、更快捷的傳輸信息方式的同時(shí)，也為計(jì)算機(jī)病毒的傳播提供了新的傳播路徑。二計(jì)算機(jī)病毒的分類計(jì)算機(jī)病毒分類，根據(jù)多年對(duì)計(jì)算機(jī)病毒的研究，按照科學(xué)的、系統(tǒng)的、嚴(yán)密的方法，計(jì)算機(jī)病毒可分類如下：按照計(jì)算機(jī)病毒屬性的方法進(jìn)行分類，計(jì)算機(jī)病毒可以根據(jù)下面的屬性進(jìn)行分類。2.1按照計(jì)算機(jī)病毒存在的媒體進(jìn)行分類根據(jù)病毒存在的媒體，病毒可以劃分為網(wǎng)絡(luò)病毒，文件病毒，引導(dǎo)型毒。網(wǎng)絡(luò)病毒通過計(jì)算機(jī)網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的可執(zhí)行文件，文件病毒感染計(jì)算機(jī)中的文件（如：COM，EXE，DOC等），引導(dǎo)型病毒感染啟動(dòng)扇區(qū)（Boot）和硬盤的系統(tǒng)引導(dǎo)扇區(qū)（MBR），還有這三種情況的混合型，例如：多型病毒（文件和引導(dǎo)型）感染文件和引導(dǎo)扇區(qū)兩種目標(biāo)，這樣的病毒通常都具有復(fù)雜的算法，它們使用非常規(guī)的辦法侵入系統(tǒng)，同時(shí)使用了加密和變形算法。2.2按照計(jì)算機(jī)病毒傳染的方法進(jìn)行分類根據(jù)病毒傳染的方法可分為駐留型病毒和非駐留型病毒，駐留型病毒感染計(jì)算機(jī)后，把自身的內(nèi)存駐留部分放在內(nèi)存（RAM）中，這一部分程序掛接系統(tǒng)調(diào)用并合并到操作系統(tǒng)中去,他處于激活狀態(tài),一直到關(guān)機(jī)或重新啟動(dòng).非駐留型病毒在得到機(jī)會(huì)激活時(shí)并不感染計(jì)算機(jī)內(nèi)存,一些病毒在內(nèi)存中留有小部分,但是并不通過這一部分進(jìn)行傳染,這類病毒也被劃分為非駐留型病毒。2.3根據(jù)病毒破壞的能力可劃分為以下幾種：無害型除了傳染時(shí)減少磁盤的可用空間外，對(duì)系統(tǒng)沒有其它影響。無危險(xiǎn)型這類病毒僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音及同類音響。危險(xiǎn)型這類病毒在計(jì)算機(jī)系統(tǒng)操作中造成嚴(yán)重的錯(cuò)誤。非常危險(xiǎn)型這類病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。這些病毒對(duì)系統(tǒng)造成的危害，并不是本身的算法中存在危險(xiǎn)的調(diào)用，而是當(dāng)它們傳染時(shí)會(huì)引起無法預(yù)料的和災(zāi)難性的破壞。由病毒引起其它的程序產(chǎn)生的錯(cuò)誤也會(huì)破壞文件和扇區(qū)，這些病毒也按照他們引起的破壞能力劃分。一些現(xiàn)在的無害型病毒也可能會(huì)對(duì)新版的DOS、Windows和其它操作系統(tǒng)造成破壞。例如：在早期的病毒中，有一個(gè)“Denzuk”病毒在360K磁盤上很好的工作，不會(huì)造成任何破壞，但是在后來的高密度軟盤上卻能引起大量的數(shù)據(jù)丟失。2.4根據(jù)病毒特有的算法，病毒可以劃分為：1.伴隨型病毒，這一類病毒并不改變文件本身，它們根據(jù)算法產(chǎn)生EXE文件的伴隨體，具有同樣的名字和不同的擴(kuò)展名（COM），例如：XCOPY.EXE的伴隨體是XCOPY.COM。病毒把自身寫入COM文件并不改變EXE文件，當(dāng)DOS加載文件時(shí)，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來的EXE文件。2.“蠕蟲”型病毒，通過計(jì)算機(jī)網(wǎng)絡(luò)傳播，不改變文件和資料信息，利用網(wǎng)絡(luò)從一臺(tái)機(jī)器的內(nèi)存?zhèn)鞑サ狡渌鼨C(jī)器的內(nèi)存，計(jì)算網(wǎng)絡(luò)地址，將自身的病毒通過網(wǎng)絡(luò)發(fā)送。有時(shí)它們?cè)谙到y(tǒng)存在，一般除了內(nèi)存不占用其它資源。3.寄生型病毒除了伴隨和“蠕蟲”型，其它病毒均可稱為寄生型病毒，它們依附在系統(tǒng)的引導(dǎo)扇區(qū)或文件中，通過系統(tǒng)的功能進(jìn)行傳播，按其算法不同可分為：練習(xí)型病毒，病毒自身包含錯(cuò)誤，不能進(jìn)行很好的傳播，例如一些病毒在調(diào)試階段。4.詭秘型病毒它們一般不直接修改DOS中斷和扇區(qū)數(shù)據(jù)，而是通過設(shè)備技術(shù)和文件緩沖區(qū)等DOS內(nèi)部修改，不易看到資源，使用比較高級(jí)的技術(shù)。利用DOS空閑的數(shù)據(jù)區(qū)進(jìn)行工作。5.變型病毒（又稱幽靈病毒）這一類病毒使用一個(gè)復(fù)雜的算法，使自己每傳播一份都具有不同的內(nèi)容和長(zhǎng)度。它們一般的作法是一段混有無關(guān)指令的解碼算法和被變化過的病毒體組成。三計(jì)算機(jī)病毒的危害近兩年來，“網(wǎng)游大盜”、“熊貓燒香”、“德芙”、“QQ木馬”、“灰鴿子”等木馬病毒日益猖獗，以盜取用戶密碼賬號(hào)、個(gè)人隱私、商業(yè)秘密、網(wǎng)絡(luò)財(cái)產(chǎn)為目的。調(diào)查顯示，趨利性成為計(jì)算機(jī)病毒發(fā)展的新趨勢(shì)。網(wǎng)上制作、販賣病毒、木馬的活動(dòng)日益猖獗，利用病毒、木馬技術(shù)進(jìn)行網(wǎng)絡(luò)盜竊、詐騙的網(wǎng)絡(luò)犯罪活動(dòng)呈快速上升趨勢(shì)，網(wǎng)上治安形勢(shì)非常嚴(yán)峻。3.1對(duì)計(jì)算機(jī)數(shù)據(jù)信息的直接破壞作用大部分病毒在激發(fā)的時(shí)候直接破壞計(jì)算機(jī)的重要信息數(shù)據(jù)，所利用的手段有格式化磁盤、改寫文件分配表和目錄，刪除重要文件或者用無意義的“垃圾”數(shù)據(jù)改寫文件、破壞CMO5設(shè)置等。3.2占用磁盤空間和對(duì)信息的破壞寄生在磁盤上的病毒總要非法占用一部分磁盤空間。引導(dǎo)型病毒的一般侵占方式是由病毒本身占據(jù)磁盤引導(dǎo)扇區(qū)，而把原來的引導(dǎo)區(qū)轉(zhuǎn)移到其他扇區(qū)，也就是引導(dǎo)型病毒要覆蓋一個(gè)磁盤扇區(qū)。被覆蓋的扇區(qū)數(shù)據(jù)永久性丟失，無法恢復(fù)。文件型病毒利用一些DOS功能進(jìn)行傳染，這些DOS功能能夠檢測(cè)出磁盤的未用空間，把病毒的傳染部分寫到磁盤的未用部位去。所以在傳染過程中一般不破壞磁盤上的原有數(shù)據(jù)，但非法侵占了磁盤空間。一些文件型病毒傳染速度很快，在短時(shí)間內(nèi)感染大量文件，每個(gè)文件都不同程度地加長(zhǎng)了，就造成磁盤空間的嚴(yán)重浪費(fèi)。3.3搶占系統(tǒng)資源除VIENNA、CASPER等少數(shù)病毒外，其他大多數(shù)病毒在動(dòng)態(tài)下都是常駐內(nèi)存的，這就必然搶占一部分系統(tǒng)資源。病毒所占用的基本內(nèi)存長(zhǎng)度大致與病毒本身長(zhǎng)度相當(dāng)。病毒搶占內(nèi)存，導(dǎo)致內(nèi)存減少，一部分軟件不能運(yùn)行。除占用內(nèi)存外，病毒還搶占中斷，干擾系統(tǒng)運(yùn)行。計(jì)算機(jī)操作系統(tǒng)的很多功能是通過中斷調(diào)用技術(shù)來實(shí)現(xiàn)的。病毒為了傳染激發(fā)，總是修改一些有關(guān)的中斷地址，在正常中斷過程中加入病毒的“私貨”，從而干擾了系統(tǒng)的正常運(yùn)行。3.4影響計(jì)算機(jī)運(yùn)行速度病毒進(jìn)駐內(nèi)存后不但干擾系統(tǒng)運(yùn)行，還影響計(jì)算機(jī)速度，主要表現(xiàn)在：（1）病毒為了判斷傳染激發(fā)條件，總要對(duì)計(jì)算機(jī)的工作狀態(tài)進(jìn)行監(jiān)視，這相對(duì)于計(jì)算機(jī)的正常運(yùn)行狀態(tài)既多余又有害。（2）有些病毒為了保護(hù)自己，不但對(duì)磁盤上的靜態(tài)病毒加密，而且進(jìn)駐內(nèi)存后的動(dòng)態(tài)病毒也處在加密狀態(tài)，CPU每次尋址到病毒處時(shí)要運(yùn)行一段解密程序把加密的病毒解密成合法的CPU指令再執(zhí)行；而病毒運(yùn)行結(jié)束時(shí)再用一段程序?qū)Σ《局匦录用?。這樣CPU額外執(zhí)行數(shù)千條以至上萬條指令。（3）病毒在進(jìn)行傳染時(shí)同樣要插入非法的額外操作，特別是傳染軟盤時(shí)不但計(jì)算機(jī)速度明顯變慢，而且軟盤正常的讀寫順序被打亂，發(fā)出刺耳的噪聲。3.5計(jì)算機(jī)病毒錯(cuò)誤與不可預(yù)見的危害計(jì)算機(jī)病毒與其他計(jì)算機(jī)軟件的一大差別是病毒的無責(zé)任性。編制一個(gè)完善的計(jì)算機(jī)軟件需要耗費(fèi)大量的人力、物力，經(jīng)過長(zhǎng)時(shí)間調(diào)試完善，軟件才能推出。但在病毒編制者看來既沒有必要這樣做，也不可能這樣做。很多計(jì)算機(jī)病毒都是個(gè)別人在一臺(tái)計(jì)算機(jī)上匆匆編制調(diào)試后就向外拋出。反病毒專家在分析大量病毒后發(fā)現(xiàn)絕大部分病毒都存在不同程度的錯(cuò)誤。錯(cuò)誤病毒的另一個(gè)主要來源是變種病毒。有些初學(xué)計(jì)算機(jī)者尚不具備獨(dú)立編制軟件的能力，出于好奇或其他原因修改別人的病毒，造成錯(cuò)誤。計(jì)算機(jī)病毒錯(cuò)誤所產(chǎn)生的后果往往是不可預(yù)見的，反病毒工作者曾經(jīng)詳細(xì)指出黑色星期五病毒存在9處錯(cuò)誤，乒乓病毒有5處錯(cuò)誤等。但是人們不可能花費(fèi)大量時(shí)間去分析數(shù)萬種病毒的錯(cuò)誤所在。大量含有未知錯(cuò)誤的病毒擴(kuò)散傳播，其后果是難以預(yù)料的。3.6計(jì)算機(jī)病毒的兼容性對(duì)系統(tǒng)運(yùn)行的影響兼容性是計(jì)算機(jī)軟件的一項(xiàng)重要指標(biāo)，兼容性好的軟件可以在各種計(jì)算機(jī)環(huán)境下運(yùn)行，反之兼容性差的軟件則對(duì)運(yùn)行條件“挑肥揀瘦”，要求機(jī)型和操作系統(tǒng)版本等。病毒的編制者一般不會(huì)在各種計(jì)算機(jī)環(huán)境下對(duì)病毒進(jìn)行測(cè)試，因此病毒的兼容性較差，常常導(dǎo)致死機(jī)。3.7計(jì)算機(jī)病毒給用戶造成嚴(yán)重的心理壓力據(jù)有關(guān)計(jì)算機(jī)銷售部門統(tǒng)計(jì)，計(jì)算機(jī)售后用戶懷疑“計(jì)算機(jī)有病毒”而提出咨詢約占售后服務(wù)工作量的60％以上。經(jīng)檢測(cè)確實(shí)存在病毒的約占70％，另有30％情況只是用戶懷疑，而實(shí)際上計(jì)算機(jī)并沒有病毒。那么用戶懷疑病毒的理由是什么呢？多半是出現(xiàn)諸如計(jì)算機(jī)死機(jī)、軟件運(yùn)行異常等現(xiàn)象?？傊?jì)算機(jī)病毒像“幽靈”一樣籠罩在廣大計(jì)算機(jī)用戶心頭，給人們?cè)斐删薮蟮男睦韷毫Γ瑯O大地影響了現(xiàn)代計(jì)算機(jī)的使用效率，由此帶來的無形損失是難以估量的。四計(jì)算機(jī)病毒的傳播模型為了進(jìn)一步認(rèn)識(shí)計(jì)算機(jī)病毒，人們努力用形式化的數(shù)學(xué)方法刻畫計(jì)算機(jī)病毒。在傳統(tǒng)的對(duì)計(jì)算機(jī)病毒的傳播機(jī)制研究中，常常借用已有的傳染病數(shù)學(xué)模型，但由于計(jì)算機(jī)病毒的攻擊對(duì)象是文件系統(tǒng)，所以傳統(tǒng)計(jì)算機(jī)病毒研究中把計(jì)算機(jī)作為傳播個(gè)體并不適合。另外，已有的討論傳染病數(shù)學(xué)模型局限在固定總量的傳播群體，而且只討論傳播的初始階段和最后的穩(wěn)定狀態(tài)的特征，沒有考慮快速傳播階段的特征。在計(jì)算機(jī)病毒的討論中，認(rèn)為網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)對(duì)病毒的傳播具有決定性的影響，目前比較好的結(jié)果都是基于隨機(jī)同構(gòu)網(wǎng)絡(luò)得到的。4.1SIS模型Susceptible-Infected-Susceptible模型，易染-感染-易染，簡(jiǎn)稱SIS模型。我們假設(shè)在一定環(huán)境中，當(dāng)某種群中不存在流行病時(shí)，其總種群（N）的生長(zhǎng)服從微分系統(tǒng)：Nˊ=be–aN–dN（4-1）其中N=N(t)表示t時(shí)刻該環(huán)境中總種群的個(gè)體數(shù)量，be–aN表示種群中單位個(gè)體的生育率，d表示單位個(gè)體的自然死亡率，b>d>0,a>0。當(dāng)流行病存在于該種群中時(shí)，疾病的傳染機(jī)制，如下圖所示。be–aNSβSIIrIds(d+a)I圖4.1病毒的傳染機(jī)制這里，S,I分別表示易感者類和染病者類，其中所有的參數(shù)均為正常數(shù)。且be–aN表示外界對(duì)環(huán)境的輸入；β表示一個(gè)染病者所具有的最大傳染力；r(r>0)表示疾病的回復(fù)率；d,a(a>0)表示自然死亡率和額外死亡率。所以，流行病的傳播服從雙線性傳染率βSI（β>0）的SIS模型，即：Sˊ=be–aNN–βSI-dS+rI（4-2）Iˊ=βSI–(d+a+r)I這是總種群的生長(zhǎng)服從系統(tǒng)：Nˊ=be–aNN–dN–aI（4-3）其中S=S(t)和I=I(t)分別表示t時(shí)刻易感類（S）和染病類（I）中個(gè)體的數(shù)量，N（t）=S(t)+I(t)。4.2SIR模型Susceptible-Infected-Removed模型，感染--感染--隔離，簡(jiǎn)稱SIR模型。眾所周知，在計(jì)算機(jī)系統(tǒng)中有已感染病毒的可執(zhí)行程序流入系統(tǒng)，只要其中被病毒感染（帶菌者）的可執(zhí)行文件運(yùn)行(運(yùn)行就是接觸，接觸就能傳播病毒)，就會(huì)造成病毒在系統(tǒng)中的傳播。SIR模型將網(wǎng)絡(luò)中的節(jié)點(diǎn)的狀態(tài)分為三種狀態(tài)：（1）易感染狀態(tài)（S），處于該狀態(tài)的節(jié)點(diǎn)當(dāng)前沒有感染病毒，但是有可能會(huì)被病毒感染；（2）感染狀態(tài)（I），處于該狀態(tài)的節(jié)點(diǎn)當(dāng)前已經(jīng)感染病毒，并且能夠?qū)⒉《緜魅窘o其他節(jié)點(diǎn)；（3）免疫狀態(tài)（R），處于該狀態(tài)的節(jié)點(diǎn)對(duì)病毒具有抵抗能力，不會(huì)再感染同一種病毒，也不會(huì)向外傳播病毒。處于該狀態(tài)的主機(jī)實(shí)際上已經(jīng)脫離了病毒的傳播過程。ISRβ λISR圖4.2SIR病毒傳播模型該模型的狀態(tài)方程如下：dS/dt=-βSIdI/dt=βSI–λIdR/dt=λI(4-4)S(0)=N-Io,I(0)=Io,R(0)=0其中β為感染率，βλ為病毒清除率，N為網(wǎng)絡(luò)中總的節(jié)點(diǎn)數(shù)。SIS模型和SIR模型在生物學(xué)模型的基礎(chǔ)上建立起來的。然而，計(jì)算機(jī)病毒與生物學(xué)病毒還是有很大的區(qū)別，生搬硬套地將其運(yùn)用計(jì)算機(jī)病毒的模型當(dāng)中，必然會(huì)存在許多不合理的地方。如SIS模型和SIR模型認(rèn)為個(gè)體在某封閉群體內(nèi)的狀態(tài)換過程僅與長(zhǎng)量β和λ有關(guān)，而沒有考慮到外來因素對(duì)病毒傳播的影響，例如用戶的免疫措施等。4.3雙因素模型雙因素模型考慮到了蠕蟲的對(duì)抗措施和變化的感染率對(duì)于病毒傳播的影響。在病毒的傳播過程中，人們會(huì)逐漸意識(shí)到該病毒的危害性并采取相應(yīng)的對(duì)抗措施。如：清除病毒、打補(bǔ)丁、更新病毒庫(kù)、防火墻或邊緣路由器上安裝過濾器。受帶寬的限制，病毒在網(wǎng)絡(luò)中傳播也會(huì)造成擁塞，從而降低了病毒的感染率。該模型考慮了更對(duì)的外界因素對(duì)病毒的影響但不考慮網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的影響。雙因素傳播模型的微分表達(dá)式為：dR(t)/dt=λI(t)dQ(t)/dt=μS(t)J(t)dS(t)/dt=-β(t)S(t)I(t)-dQ(t)/dtJ(t)=I(t)+R(t)(4-5)N=S(t)+I(t)+R(t)+Q(t)其中β(t)表示t時(shí)刻的感染率，定義如下：β(t)=βo[I–I(t)/N]η(4-6)在公式(4-5)中，R(t)表示t時(shí)刻被免疫的主機(jī)數(shù)，I(t)表示t時(shí)刻感染病毒的主機(jī)數(shù)，Q(t)表示t時(shí)刻尚未被感染前就作了免疫處理的主機(jī)數(shù)，S（t）表示t時(shí)刻易感染主機(jī)的數(shù)目，J(t)則表示t時(shí)刻時(shí)已感染過的主機(jī)數(shù)。其中λ，μ，βo為常量。由上述公式能推導(dǎo)出如下關(guān)系表達(dá)式：dI(t)/dt=β(t)[N-R(t)-I(t)-Q(t)]I(t)-dR(t)/dt（4-7）五網(wǎng)絡(luò)蠕蟲的傳播模型5.1蠕蟲和普通病毒的區(qū)別網(wǎng)絡(luò)蠕蟲和計(jì)算機(jī)病毒都具有傳染性和復(fù)制功能，這兩個(gè)主要特性上的一致，導(dǎo)致二者之間是非常難區(qū)分的，尤其是近年來，越來越多的病毒采取了部分蠕蟲的技術(shù)，另一方面具有破壞性的蠕蟲也采取了部分病毒的技術(shù)，更加劇了這種情況。計(jì)算機(jī)病毒主要攻擊的是文件系統(tǒng)，在其傳染的過程中，計(jì)算機(jī)使用者是傳染的觸發(fā)者，是傳染的關(guān)鍵環(huán)節(jié)，使用者的計(jì)算機(jī)知識(shí)水平的高低常常決定了病毒所能造成的破壞程度。而蠕蟲主要利用計(jì)算機(jī)系統(tǒng)進(jìn)行傳染，在蠕蟲的定義中強(qiáng)調(diào)了自身副本的完整性和獨(dú)立性，這也是區(qū)分蠕蟲和病毒的重要因素。如表5.1所示，本質(zhì)上蠕蟲和普通病毒還是有許多不同之處。表5.1普通病毒和蠕蟲的比較病毒蠕蟲存在形式寄生獨(dú)立個(gè)體復(fù)制機(jī)制插入到宿主程序中自身的拷貝傳染機(jī)制宿主程序運(yùn)行系統(tǒng)存在漏洞傳染目標(biāo)針對(duì)本地文件針對(duì)網(wǎng)絡(luò)上的其他計(jì)算機(jī)觸發(fā)傳染計(jì)算機(jī)使用者程序自身影響重點(diǎn)文件系統(tǒng)網(wǎng)絡(luò)性能、系統(tǒng)性能防治措施從宿主文件中摘除為系統(tǒng)打補(bǔ)丁對(duì)抗主體計(jì)算機(jī)使用者系統(tǒng)提供者、網(wǎng)絡(luò)管理員用戶參與需要不需要網(wǎng)絡(luò)蠕蟲的行為特征有主動(dòng)攻擊，行蹤隱蔽，利用系統(tǒng)、網(wǎng)絡(luò)應(yīng)用服務(wù)漏洞，造成網(wǎng)絡(luò)擁塞，降低系統(tǒng)性能，產(chǎn)生安全隱患。蠕蟲的可怕之處也就在于它不需要計(jì)算機(jī)用戶的參與就悄不聲息地傳播，直至造成了嚴(yán)重的影響甚至是網(wǎng)絡(luò)擁塞才會(huì)被人們所意識(shí)到，而此時(shí)，蠕蟲的傳播范圍已非常廣泛。5.2著名的蠕蟲病毒熊貓燒香2006年年底，熊貓燒香開始大規(guī)模傳播。這是一種典型的感染型蠕蟲病毒。熊貓燒香會(huì)刪除擴(kuò)展名為gho的文件，使用戶無法使用ghost軟件恢復(fù)操作系統(tǒng)。熊貓燒香感染系統(tǒng)的.exe.com.f.src.html.asp文件，添加病毒網(wǎng)址，導(dǎo)致用戶一打開這些網(wǎng)頁(yè)文件，IE就會(huì)自動(dòng)連接到指定的病毒網(wǎng)址中下載病毒。在硬盤各個(gè)分區(qū)下生成文件autorun.inf和setup.exe，可以通過U盤和移動(dòng)硬盤等方式進(jìn)行傳播，并且利用windows系統(tǒng)自動(dòng)播放功能來運(yùn)行，搜索硬盤中的.exe可執(zhí)行文件并感染，感染后的文件圖標(biāo)變成了“熊貓燒香”圖案?！靶茇垷恪边€可以通過共享文件夾、系統(tǒng)弱口令等多種方式進(jìn)行傳播。圖5.1電腦感染熊貓燒香的癥狀Melissa（梅麗莎）病毒梅莉莎，這個(gè)徹底改變?nèi)藗儗?duì)網(wǎng)絡(luò)與安全觀念的病毒程式，改變了人們對(duì)電子商務(wù)安全的看法。1999年3月26日，星期五，W97Mmelissa梅麗莎病毒（又稱“美麗殺手”）登上了全球各地報(bào)紙的頭版。估計(jì)數(shù)字顯示，這個(gè)Word宏腳本病毒感染了全球15%~20%的商用PC。病毒傳播速度之快令英特爾公司(Intel)、微軟公司(Microsoft，下稱微軟)、以及其他許多使用Outlook軟件的公司措手不及，為了防止損害，他們被迫關(guān)閉整個(gè)電子郵件系統(tǒng)。損失估計(jì)：全球約3億~6億美元?！懊防?Melissa)”病毒首先感染W(wǎng)ord通用模板Normal.dot文件，然后修改Windows注冊(cè)表項(xiàng)HKEY_CURRENT_USER\Software\Microsoft\Office，在其中增加鍵“Melissa？”，并取鍵值為“…byKwyjibo”。

“梅利莎(Melissa)”病毒郵件通常為MIME編碼，由兩個(gè)部分組成。攜帶該病毒的郵件被打開后，首先降低主機(jī)的宏病毒防護(hù)等級(jí)，然后檢查注冊(cè)表中相關(guān)參數(shù)，如符合病毒傳播條件，則打開每個(gè)用戶的電子郵件地址，向前50個(gè)地址發(fā)送被感染的郵件，并修改注冊(cè)表中的該項(xiàng)參數(shù)。圖5.2電腦感染梅麗莎病毒的癥狀5.3蠕蟲傳播的動(dòng)態(tài)模型根據(jù)蠕蟲傳播的一般過程，我們知道，蠕蟲的傳播在很大程度上受到網(wǎng)絡(luò)帶寬的限制。特別是在蠕蟲傳播的后期，有限的網(wǎng)絡(luò)資源將成為蠕蟲傳播的一個(gè)瓶頸導(dǎo)致傳播速度的下降。事實(shí)上，蠕蟲在網(wǎng)絡(luò)中的傳播除了受到帶寬的限制，還受到了其他多種因素的影響。如反病毒措施、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等。本文在傳統(tǒng)的流行病病毒傳播模型SIR模型的基礎(chǔ)上，提出了新的動(dòng)態(tài)蠕蟲傳播模型。如下圖SIRSIRβ（t）λ Q(t)圖5.3動(dòng)態(tài)蠕蟲的傳播模型其中，S為易染主機(jī)，即網(wǎng)絡(luò)中存在某種漏洞的主機(jī)。I為感染主機(jī)，即已經(jīng)感染了蠕蟲病毒的主機(jī)。R為具有抵抗力的主機(jī)，即能夠抵抗蠕蟲病毒，從而不會(huì)被感染的主機(jī)。SI:感染主機(jī)通過大量發(fā)送探測(cè)包，發(fā)現(xiàn)網(wǎng)絡(luò)中存在漏洞的主機(jī)。IR：感染主機(jī)利用殺毒軟件成功將蠕蟲病毒清除后轉(zhuǎn)化為具有抵抗力的主機(jī)，不會(huì)再感染同種蠕蟲病毒。SR易染主機(jī)通過打補(bǔ)丁，對(duì)蠕蟲病毒具有免疫力，轉(zhuǎn)化為具有抵抗力的主機(jī)。根據(jù)上面得分析，我們得到模型狀態(tài)的方程如下：dS/dt=-β(t)SI-Q(t)S(5.1)dI/dt=β(t)SI-λI其初始狀態(tài)為（N-Io,Io）, 其中N是網(wǎng)絡(luò)中存在某種漏洞的主機(jī)總數(shù)。Io是初始時(shí)刻網(wǎng)絡(luò)感染該蠕蟲病毒的主機(jī)數(shù)。六計(jì)算機(jī)病毒的防治策略經(jīng)過長(zhǎng)期的與病毒對(duì)抗，人們積累了大量反病毒的經(jīng)驗(yàn)，掌握了很多實(shí)用的反病毒技術(shù)，并開發(fā)了一些優(yōu)秀的抗病毒產(chǎn)品。如卡巴、金山毒霸、江民等殺毒軟件。研究計(jì)算機(jī)病毒的防御策略主要研究病毒的檢測(cè)、病毒的清除和病毒的預(yù)防。病毒的檢測(cè)技術(shù)主要有特征值檢測(cè)技術(shù)、校驗(yàn)和檢測(cè)技術(shù)、行為監(jiān)測(cè)技術(shù)、啟發(fā)式掃描技術(shù)、虛擬機(jī)技術(shù)。人們可以通過現(xiàn)象觀察法和使用抗病毒軟件檢查計(jì)算機(jī)是否感染病毒。6.1計(jì)算機(jī)感染病毒的癥狀隨著計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，計(jì)算機(jī)病毒的種類越來越多，計(jì)算機(jī)感染病毒的癥狀也隨之而變化。伴隨而來的計(jì)算機(jī)病毒傳播問題越來越引起人們的關(guān)注。計(jì)算機(jī)感染病毒的癥狀主要有以下幾種：1、機(jī)器不能正常啟動(dòng)。加電后機(jī)器根本不能啟動(dòng)，或者可以啟動(dòng)，但所需要的時(shí)間比原來的啟動(dòng)時(shí)間變長(zhǎng)了。有時(shí)會(huì)突然出現(xiàn)黑屏現(xiàn)象。2、運(yùn)行速度降低。如果發(fā)現(xiàn)在運(yùn)行某個(gè)程序時(shí)，讀取數(shù)據(jù)的時(shí)間比原來長(zhǎng)，存文件或調(diào)文件的時(shí)間都增加了，那就可能是由于病毒造成的。3、磁盤空間迅速變小。由于病毒程序要進(jìn)駐內(nèi)存，而且又能繁殖，因此使內(nèi)存空間變小甚至變?yōu)椤?“，用戶什么信息也進(jìn)不去。4、文件內(nèi)容和長(zhǎng)度有所改變。一個(gè)文件存入磁盤后，本來它的長(zhǎng)度和其內(nèi)容都不會(huì)改變，可是由于病毒的干擾，文件長(zhǎng)度可能改變，文件內(nèi)容也可能出現(xiàn)亂碼。有時(shí)文件內(nèi)容無法顯示或顯示后又消失了。5、經(jīng)常出現(xiàn)“死機(jī)”現(xiàn)象。正常的操作是不會(huì)造成死機(jī)現(xiàn)象的，即使是初學(xué)者，命令輸入不對(duì)也不會(huì)死機(jī)。如果機(jī)器經(jīng)常死機(jī)，那可能是由于系統(tǒng)被病毒感染了。6、外部設(shè)備工作異常。因?yàn)橥獠吭O(shè)備受系統(tǒng)的控制，如果機(jī)器中有病毒，外部設(shè)備在工作時(shí)可能會(huì)出現(xiàn)一些異常情況，出現(xiàn)一些用理論或經(jīng)驗(yàn)說不清道不明的現(xiàn)象。比如打印機(jī)工作不正常，如系統(tǒng)“丟失”打印機(jī)、打印狀態(tài)異常等。7、平時(shí)運(yùn)行正常的計(jì)算機(jī)突然經(jīng)常性無緣無故地死機(jī)。病毒感染了計(jì)算機(jī)系統(tǒng)后，將自身駐留在系統(tǒng)內(nèi)并修改了中斷處理程序等，引起系統(tǒng)工作不穩(wěn)定，造成死機(jī)現(xiàn)象發(fā)生。8、部分文檔自動(dòng)加密碼

還有些計(jì)算機(jī)病毒利用加密算法，將加密密鑰保存在計(jì)算機(jī)病毒程序體內(nèi)或其他隱蔽的地方，而被感染的文件被加密，如果內(nèi)存中駐留有這種計(jì)算機(jī)病毒，那么在系統(tǒng)訪問被感染的文件時(shí)它自動(dòng)將文檔解密，使得用戶察覺不到。一旦這種計(jì)算機(jī)病毒被清除，那么被加密的文檔就很難被恢復(fù)了。

9、修改Autoexec.bat文件，增加FormatC：一項(xiàng)，導(dǎo)致計(jì)算機(jī)重新啟動(dòng)時(shí)格式化硬盤。在計(jì)算機(jī)系統(tǒng)穩(wěn)定工作后，一般很少會(huì)有用戶去注意Autoexec.bat文件的變化，但是這個(gè)文件在每次系統(tǒng)重新啟動(dòng)的時(shí)候都會(huì)被自動(dòng)運(yùn)行，計(jì)算機(jī)病毒修改這個(gè)文件從而達(dá)到破壞系統(tǒng)的目的。10、使部分可軟件升級(jí)主板的BIOS程序混亂，主板被破壞。類似CIH計(jì)算機(jī)病毒發(fā)作后的現(xiàn)象，系統(tǒng)主板上的BIOS被計(jì)算機(jī)病毒改寫、破壞，使得系統(tǒng)主板無法正常工作，從而使計(jì)算機(jī)系統(tǒng)報(bào)廢。11、網(wǎng)絡(luò)癱瘓，無法提供正常的服務(wù)。一般的系統(tǒng)故障是有別與計(jì)算機(jī)病毒感染的。系統(tǒng)故障大多只符合上面的一點(diǎn)或二點(diǎn)現(xiàn)象，而計(jì)算機(jī)病毒感染所出現(xiàn)的現(xiàn)象會(huì)多的多。根據(jù)上述幾點(diǎn)，就可以初步判斷計(jì)算機(jī)和網(wǎng)絡(luò)是否感染上了計(jì)算機(jī)病毒。6.2病毒的檢測(cè)技術(shù)計(jì)算機(jī)病毒的檢測(cè)是對(duì)主引導(dǎo)區(qū)、可執(zhí)行文件、文件空間和病毒特征值進(jìn)行對(duì)比分析，尋找病毒感染后留下的痕跡。6.2.1特征值檢測(cè)技術(shù)計(jì)算機(jī)病毒的特征值是指計(jì)算機(jī)病毒本身在特定的寄生環(huán)境中確認(rèn)自身是否存在的標(biāo)記符號(hào)，即指病毒在傳染宿主程序時(shí)，首先判斷該病毒欲傳染的宿主是否已染有病毒時(shí)，按特定的偏移量從文件中提出特征值。病毒檢查可以由用戶臨時(shí)指定一個(gè)特征掃描（速度快），也可用特征值數(shù)據(jù)庫(kù)掃描（自動(dòng)化程度高）。一個(gè)特征值數(shù)據(jù)庫(kù)文件可以存放幾萬種病毒的特征值。用戶還可換用不同的特征值數(shù)據(jù)庫(kù)文件，因此實(shí)際上無數(shù)量限制。數(shù)據(jù)庫(kù)的數(shù)據(jù)結(jié)構(gòu)可由用戶自己定義，如采用文本數(shù)據(jù)庫(kù)，這種數(shù)據(jù)庫(kù)可以用任何文字處理器編輯修改。特征值檢測(cè)方法的優(yōu)點(diǎn)是：檢測(cè)準(zhǔn)確快速、可識(shí)別病毒的名稱、誤報(bào)警率低，并且依據(jù)檢測(cè)結(jié)果可做解毒處理。其缺點(diǎn)是：由于病毒種類多檢索時(shí)間長(zhǎng)，不能檢查未知病毒和多態(tài)性病毒，不能對(duì)付隱蔽性病毒。6.2.2校驗(yàn)和檢測(cè)技術(shù)計(jì)算正常文件的內(nèi)容和正常的系統(tǒng)扇區(qū)的校驗(yàn)和，將該校驗(yàn)和寫入數(shù)據(jù)庫(kù)中保存。在文件使用/系統(tǒng)啟動(dòng)過程中，檢查文件現(xiàn)在內(nèi)容的校驗(yàn)和與原來保存的校驗(yàn)和是否一致，因而可以發(fā)現(xiàn)文件/引導(dǎo)區(qū)是否感染，這種方法叫校驗(yàn)和檢測(cè)技術(shù)。這種方法既能發(fā)現(xiàn)已知病毒，也能發(fā)現(xiàn)未知病毒，但是，它不能識(shí)別病毒種類，不能報(bào)出病毒名稱。由于病毒感染并非是文件內(nèi)容改變的惟一原因，文件內(nèi)容的改變有可能是正常程序引起的，所以校驗(yàn)和檢測(cè)技術(shù)常常誤報(bào)，而且此種方法也會(huì)影響文件的運(yùn)行速度。校驗(yàn)和檢測(cè)技術(shù)的優(yōu)點(diǎn)是：方法簡(jiǎn)單，能發(fā)現(xiàn)未知病毒，被查文件的細(xì)微變化也能發(fā)現(xiàn)。其缺點(diǎn)是必須預(yù)先記錄正常文件的校驗(yàn)和，會(huì)誤報(bào)警，不能識(shí)別病毒名稱，不能對(duì)付隱蔽型病毒，并且效率低。6.2.3行為監(jiān)測(cè)技術(shù)行為檢測(cè)技術(shù)的優(yōu)點(diǎn)是：可發(fā)現(xiàn)未知病毒，可相當(dāng)準(zhǔn)確地預(yù)報(bào)未知多數(shù)病毒。行為檢測(cè)技術(shù)的不足是：可能誤報(bào)，不能識(shí)別病毒名稱和實(shí)現(xiàn)時(shí)有一定的難度。6.3.計(jì)算機(jī)病毒的預(yù)防計(jì)算機(jī)病毒防范，是指通過建立合理的計(jì)算機(jī)病毒防范體系和制度，及時(shí)發(fā)現(xiàn)計(jì)算機(jī)病毒侵入，并采取有效的手段阻止計(jì)算機(jī)病毒的傳播和破壞，恢復(fù)受影響的計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)。計(jì)算機(jī)病毒防范工作，首先是防范體系的建設(shè)和制度的建立。沒有一個(gè)完善的防范體系，一切防范措施都將滯后于計(jì)算機(jī)病毒的危害。計(jì)算機(jī)病毒防治的關(guān)鍵是做好預(yù)防工作，即防患于未然。1.安裝新的計(jì)算機(jī)系統(tǒng)時(shí)，要注意打系統(tǒng)的補(bǔ)丁。上網(wǎng)的時(shí)候要打開殺毒軟件實(shí)時(shí)監(jiān)控，以免病毒通過網(wǎng)絡(luò)進(jìn)入自己的電腦。上網(wǎng)的時(shí)候還應(yīng)該打開個(gè)人防火墻，防火墻可以隔離病毒跟外界的聯(lián)系，防止木馬病毒盜竊資料。2.注意防郵件病毒，用戶收到郵件時(shí)首先要進(jìn)行病毒掃描，不要隨意打開電子郵件里附帶的附件。防木馬病毒，木馬病毒一般是通過惡意網(wǎng)站撒播，用戶從網(wǎng)上下載任何文件后，一定要先進(jìn)行病毒掃描再運(yùn)行。3.做好計(jì)算機(jī)病毒的檢測(cè)。要有效地阻止病毒的危害，關(guān)鍵在于及早地發(fā)現(xiàn)并將其消除?？梢圆捎萌斯し椒ê妥詣?dòng)檢測(cè)。人工方法檢測(cè)和消除就是借助于DEBUG調(diào)試程序及PCTOOLS工具軟件等進(jìn)行手工檢測(cè)和消除處理。自動(dòng)檢測(cè)和消除是針對(duì)某一種或多種病毒使用專門的反病毒軟件或防病毒卡自動(dòng)對(duì)病毒進(jìn)行檢測(cè)和消除處理。6.4計(jì)算機(jī)病毒的治理1.隔離傳染源。計(jì)算機(jī)病毒如果無法傳播到另一臺(tái)電腦中，也就無法對(duì)其進(jìn)行感染破壞，因而人們最常用的方法就是隔離。但是一般企事業(yè)單位很大程度需要和外界交流，那么就應(yīng)該在一切和外界交流的“關(guān)口”加上防范措施。

2.清除、免疫、修補(bǔ)。對(duì)于一些已知的“計(jì)算機(jī)病毒”，則可通過定時(shí)清除、安裝免疫軟件、修補(bǔ)系統(tǒng)漏洞、限制系統(tǒng)功能的方法來應(yīng)對(duì)。3.強(qiáng)化管理。很多情況下“病毒”侵入企事業(yè)內(nèi)部網(wǎng)絡(luò)的原因和內(nèi)部管理混亂有關(guān)，例如管理員為減少工作量過多開放用戶操作權(quán)限，造成“病毒”有機(jī)會(huì)泛濫。加強(qiáng)企業(yè)計(jì)算機(jī)安全管理，是最有效的防止“病毒”破壞的手段，反之，就是采用最好最新的防病毒系統(tǒng)也無濟(jì)于事。4.啟動(dòng)防殺計(jì)算機(jī)病毒軟件，并對(duì)整個(gè)硬盤進(jìn)行掃描。某些計(jì)算機(jī)病毒在Windows狀態(tài)下無法完全清除，此時(shí)我們應(yīng)使用事先準(zhǔn)備的未感染計(jì)算機(jī)病毒的DOS系統(tǒng)軟盤啟動(dòng)系統(tǒng)，然后在DOS下運(yùn)行相關(guān)殺毒軟件進(jìn)行清除。七結(jié)論研究計(jì)算機(jī)病毒傳播模型及其防御策略是為了更好地了解日益猖獗的計(jì)算機(jī)病毒的傳播。以便采取有效的應(yīng)對(duì)策略，降低計(jì)算機(jī)病毒給人們的社會(huì)帶來的危害，構(gòu)建健康、安全的網(wǎng)絡(luò)環(huán)境。計(jì)算機(jī)病毒傳播模型及其防御策略的研究正逐漸被國(guó)外的一些專家和學(xué)者所重視。現(xiàn)有的反病毒技術(shù)也不能高效地控制病毒的傳播。由金山毒霸全球反病毒監(jiān)測(cè)中心、金山毒霸云安全中心、金山毒霸全球病毒應(yīng)急處理中心、金山毒霸客戶服務(wù)中心聯(lián)合公布的《2009年中國(guó)電腦病毒疫情及互聯(lián)網(wǎng)安全報(bào)告》中的數(shù)據(jù)顯示2009年，新增計(jì)算機(jī)病毒、木馬數(shù)量呈幾何級(jí)增長(zhǎng)。據(jù)金山毒霸“云安全”中心監(jiān)測(cè)數(shù)據(jù)顯示，2009年，金山毒霸共截獲新增病毒和木馬20684223個(gè)，與5年前新增病毒數(shù)量相比，增長(zhǎng)了近400倍。下圖為近幾年來的新增病毒、木馬數(shù)量對(duì)比（圖1）：

在新增的病毒、木馬中，新增木馬數(shù)為15223588個(gè)，占所有病毒重量的73.6%；黑客后門類占全年新增病毒、木馬總數(shù)的21.97%；而網(wǎng)頁(yè)腳本所占比例從去年的0.8%躍升至5.96%，成為增長(zhǎng)速度最快的一類病毒。2009年，據(jù)金山毒霸“云安全”中心統(tǒng)計(jì)數(shù)據(jù)，全國(guó)共有76409010臺(tái)計(jì)算機(jī)感染病毒，與08年相比增長(zhǎng)了40%。目前我們國(guó)家計(jì)算機(jī)的普及非常廣，幾乎每個(gè)家庭都有一臺(tái)計(jì)算機(jī)，但是關(guān)于病毒的防范知識(shí)宣傳的卻不到位。由于計(jì)算機(jī)感染病毒所造成的社會(huì)問題越來越突出，嚴(yán)重的損害了我們的經(jīng)濟(jì)效益。因此普及計(jì)算機(jī)病毒的防治工作迫在眉睫。計(jì)算機(jī)病毒的防治是一項(xiàng)長(zhǎng)期、艱巨的工作，不能有絲毫的放松、懈怠，應(yīng)長(zhǎng)期防治，持之以恒，并根據(jù)計(jì)算機(jī)技術(shù)發(fā)展的要求，不斷提高防范理念、水平、措施。經(jīng)常性地對(duì)計(jì)算機(jī)病毒問題進(jìn)行專題研究、交流、推廣計(jì)算機(jī)病毒防治工作的發(fā)展。要樹立科學(xué)防治的觀念，建立完善的病毒防治機(jī)制和科學(xué)的技術(shù)規(guī)范目前我們國(guó)家計(jì)算機(jī)的普及非常廣，幾乎每個(gè)家庭都有一臺(tái)計(jì)算機(jī)，但是關(guān)于病毒的防范知識(shí)宣傳的卻不到位。由于計(jì)算機(jī)感染病毒所造成的社會(huì)問題越來越突出，嚴(yán)重的損害了我們的經(jīng)濟(jì)效益。因此普及計(jì)算機(jī)病毒的防治工作迫在眉睫。基于C8051F單片機(jī)直流電動(dòng)機(jī)反饋控制系統(tǒng)的設(shè)計(jì)與研究基于單片機(jī)的嵌入式Web服務(wù)器的研究MOTOROLA單片機(jī)MC68HC（8）05PV8/A內(nèi)嵌EEPROM的工藝和制程方法及對(duì)良率的影響研究基于模糊控制的電阻釬焊單片機(jī)溫度控制系統(tǒng)的研制基于MCS-51系列單片機(jī)的通用控制模塊的研究基于單片機(jī)實(shí)現(xiàn)的供暖系統(tǒng)最佳啟停自校正（STR）調(diào)節(jié)器單片機(jī)控制的二級(jí)倒立擺系統(tǒng)的研究基于增強(qiáng)型51系列單片機(jī)的TCP/IP協(xié)議棧的實(shí)現(xiàn)基于單片機(jī)的蓄電池自動(dòng)監(jiān)測(cè)系統(tǒng)基于32位嵌入式單片機(jī)系統(tǒng)的圖像采集與處理技術(shù)的研究基于單片機(jī)的作物營(yíng)養(yǎng)診斷專家系統(tǒng)的研究基于單片機(jī)的交流伺服電機(jī)運(yùn)動(dòng)控制系統(tǒng)研究與開發(fā)基于單片機(jī)的泵管內(nèi)壁硬度測(cè)試儀的研制基于單片機(jī)的自動(dòng)找平控制系統(tǒng)研究基于C8051F040單片機(jī)的嵌入式系統(tǒng)開發(fā)基于單片機(jī)的液壓動(dòng)力系統(tǒng)狀態(tài)監(jiān)測(cè)儀開發(fā)模糊Smith智能控制方法的研究及其單片機(jī)實(shí)現(xiàn)一種基于單片機(jī)的軸快流CO〈,2〉激光器的手持控制面板的研制基于雙單片機(jī)沖床數(shù)控系統(tǒng)的研究基于CYGNAL單片機(jī)的在線間歇式濁度儀的研制基于單片機(jī)的噴油泵試驗(yàn)臺(tái)控制器的研制基于單片機(jī)的軟起動(dòng)器的研究和設(shè)計(jì)基于單片機(jī)控制的高速快走絲電火花線切割機(jī)床短循環(huán)走絲方式研究基于單片機(jī)的機(jī)電產(chǎn)品控制系統(tǒng)開發(fā)基于PIC單片機(jī)的智能手機(jī)充電器基于單片機(jī)的實(shí)時(shí)內(nèi)核設(shè)計(jì)及其應(yīng)用研究基于單片機(jī)的遠(yuǎn)程抄表系統(tǒng)的設(shè)計(jì)與研究基于單片機(jī)的煙氣二氧化硫濃度檢測(cè)儀的研制基于微型光譜儀的單片機(jī)系統(tǒng)單片機(jī)系統(tǒng)軟件構(gòu)件開發(fā)的技術(shù)研究基于單片機(jī)的液體點(diǎn)滴速度自動(dòng)檢測(cè)儀的研制基于單片機(jī)系統(tǒng)的多功能溫度測(cè)量?jī)x的研制基于PIC單片機(jī)的電能采集終端的設(shè)計(jì)和應(yīng)用基于單片機(jī)的光纖光柵解調(diào)儀的研制氣壓式線性摩擦焊機(jī)單片機(jī)控制系統(tǒng)的研制基于單片機(jī)的數(shù)字磁通門傳感器基于單片機(jī)的旋轉(zhuǎn)變壓器-數(shù)字轉(zhuǎn)換器的研究基于單片機(jī)的光纖Bragg光柵解調(diào)系統(tǒng)的研究單片機(jī)控制的便攜式多功能乳腺治療儀的研制基于C8051F020單片機(jī)的多生理信號(hào)檢測(cè)儀基于單片機(jī)的電機(jī)運(yùn)動(dòng)控制系統(tǒng)設(shè)計(jì)Pico專用單片機(jī)核的可測(cè)性設(shè)計(jì)研究基于MCS-51單片機(jī)的熱量計(jì)基于雙單片機(jī)的智能遙測(cè)微型氣象站MCS-51單片機(jī)構(gòu)建機(jī)器人的實(shí)踐研究基于單片機(jī)的輪軌力檢測(cè)基于單片機(jī)的GPS定位儀的研究與實(shí)現(xiàn)基于單片機(jī)的電液伺服控制系統(tǒng)用于單片機(jī)系統(tǒng)的MMC卡文件系統(tǒng)研制基于單片機(jī)的時(shí)控和計(jì)數(shù)系統(tǒng)性能優(yōu)化的研究基于單片機(jī)和CPLD的粗光柵位移測(cè)量系統(tǒng)研究單片機(jī)控制的后備式方波UPS提升高職學(xué)生單片機(jī)應(yīng)用能力的探究基于單片機(jī)控制的自動(dòng)低頻減載裝置研究基于單片機(jī)控制的水下焊接電源的研究基于單片機(jī)的多通道數(shù)據(jù)采集系統(tǒng)基于uPSD3234單片機(jī)的氚表面污染測(cè)量?jī)x的研制基于單片機(jī)的紅外測(cè)油儀的研究96系列單片機(jī)仿真器研究與設(shè)計(jì)基于單片機(jī)的單晶金剛石刀具刃磨設(shè)備的數(shù)控改造基于單片機(jī)的溫度智能控制系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)基于MSP430單片機(jī)的電梯門機(jī)控制器的研制基于單片機(jī)的氣體測(cè)漏儀的研究基于三菱M16C/6N系列單片機(jī)的CAN/USB協(xié)議轉(zhuǎn)換器基于單片機(jī)和DSP的變壓器油色譜在線監(jiān)測(cè)技術(shù)研究基于單片機(jī)的膛壁溫度報(bào)警系統(tǒng)設(shè)計(jì)基于AVR單片機(jī)的低壓無功補(bǔ)償控制器的設(shè)計(jì)基于單片機(jī)船舶電力推進(jìn)電機(jī)監(jiān)測(cè)系統(tǒng)基于單片機(jī)網(wǎng)絡(luò)的振動(dòng)信號(hào)的采集系統(tǒng)基于單片機(jī)的大容量數(shù)據(jù)存儲(chǔ)技術(shù)的應(yīng)用研究基于單片機(jī)的疊圖機(jī)研究與教學(xué)方法實(shí)踐基于單片機(jī)嵌入式Web服務(wù)器技術(shù)的研究及實(shí)現(xiàn)基于AT89S52單片機(jī)的通用數(shù)據(jù)采集系統(tǒng)基于單片機(jī)的多道脈沖幅度分析儀研究機(jī)器人旋轉(zhuǎn)電弧傳感角焊縫跟蹤單片機(jī)控制系統(tǒng)基于單片機(jī)的控制系統(tǒng)在PLC虛擬教學(xué)實(shí)驗(yàn)中的應(yīng)用研究基于單片機(jī)系統(tǒng)的網(wǎng)絡(luò)通信研究與應(yīng)用基于PIC16F877單片機(jī)的莫爾斯碼自動(dòng)譯碼系統(tǒng)設(shè)計(jì)與研究基于單片機(jī)的模糊控制器在工業(yè)電阻爐上的應(yīng)用研究基于雙單片機(jī)沖床數(shù)控系統(tǒng)的研究與開發(fā)基于Cygnal單片機(jī)的μC/OS-Ⅱ的研究基于單片