研究计算机病毒防治技术的发展

详细内容

1 主要的病毒防治技术

1.1 特征码技术近年来，伴随着互联网的高速发展与不断普及，计算机病毒也愈加猖狂和泛滥。“同一病毒或同类病毒的某一部分代码相同”，这是特征码技术的基础出发点。如果病毒及其变种、变形病毒具有同一性，则可以通过对已知病毒进行分析、查解，对其同一性进行描述，形成“特征码”，并将特征码加入病毒库。当打开被检测文件时，杀毒程序通过比较“特征码”进行检查，如果发现病毒特征代码，便可以判定文件是否感染病毒，感染了何种病毒。特征码技术的优点在于病毒检测准确、快速，误报警率低，可以识别病毒的种类，并可以根据检测结果，进行杀毒处理。但特征码技术也存在以下缺点：一是并非所有病毒都可以提取其特征码，很多病毒都是难以甚至无法用特征码进行描述；二是特征码的描述取决于人的主观因素，从长达数千字节的病毒体中撷取十余字节的病毒特征码，需要对病毒进行跟踪、反汇编以及其它分析，费用开销非常大 ；三是要撷取一个病毒的特征码，必然要获取该病毒的样本，如果没有病毒样本，就无法进行分析、检测，因此，无法检测未知病毒 [1] 。

1.2 校验和技术校验和技术是一种不针对具体病毒程序的自身校验技术。它针对某个文件或数据段进行检验和计算并保存其结果，以后定期或不定期地以保存的结果对该文件或数据段进行检验，若出现差异，即表示该文件或数据段完整性已遭到破坏，感染上了病毒，从而检测到病毒的存在。校验和技术的优点是方法简单，能够根据文件的细微变化发现未知病毒。缺点是必须预先记录文件正常状态下的校验和，会产生误报警的情况；不能识别病毒的种类，不能发现隐蔽型的病毒。

1.3 虚拟机技术虚拟机技术是在系统上虚拟一个操作环境，然后在这个虚拟环境下运行病毒，在病毒现出原形后将其清除。在处理加密编码病毒的过程中，虚拟机技术是非常理想的处理方法。采用虚拟机技术，可以综合分析大多数已知病毒的共性，并抓住一些病毒 “经常使用的手段”和“常见的特点”，从而辨别病毒文件。目前，虚拟机技术基本上使用的是比较简单、易于实现的版本，仍然下转第 60 页60 技 术 研 究 2011H 078 区（Write Subkey）以及写密钥（Write Password）。下面以读取 DS1991 型 TM 卡安全存储分区内的数据过程为例进行分析，读数据流程如图 2 所示。首先读卡器向 TM 卡发出读指定安全存储分区命令，然后接收 TM 卡返回的该分区识别码，读卡器再向 TM 卡发出已设定的该分区密钥，TM 卡对该密钥进行验证，若密钥正确则向读卡器返回该存储分区数据，否则不返回分区内数据。即对卡中安全存储分区内数据的访问必须通过密钥认证。根据上述分析结果，通过使用模拟读卡器与模拟卡装置，可以分别得到分区识别码与分区密钥。

具体过程如下： 1）用模拟卡装置在读卡器上跟踪分析读卡器发出的读卡命令，得到读卡器指定要读的存储分区代码；2）用模拟读卡器按照读数据流程向 TM 卡发送读卡命令和指定存储分区代码，然后接收 TM卡返回的该存储分区识别码；3）按照读数据流程，用模拟卡装置在读卡器上再次跟踪分析读卡器发出的读卡命令，当返回存储分区识别码后接收由读卡器发出的该存储分区密钥。通过上述过程可以得到指定存储分区的分区代码和分区密钥，然后就可以读出存储分区内的所有数据。将分区代码、分区密钥以及所有数据写入另一TM 卡中就可实现 TM 卡数据复制的目的。但由于所有 TM 卡都具有唯一的 ROM 代码，若读卡器验证 ROM 代码，则需要通过使用模拟卡装置才能真正达到等效替换目的。 结束语本文详细叙述了TM系列卡的原理与特性，对其中具有代表性的DS1991型的读取数据过程进行了分析，同时根据存在的安全漏洞，提出了密钥破解原理以及等效替换的方法。 （责编 张岩）

参考文献： [1] 杨振野 .IC 卡技术及其应用 [M]. 北京 ：科学出版社，2006.68-125. [2] 王爱英 . 智能卡技术 [M]. 北京 ：清华大学出版社，2000.161-184. [3]Dallas 公司 .DS1991 Multi-key iBUTTON（DS1991 论文）[EB/ OL].://.maxim-ic./products/ibutton，2005/2011. [4] 张之津，李胜广，薛艺泽 . 智能卡安全与设计 [M]. 北京 ：清华大学出版社，2010.13-31. 图2 读数据流程是与传统技术相结合，没有抛弃已知病毒的特征知识库。对于虚拟机技术的应用，许多反病毒专家各执一词，有人强调虚拟机杀毒技术，认为这项技术可以很好地清除未知病毒。而有的专家则对此持保留态度，原因是虚拟机需要占用太多的系统资源，虚拟机功能的强大是建立在消耗大量的系统资源基础上的，过分强调和应用虚拟机杀毒技术，可能会导致整个操作系统都不能进行其它工作。