電腦病毒對抗技術分析
電腦病毒對抗技術分析
計算機病毒對抗是信息戰(zhàn)的一種重要形式,它是指設法把計算機病毒注入到敵方計算機系統(tǒng)中,下面由學習啦小編給你做出詳細的電腦病毒對抗技術分析介紹!希望對你有幫助!歡迎回訪學習啦網站,謝謝!
電腦病毒對抗技術分析:
靠計算機病毒自身繁殖來感染整個系統(tǒng)及相連接的系統(tǒng),然后在適當時機用一定方式激活病毒,從而達到控制、破壞敵方計算機系統(tǒng),取得信息戰(zhàn)勝利的目的。計算機病毒對抗技術包括兩大部分:病毒攻擊技術和病毒防御技術。病毒攻擊的目的是利用病毒來干擾和摧毀敵方的信息系統(tǒng),病毒防御的目的是保護自己的信息資源,抵御敵方病毒的侵入和干擾。在計算機病毒對抗中要作到攻防兼?zhèn)?,同時攻擊又是最好的防御。計算機病毒對抗的特點與信息戰(zhàn)中傳統(tǒng)的電子對抗相比,計算機病毒對抗有自己的特點,它主要表現(xiàn)在以下幾個方面:
(1)隱蔽性計算機病毒對抗與傳統(tǒng)電子對抗表現(xiàn)形式不同,計算機病毒的寄生、傳染、觸發(fā)都在后臺完成,一般系統(tǒng)在受到破壞后才被發(fā)現(xiàn)。不使用專門工具很難查出病毒,況且殺病毒軟件常對新出現(xiàn)的病毒無能為力。
(2)擴散性計算機病毒繁殖能力強、傳播速度快,計算機系統(tǒng)本身的弱點及計算機的網絡化使計算機病毒廣泛傳播。一旦病毒發(fā)作,就會席卷整個網絡甚至信息戰(zhàn)的指揮控制系統(tǒng)。
(3)潛伏性電子對抗一般采用射頻信號形式,一旦停止干擾信號發(fā)射,干擾就停止。而計算機病毒一旦侵入,便能長期潛伏。(4)多能性計算機病毒具有各種類型,可以針對和攻擊各種操作系統(tǒng)及各個應用領域,甚至無需任何預先信息。(5)破壞性計算機病毒能使信息戰(zhàn)中敵方指揮控制系統(tǒng)和武器系統(tǒng)失靈或誤報信息,從而取得信息戰(zhàn)的勝利。病毒攻擊技術病毒攻擊技術是計算機病毒對抗技術的一個重點,也是信息戰(zhàn)的研究熱點。病毒攻擊技術主要包括:病毒研制、病毒注入、病毒傳播、病毒觸發(fā)、病毒干擾、計算機偵察等技術。病毒研制病毒研制是進行病毒攻擊的準備。針對不同類型的目標機、不同的攻擊目的,研究不同的病毒體和病毒載體。根據不同的病毒類型、機理和病毒宿主,建立相應的數(shù)學模型,規(guī)劃病毒存儲方式和傳播途徑。病毒注入病毒注入是病毒攻擊的第一步,是個高難度的技術問題。病毒注入技術研究的是注入機理和注入方式。病毒注入方式有兩種:①無線注入方式:利用戰(zhàn)時無線通信系統(tǒng),遠距離地將計算機病毒發(fā)送并進入敵方接收系統(tǒng),繼而進入中央指揮系統(tǒng)或其它子系統(tǒng),完成潛伏或直接作用。
?、谟芯€注入方式:主要是經網絡的病毒注入。由于網絡的廣域連接性,具有特殊才智與韌勁的計算機“黑客”總會找到你與網絡連接的入口。病毒武器芯片與固化病毒是另一類病毒注入攻擊手段。所謂病毒武器芯片是利用硬件的方式,將預先定制的含有某種特殊代碼和程序的特殊芯片裝入各種電子和信息設備中,在需要時引發(fā)病毒。我國的某些軍用和關系國計民生行業(yè)的系統(tǒng)和設備,尤其是計算機設備外購較多,對我方的芯片注入和芯片病毒隱藏潛伏的可能性是存在的,除非使用百分之百的國產設備(包括芯片)。使用可能潛伏病毒設備的關鍵是如何采用有效的方式檢測出芯片中“可能的”特殊代碼,這種檢測分析的難度是很大的,對微代碼型的芯片檢測要比對固化程序型的病毒芯片的檢測更難。病毒傳播病毒傳播技術主要研究傳播機理及耦合方式。目前已知的耦合機制有如下四種:前門耦合 采用系統(tǒng)本身正常傳播媒體,如收發(fā)設備、天線、通信線等,直接將病毒注入目標系統(tǒng),并使之傳播到與感染系統(tǒng)相連的所有其他系統(tǒng)。后門耦合 采用與系統(tǒng)不同的媒體進入并干擾系統(tǒng),如通過電源系統(tǒng)、溫控系統(tǒng)、推進系統(tǒng)以及穩(wěn)定系統(tǒng)等進行干擾。直接耦合 利用正常通信手段,直接將病毒注入目標系統(tǒng)。敵方接收系統(tǒng)工作期間,以其對應的接收頻率發(fā)送含有病毒的數(shù)據。此外,合法程序的惡意使用也是直接引入病毒的方式。間接耦合 利用病毒的傳染性將病毒注入從目標系統(tǒng)安全防御最薄弱環(huán)節(jié)開始,病毒通過傳播后達到并干擾目標系統(tǒng)。以上各種耦合方式的采用將發(fā)揮傳統(tǒng)電子對抗所不能起到的作用,在信息戰(zhàn)中充分體現(xiàn)計算機病毒對抗技術的作用。病毒潛伏病毒潛伏技術主要研究潛伏機理和方式,宿主機的體系結構和存儲模型,病毒體的偽裝、反跟蹤、欺騙技術,解決病毒體駐留、尋址、索引指向等問題。病毒觸發(fā)主要研究激勵機制和觸發(fā)條件問題,針對宿主機程序調用、運行、裝載、中斷以及系統(tǒng)輸入輸出方式和機制,確定病毒的引發(fā)邏輯條件、時間條件、中斷條件和綜合條件。最關鍵的是能否裝載病毒程序并使它運行,這是在病毒注入問題解決后,另一個重要的高難度問題。病毒干擾病毒干擾是最終目的,干擾方式有多種,破壞機制與功能也不同。常見的干擾方式有以下幾種:
?、偬芈逡滥抉R:指包含了邏輯炸彈、時間炸彈等一類潛伏型、條件觸發(fā)型的惡意程序。條件和方式均可預制,等病毒現(xiàn)象表現(xiàn)出來,已為時過晚。
②強迫檢疫:這是一種欺騙手段,病毒進入目標系統(tǒng)后即表現(xiàn)自己,公開宣告病毒存在。這樣,使整個系統(tǒng)和網絡成為一種不可信系統(tǒng),從而達到極大的心理干擾作用。
?、鄢d:這種干擾主要是降低系統(tǒng)性能,使系統(tǒng)不能以正常速度運行。這將會減慢系統(tǒng)的實時響應、延遲軍用控制系統(tǒng)的動作,影響戰(zhàn)地信息處理速度與響應。④探針:這是一種有著特殊任務的程序,負責尋找和搜尋某些
專門數(shù)據,并將它們自己或找到的數(shù)據存放或傳送到一個專門的地點。
?、?刺客:這是病毒直接攻擊的一種方式。注入的病毒摧毀和破壞某個專門文件、數(shù)據和存儲結構。它可通過網絡在任何地點查找,直到找到目標。這種病毒在傳播過程中消除自己,完成任務后自毀,不留下任何痕跡。它包含了諸如數(shù)據欺騙、超級沖殺、陷阱、核心大戰(zhàn)等技術方式。⑥計算機偵察:這是研究如何進行目標搜索、識別、分析和確認的技術,從眾多的信息中去粗取精、去偽存真,為病毒攻擊做準備。病毒防御技術病毒防御技術包括主動與被動的防御,信息戰(zhàn)中只攻不防的軍事系統(tǒng)是不完整的,也是脆弱的。病毒的交叉、變形、融合和多態(tài)性,使病毒的檢測、消除和系統(tǒng)恢復變得十分困難。病毒防御技術主要有:病毒研究,病毒檢測、病毒消除、病毒免疫、系統(tǒng)恢復、病毒預防、反病毒產品研制等。
病毒研究信息戰(zhàn)防御病毒的研究不同于研究攻擊性病毒,它主要研究已經出現(xiàn)的計算機病毒,進行病毒標本采集,分析病毒體及其機理,制定對策;對病毒標本進行標準化,建立病毒標本庫;根據對新病毒標本的分析,研究清除病毒的方法,確定預防相同類型、相同機理病毒的方法,更新病毒檢測工具和軟件,建立一套系統(tǒng)、智能的更新標本庫,實現(xiàn)防殺病毒軟件的智能升級。病毒檢測病毒檢測的目的是發(fā)現(xiàn)、確認和報告是否有病毒,為病毒的消除提供依據。檢測技術非常靈活,包括靜態(tài)檢測、動態(tài)檢測及綜合判斷,也牽涉到宿主機的系統(tǒng)體系結構、數(shù)據結構和存儲模式。在具體的技術實現(xiàn)中必須考慮誤報、錯報、漏報和預報等難題。誤報是將正常操作認為是病毒操作,或者誤認為正常的系統(tǒng)和文件中含有病毒。檢測路徑不正確、特征碼選擇判別錯、改動信息判別錯、位置判別錯等都可能產生誤報。
錯報是將某一種類的病毒錯報成另一種或者多種病毒。病毒名稱的多名性、相同的特征碼、欺騙性特征碼會引起錯報。漏報是系統(tǒng)存在病毒但不能夠報出,或者病毒產生變種、變異不能報出。特征碼被改動或變異病毒、病毒反跟蹤、多行性和隱行病毒都可能產生漏報。預報是一種超前主動性防御,能夠警告性地報出可能的或者可疑的病毒及病毒現(xiàn)象,但不一定報出病毒名稱,同時采取一定的處理措施。病毒消除病毒被確認后就必須進行病毒體清除,對早期病毒(或稱為第一、二代病毒)是可能完全清除的;而對現(xiàn)代病毒,包括變異病毒(或稱為第三、四代病毒)有可能無法完全清除,如果強制清除,則可能損壞文件或影響到系統(tǒng)的正?;謴停踔猎斐伤罊C、系統(tǒng)崩潰、數(shù)據丟失和系統(tǒng)的不可恢復。如果再加上病毒的重復感染和交叉感染,病毒的連續(xù)清除、層層脫殼都會使清除工作難度加大。病毒消除產生的副作用是很大的,輕者僅使該程序或者軟件不能使用,重者造成死機、系統(tǒng)崩潰、數(shù)據丟失和系統(tǒng)的不可恢復,從而影響反病毒技術和殺病毒軟件的自身的可信性。病毒免疫病毒免疫是指系統(tǒng)曾感染過病毒,已經被清除,如果再有同類病毒攻擊,將不再受感染。
這對某些早期病毒是有效的,免疫法多基于感染標志判定,或者采用以毒攻毒的方法,但非所有病毒都可以免疫。目前有的病毒采用強制感染,對系統(tǒng)和軟件進行重復感染。免疫也是一種反攻擊的手段,具有免疫性的系統(tǒng)是一類可信系統(tǒng),但研究和建立通用的免疫機制是很困難的。系統(tǒng)恢復消除病毒后系統(tǒng)不一定能夠恢復到以前的正常運行環(huán)境。
例如,病毒改變了系統(tǒng)配置參數(shù)、運行指針、表格變量、中斷矢量、存儲地址、數(shù)據結構等,有的甚至是破壞性改動(如刪除、覆蓋等),這樣就不可能恢復到原運行狀態(tài)。目前常見的系統(tǒng)恢復方法分為完整恢復(完全恢復到感染前的環(huán)境),部分恢復(只恢復關鍵參數(shù),但不影響系統(tǒng)執(zhí)行),系統(tǒng)重啟(放棄目前環(huán)境,重新啟動和運行),系統(tǒng)替換(重裝系統(tǒng),或者使用備用系統(tǒng)或備份軟件)。此外,系統(tǒng)恢復中的一個大問題是環(huán)境兼容性,主要指在反病毒軟、硬件研究中,對該技術的適用范圍、程度、效果所依賴的硬件(機型等)和軟件(系統(tǒng)等)環(huán)境的考慮。該問題涉及到系統(tǒng)的版本、配置等,使系統(tǒng)恢復變得更為復雜。如果系統(tǒng)不能正?;謴停矔绊懛床《炯夹g的可信性。
病毒預防病毒預防主要研究如何對未知和未來病毒進行防御。理論上不能預知未來病毒的機理。沒有哪種防病毒軟、硬件可以防止未來的病毒,反病毒技術的被動性和技術制約也往往落后于病毒技術。因此,只能立足于系統(tǒng)自身的安全性和系統(tǒng)自保護,以及軟件的自保護。研制具有自保護措施的軟件是可行的,提高軟件本身的可信性是病毒預防的基礎。反病毒產品研制病毒對抗技術的應用研究是反病毒系統(tǒng)、硬件與軟件產品,包括系統(tǒng)安全卡、防病毒卡、反病毒軟件、病毒檢測清除軟件、病毒過濾器等,以及對這些產品效能的評價。
結束語信息對抗是信息戰(zhàn)的特征,計算機病毒對抗技術是信息戰(zhàn)技術的一個重要領域。成功地掌握和運用計算機病毒對抗技術將在未來的信息戰(zhàn)中出奇制勝。
看過“電腦病毒對抗技術分析 ”人還看了: