基于結(jié)構(gòu)分析與數(shù)學(xué)模型的計(jì)算機(jī)病毒.doc

基于結(jié)構(gòu)分析與數(shù)學(xué)模型的計(jì)算機(jī)病毒李垂嬌廣東商學(xué)院 信息學(xué)院 中國 廣州 510320 Email: Tel要：本文主要介紹計(jì)算機(jī)病毒的結(jié)構(gòu)來分析它的傳染機(jī)理，并通過建立數(shù)學(xué)模型來分析計(jì)算機(jī)病毒的傳播途徑，以此采取相應(yīng)的防治措施，并通過一個(gè)反病毒案例來說明計(jì)算機(jī)病毒犯罪者最終將受法律的制裁。關(guān)鍵詞：計(jì)算機(jī)病毒、病毒的特征、結(jié)構(gòu)、數(shù)學(xué)模型、防治策略一、概述:隨著IT的發(fā)展，編程技術(shù)和計(jì)算機(jī)病毒技術(shù)的提高，計(jì)算機(jī)病毒的花樣層出不窮，表現(xiàn)形式更加的隱蔽，破壞性更加的嚴(yán)重。由于計(jì)算機(jī)系統(tǒng)的脆弱性和因特網(wǎng)的開放性，一種新病毒的出現(xiàn)會以驚人的速度通過網(wǎng)絡(luò)傳播到世界各地，對世界各地的計(jì)算機(jī)信息系統(tǒng)和網(wǎng)絡(luò)體系進(jìn)行破壞，造成網(wǎng)絡(luò)堵塞癱瘓，計(jì)算機(jī)內(nèi)存儲的機(jī)密信息被竊取。二、計(jì)算機(jī)病毒的特征:計(jì)算機(jī)病毒是指人為的且故意置入計(jì)算機(jī)的程序，它可自行復(fù)制并感染其他計(jì)算機(jī)中的程序，并通過計(jì)算機(jī)磁盤的共用，通信線路數(shù)據(jù)的傳輸（如電子郵件）或?qū)浖?、硬件的直接操作，都有可能感染病毒，它有良性和惡性之分?、計(jì)算機(jī)病毒的基本特征是：程序性、傳染性、潛伏性、干擾與破壞性、可觸發(fā)性、針對性、衍生性、奪取系統(tǒng)的控制權(quán)、依附性、不可預(yù)見性。程序性：計(jì)算機(jī)本身不會生成計(jì)算機(jī)病毒，計(jì)算機(jī)病毒是由人編制的具有特定功能的計(jì)算機(jī)程序。這就決定了計(jì)算機(jī)病毒的表現(xiàn)形式和破壞行為的多樣性和復(fù)雜性。 傳染性：計(jì)算機(jī)病毒將自身復(fù)制到其他程序上，使每個(gè)被感染的程序都包含該病毒的復(fù)制品。 潛伏性：有些文件受染只有在特定的條件下才會被激發(fā)，而在還未激發(fā)之前它就還處于休眠狀態(tài)中， 用戶根本覺察不到它的存在。 干擾與破壞性：有些計(jì)算機(jī)病毒對系統(tǒng)不會造成很嚴(yán)重的危害，它只是影響計(jì)算機(jī)的工作效率，它們就好像在跟計(jì)算機(jī)用戶開玩笑一樣，而有些卻能把格式化磁盤、更改系統(tǒng)文件、攻擊硬件等，這樣的病毒對計(jì)算機(jī)就已經(jīng)達(dá)到了破壞的程度了。 可觸發(fā)性：可觸發(fā)性的出現(xiàn)就意味著潛伏性的結(jié)束，觸發(fā)的實(shí)質(zhì)是一種或多種條件的控制。 針對性：每一種病毒的發(fā)作都是有特定的環(huán)境平臺，當(dāng)對應(yīng)的環(huán)境平臺還沒出現(xiàn)的時(shí)候，計(jì)算機(jī)病毒只能處于潛伏狀態(tài)。 衍生性：計(jì)算機(jī)病毒的可修改性比較強(qiáng)，病毒程序可以通過被修改而衍生出其他的病毒，它雖來源于源病毒程序，跟它卻有著本質(zhì)的不同。奪取系統(tǒng)的控制權(quán)：病毒通過寄居在宿主程序上，使得調(diào)用受染文件時(shí)首先執(zhí)行病毒程序。依附性：病毒只有依附在可執(zhí)行的文件中才有可能被執(zhí)行，當(dāng)沒有可執(zhí)行文件讓它依附的時(shí)候它也就無計(jì)可施了。不可預(yù)見性：由于病毒技術(shù)的不斷更新，使得反病毒軟件的問世跟病毒的防治措施總是滯后于病毒的產(chǎn)生時(shí)間，這就決定了病毒的不可預(yù)見性。2、當(dāng)前流行的病毒由于技術(shù)的發(fā)展又具有一些新的特征，這些特征是：抗分析性、隱蔽性、誘惑欺騙性、傳播方式的多樣性與廣泛性、破壞性、變形性、遠(yuǎn)程啟動性、攻擊對象的混合性、攻擊技術(shù)的混合性、多態(tài)性。隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，病毒也變得越來越復(fù)雜和高級。目前最難防御的是變形病毒，由于它的不確定性更加適應(yīng)病毒的生存，所以估計(jì)它將會成為今后病毒發(fā)展的主要方向之一。變形病毒特征主要是，病毒傳播到目標(biāo)后，病毒自身的代碼和結(jié)構(gòu)在空間上、時(shí)間上具有不同形式的變化。三、計(jì)算機(jī)病毒的結(jié)構(gòu)：病毒程序在系統(tǒng)中的運(yùn)行是：做初始化工作 在內(nèi)存中尋找傳染目標(biāo) 奪取系統(tǒng)控制權(quán) 完成傳染破壞活動。病毒程序可以放在正?？蓤?zhí)行文件的首部、尾部可中間，譬如新歡樂時(shí)光病毒可以將自己的代碼附加在.htm文件的尾部，并在頂部加入一條調(diào)用病毒代碼的語句。它會產(chǎn)生標(biāo)題為“help”，附件為“Untitled.htm”的病毒郵件。當(dāng)發(fā)作日期到來時(shí)，病毒將硬盤中的所有可執(zhí)行文件用自己的代碼覆蓋掉。病毒可以執(zhí)行其他程序所能執(zhí)行的一切功能，唯一不同的是它必須將自身附著在宿主程序上，當(dāng)運(yùn)行宿主程序時(shí)，病毒一些意想不到的功能也就跟著悄悄地執(zhí)行了。病毒的結(jié)構(gòu)一般由以下三部分組成：初始化部分、傳染部分、破壞和表現(xiàn)部分。其中傳染部分包括激活傳染條件的判斷部分和傳染功能的實(shí)施部分，而破壞和表現(xiàn)部分則由病毒觸發(fā)條件判斷部分和破壞表現(xiàn)功能的實(shí)施部分組成。下面用一段代碼來表示宿主程序受染的工作機(jī)理： program V:= /病毒體程序 （1）goto main; （2） 1234567; /標(biāo)志 （3） subroutine infect-executable := /傳染子程序 （4） loop: /循環(huán) （5） file := get-random-executable-file;/ 從文件中隨機(jī)地找到一個(gè)可執(zhí)行文件 （6） if (first-line-of-file =1234567) /若該文件的第一行是標(biāo)志1234567 （7） then goto loop /則返回循環(huán)開始 （8） else prepend V to file; /將病毒體程序附著在文件之中 （9） subroutine do-damage : = /破壞子程序 （10） whatever damage is to be done /進(jìn)行相關(guān)的破壞功能 （11） subroutine trigger-pulled : = / 激活子程序 （12） return true if some condition holds /當(dāng)達(dá)到某種條件后則返回真值 （13） main : main-program : = /主程序體 （14） infect-executable; /傳染可執(zhí)行程序 （15） if trigger-pulled then do-damage; /若觸發(fā)條件為真則執(zhí)行破壞 （16） goto next; / 執(zhí)行正常程序體 （17） next : （18） 由上面的程序代碼可知受染程序的工作機(jī)理是：第一行代碼的功能是跳轉(zhuǎn)執(zhí)行病毒程序，也即是病毒的初始化階段。病毒通過寄居在宿主程序上以獲得系統(tǒng)控制權(quán)，從而保證當(dāng)調(diào)用受染文件時(shí)，首先被執(zhí)行的是病毒程序，然后才是原主程序。第三行代碼是個(gè)特殊標(biāo)記，它被用來判斷一個(gè)可能被感染文件是否已經(jīng)感染病毒。第四行開始到第九行代碼是病毒程序的傳染部分。當(dāng)該程序被調(diào)用后，很快又將控制權(quán)交給病毒程序模塊，病毒程序首先尋找未被感染過的可執(zhí)行文件并感染之。如果遇到的目標(biāo)文件已經(jīng)被該病毒感染了就跳過繼續(xù)尋找下一個(gè)目標(biāo)。第十行和第十一行代碼則是病毒的破壞部分，病毒通常會對宿主程序進(jìn)行破壞活動，宿主程序每被調(diào)用一次，該破壞就會進(jìn)行一次。第十二行跟第十三行代碼是程序的激發(fā)條件，如果前兩行的破壞行為是個(gè)邏輯炸彈（邏輯炸彈是最早出現(xiàn)的程序威脅之一，它預(yù)先規(guī)定了病毒和蠕蟲的發(fā)作時(shí)間。它是嵌在合法程序中的、只有當(dāng)特定的事件出現(xiàn)時(shí)才會進(jìn)行破壞的一組程序代碼），那它就僅在某個(gè)特定條件滿足時(shí)才會被激發(fā)。第十四行到第十七行代碼是病毒的表現(xiàn)部分，它表現(xiàn)了宿主程序受感染的全過程。最后一行代碼表示病毒程序把控制權(quán)交還給原主程序。 四、計(jì)算機(jī)病毒傳播的數(shù)學(xué)模型：病毒可以利用其所得到的系統(tǒng)權(quán)限進(jìn)行傳染并通過計(jì)算機(jī)系統(tǒng)或者網(wǎng)絡(luò)進(jìn)行擴(kuò)散，而每個(gè)被傳染的程序也會具有病毒體一樣的行為能力，從而使病毒傳染愈演愈烈。顯然，病毒的傳染性是它的關(guān)鍵特性。下面通過建立一個(gè)數(shù)學(xué)模型來分析計(jì)算機(jī)病毒的傳播機(jī)理：假設(shè)一個(gè)由N臺計(jì)算機(jī)組成的計(jì)算機(jī)群，它受某一病毒V的威脅并且相互之間有數(shù)據(jù)交換的關(guān)系。數(shù)值N表示了該計(jì)算機(jī)病毒所能傳播到的計(jì)算機(jī)最大數(shù)目。為了簡化分析，我們只考慮病毒在由這N臺計(jì)算機(jī)組成的封閉系統(tǒng)內(nèi)傳播，對這N臺計(jì)算機(jī)進(jìn)行編號：C1、C2、. 、Cn，并定義集合C=C1、C2、. 、Cn。因此，可定義C上的二元關(guān)系為Dc=Ci，Cj|Ci、Cj屬于C，i不等于j，該關(guān)系表示有數(shù)據(jù)從Ci單向流向Cj，其中Ci為源機(jī)器，Cj為目標(biāo)機(jī)器；定義Mv=Ci|Ci屬于C，且Ci已經(jīng)感染病毒V，該定義表示傳染過程中已染毒計(jì)算機(jī)集合。從病毒進(jìn)入系統(tǒng)的時(shí)刻（n=0）開始研究，則這N臺機(jī)器中有一臺是帶毒的，設(shè)其編號為C1，此時(shí)C1=1。當(dāng)C1跟C中的任何一臺機(jī)器進(jìn)行數(shù)據(jù)通信時(shí)，（N-1）臺機(jī)器中的任一臺都有被感染跟源機(jī)器同樣病毒的可能，且感染后不可清除，即計(jì)算機(jī)一旦染上病毒后，在整個(gè)流行期間都是帶毒機(jī)。依此循環(huán)下去，最后將導(dǎo)致所有的機(jī)都染上病毒，除非它不與其他的機(jī)器進(jìn)行數(shù)據(jù)通信，可在因特網(wǎng)如此普及的年代不跟其他機(jī)器進(jìn)行數(shù)據(jù)通信的機(jī)器跟一臺死機(jī)根本沒什么區(qū)別。所以，所有的計(jì)算機(jī)最后全部被感染的趨勢是必然的。 在單位時(shí)間內(nèi)，一臺帶毒機(jī)跟另一臺機(jī)器進(jìn)行數(shù)據(jù)通信，如果對方已經(jīng)感染上跟源機(jī)器同樣的病毒，則源機(jī)器的病毒就會跳過目標(biāo)機(jī)器的程序，如果目標(biāo)機(jī)器還沒感染上病毒，源機(jī)器的病毒程序就會傳染給目標(biāo)機(jī)器的程序，致使目標(biāo)機(jī)器中毒。而在這個(gè)單位時(shí)間里，這臺目標(biāo)機(jī)器都不可能再與其他的機(jī)器進(jìn)行數(shù)據(jù)通信。令Xn是在第n個(gè)單位時(shí)間上C中感染病毒的計(jì)算機(jī)數(shù)目，帶病毒源機(jī)器的數(shù)目為E（Xn），則未染毒機(jī)的數(shù)目為（N-E（Xn）。在單位時(shí)間內(nèi)，N臺計(jì)算機(jī)之間發(fā)生M次數(shù)據(jù)通信（1=M=N/2，且參與通信的源機(jī)器和目標(biāo)機(jī)器都是隨機(jī)的，在N中均勻分布。所謂數(shù)學(xué)期望值是指一個(gè)變量的可能取值與其對應(yīng)出現(xiàn)概率的乘積。所以，在第n個(gè)單位時(shí)間和第n+1 個(gè)單位時(shí)間間隙內(nèi)的M次數(shù)據(jù)通信中，源機(jī)器中染毒機(jī)器的數(shù)學(xué)期望值為（M/N）*E（Xn），其中M/N是指這個(gè)時(shí)間段內(nèi)中毒源機(jī)器出現(xiàn)的概率，乘以帶毒源機(jī)器的數(shù)目E（Xn），就可得出源機(jī)器中染毒機(jī)器的數(shù)學(xué)期望值，即（M/N）* E（Xn）。目標(biāo)機(jī)中無毒機(jī)器的數(shù)學(xué)期望值就等于源機(jī)器的數(shù)目M減于中毒機(jī)數(shù)目，即M-（M/N）*E（Xn）。由于傳播是隨機(jī)的。所以在這次數(shù)據(jù)通信完畢之后，新增加的染毒機(jī)器的數(shù)學(xué)期望值是（M/N）*E（Xn）*（1-E（Xn）/N）。由于互相通信的兩部機(jī)都有可能有毒，所以式中的1-E（Xn）/N表示接收信息的機(jī)在跟源機(jī)器進(jìn)行數(shù)據(jù)通信之前沒有帶毒的概率，乘以跟其進(jìn)行數(shù)據(jù)通信的那些帶毒機(jī)的數(shù)目就可得出新增加的染毒機(jī)的數(shù)學(xué)期望值，即（M/N）*E（Xn）（1-E（Xn）/N）。則有： E（Xn+1）-E（Xn）=（M/N）*E（Xn）*（1-E（Xn）/N）=（M/（N*N）*E（Xn）*（N-E（Xn）=K*E（Xn）*（N-E（Xn）其中，K=M/(N*N)為傳染系數(shù)。上式即為計(jì)算機(jī)病毒傳播的數(shù)學(xué)模型 該模型就是通過假設(shè)N臺機(jī)器中有一臺帶毒，而當(dāng)它跟其他（N-1）臺中的任一臺機(jī)進(jìn)行數(shù)據(jù)通信時(shí)，它就把病毒傳染給另外一部機(jī)器，就這樣這N臺機(jī)器中任何兩臺機(jī)隨機(jī)進(jìn)行數(shù)據(jù)通信，最后會致使更多的機(jī)器中毒。而在一個(gè)單位時(shí)間內(nèi)，當(dāng)有M臺帶毒源機(jī)器要進(jìn)行數(shù)據(jù)通信的時(shí)候，跟其進(jìn)行數(shù)據(jù)通信的目標(biāo)機(jī)器就有M臺，如果這些目標(biāo)機(jī)器都不帶毒的話在一個(gè)單位時(shí)間內(nèi)就將增加M臺帶毒機(jī)，而如果其中有一部分目標(biāo)機(jī)器是帶毒的，設(shè)其數(shù)目為R，那么新增加的帶毒機(jī)就是M減去帶毒的目標(biāo)機(jī)器，即M-R。這就是該數(shù)學(xué)模型的工作機(jī)理。五、計(jì)算機(jī)病毒的防治策略： 隨著病毒技術(shù)的發(fā)展，反病毒技術(shù)也不甘示弱地緊跟其后，解決計(jì)算機(jī)病毒攻擊的理想方法是對病毒進(jìn)行預(yù)防，即在第一時(shí)間阻止病毒進(jìn)入系統(tǒng)。這絕對可以降低病毒攻擊成功的概率，但它卻不能百分之百地保證病毒不會入侵，所以定期進(jìn)行病毒的檢測是必要的。一旦系統(tǒng)被感染，檢測系統(tǒng)就可以通過特征代碼法、校驗(yàn)碼法、行為監(jiān)測法、軟件模擬法等方法中的一種或幾種立即斷定病毒的存在并進(jìn)行定位，然后鑒別該病毒的類型，最后從受染文件中刪除所有的病毒并恢復(fù)程序的正常狀態(tài)，以阻止病毒的進(jìn)一步傳染。從檢測、鑒別到清除是解決病毒攻擊的比較有效的、可行的、實(shí)際的方法。雖然如此，但如果檢測病毒成功而鑒別或清除沒有成功的話，就必須把受染文件刪除并重新裝入無毒文件的備份。由此可看出，為了防止病毒對計(jì)算機(jī)數(shù)據(jù)的毀壞，對數(shù)據(jù)進(jìn)行備份是非常必要的。六、應(yīng)用案例 2003年9月3日，羅馬尼亞警方以涉嫌與Worm.Blaster（沖擊波）計(jì)算機(jī)病毒有關(guān)而逮捕了一名24歲的青年，該青年據(jù)稱名為丹。西奧巴努，曾經(jīng)是羅馬尼亞東北部伊亞西技術(shù)大學(xué)的研究生。警方表示，西奧巴努與一個(gè)破壞力較弱的變種Worm.Blaster病毒有關(guān)，這一病毒名為“MsBlast.F”，被西奧巴努在大學(xué)的計(jì)算機(jī)網(wǎng)絡(luò)上傳播。2003年8月，美國一名高中生杰弗里.李.帕森已經(jīng)因?yàn)閭鞑チ硗庖粋€(gè)變種的Worm.Blaster病毒而被捕。調(diào)查人員是根據(jù)上述病毒中的一些羅馬尼亞語文本追蹤到西奧巴努的個(gè)人網(wǎng)頁的，網(wǎng)頁上包括他的家庭住址和電話號碼。但調(diào)查人員表示，西奧巴努僅僅涉嫌對最初的Worm.Blaster病毒進(jìn)行修改，而不是編寫了原版的病毒。調(diào)查人員表示，與原版的Worm.Blaster傳播非常廣泛不同的是，西奧巴努的“MsBlast.F”版本可能僅在羅馬尼亞國內(nèi)傳播。警方已經(jīng)將西奧巴努家里和辦公室的計(jì)算機(jī)全部沒收，并準(zhǔn)備查找上述病毒的證據(jù)。根據(jù)羅馬尼亞一項(xiàng)新的法律，西奧巴努有可能面臨最長達(dá)15年的有期徒刑。七、結(jié)束語：網(wǎng)絡(luò)的發(fā)展在一定程度上促使計(jì)算機(jī)病毒的發(fā)展，而日新月異的技術(shù)，更加給計(jì)算機(jī)病毒提供生存的空間。盡管目前出現(xiàn)的計(jì)算機(jī)病毒數(shù)量、種類繁雜多樣，但是通過對病毒程序代碼的分析、比較和歸納可知，它們的程序結(jié)構(gòu)都存在著很大的相似性，一種病毒往往都是另一種病毒的變身，它們都是通過對一種病毒程序的修改使其變成一種與原病毒不同的病毒，但其中還是有很多相同之處的，只要弄懂一種病毒的結(jié)構(gòu)，對于病毒的防治也就有了方向了。而對計(jì)算機(jī)病毒的傳播途徑的了解又可以幫助我們預(yù)防病毒通過網(wǎng)絡(luò)、軟盤等方式入侵個(gè)人計(jì)