计算机病毒对抗技术分析
日期:2007-01-03 荐:
计算机病毒对抗是信息战的一种重要形式,它是指设法把计算机病毒注入到敌方计算机系统中,靠计算机病毒自身繁殖来感染整个系统及相连接的系统,然后在适当时机用一定方式激活病毒,从而达到控制、破坏敌方计算机系统,取得信息战胜利的目的。计算机病毒对抗技术包括两大部分:病毒攻击技术和病毒防御技术。病毒攻击的目的是利用病毒来干扰和摧毁敌方的信息系统,病毒防御的目的是保护自己的信息资源,抵御敌方病毒的侵入和干扰。在计算机病毒对抗中要作到攻防兼备,同时攻击又是最好的防御。计算机病毒对抗的特点与信息战中传统的电子对抗相比,计算机病毒对抗有自己的特点,它主要表现在以下几个方面:(1)隐蔽性计算机病毒对抗与传统电子对抗表现形式不同,计算机病毒的寄生、传染、触发都在后台完成,一般系统在受到破坏后才被发现。不使用专门工具很难查出病毒,况且杀病毒软件常对新出现的病毒无能为力。(2)扩散性计算机病毒繁殖能力强、传播速度快,计算机系统本身的弱点及计算机的网络化使计算机病毒广泛传播。一旦病毒发作,就会席卷整个网络甚至信息战的指挥控制系统。(3)潜伏性电子对抗一般采用射频信号形式,一旦停止干扰信号发射,干扰就停止。而计算机病毒一旦侵入,便能长期潜伏。(4)多能性计算机病毒具有各种类型,可以针对和攻击各种操作系统及各个应用领域,甚至无需任何预先信息。(5)破坏性计算机病毒能使信息战中敌方指挥控制系统和武器系统失灵或误报信息,从而取得信息战的胜利。病毒攻击技术病毒攻击技术是计算机病毒对抗技术的一个重点,也是信息战的研究热点。病毒攻击技术主要包括:病毒研制、病毒注入、病毒传播、病毒触发、病毒干扰、计算机侦察等技术。病毒研制病毒研制是进行病毒攻击的准备。针对不同类型的目标机、不同的攻击目的,研究不同的病毒体和病毒载体。根据不同的病毒类型、机理和病毒宿主,建立相应的数学模型,规划病毒存储方式和传播途径。病毒注入病毒注入是病毒攻击的第一步,是个高难度的技术问题。病毒注入技术研究的是注入机理和注入方式。病毒注入方式有两种:①无线注入方式:利用战时无线通信系统,远距离地将计算机病毒发送并进入敌方接收系统,继而进入中央指挥系统或其它子系统,完成潜伏或直接作用。②有线注入方式:主要是经网络的病毒注入。由于网络的广域连接性,具有特殊才智与韧劲的计算机“黑客”总会找到你与网络连接的入口。病毒武器芯片与固化病毒是另一类病毒注入攻击手段。所谓病毒武器芯片是利用硬件的方式,将预先定制的含有某种特殊代码和程序的特殊芯片装入各种电子和信息设备中,在需要时引发病毒。我国的某些军用和关系国计民生行业的系统和设备,尤其是计算机设备外购较多,对我方的芯片注入和芯片病毒隐藏潜伏的可能性是存在的,除非使用百分之百的国产设备(包括芯片)。使用可能潜伏病毒设备的关键是如何采用有效的方式检测出芯片中“可能的”特殊代码,这种检测分析的难度是很大的,对微代码型的芯片检测要比对固化程序型的病毒芯片的检测更难。病毒传播病毒传播技术主要研究传播机理及耦合方式。目前已知的耦合机制有如下四种:前门耦合 采用系统本身正常传播媒体,如收发设备、天线、通信线等,直接将病毒注入目标系统,并使之传播到与感染系统相连的所有其他系统。后门耦合 采用与系统不同的媒体进入并干扰系统,如通过电源系统、温控系统、推进系统以及稳定系统等进行干扰。直接耦合 利用正常通信手段,直接将病毒注入目标系统。敌方接收系统工作期间,以其对应的接收频率发送含有病毒的数据。此外,合法程序的恶意使用也是直接引入病毒的方式。间接耦合 利用病毒的传染性将病毒注入从目标系统安全防御最薄弱环节开始,病毒通过传播后达到并干扰目标系统。以上各种耦合方式的采用将发挥传统电子对抗所不能起到的作用,在信息战中充分体现计算机病毒对抗技术的作用。病毒潜伏病毒潜伏技术主要研究潜伏机理和方式,宿主机的体系结构和存储模型,病毒体的伪装、反跟踪、欺骗技术,解决病毒体驻留、寻址、索引指向等问题。病毒触发主要研究激励机制和触发条件问题,针对宿主机程序调用、运行、装载、中断以及系统输入输出方式和机制,确定病毒的引发逻辑条件、时间条件、中断条件和综合条件。最关键的是能否装载病毒程序并使它运行,这是在病毒注入问题解决后,另一个重要的高难度问题。病毒干扰病毒干扰是最终目的,干扰方式有多种,破坏机制与功能也不同。常见的干扰方式有以下几种:①特洛依木马:指包含了逻辑炸弹、时间炸弹等一类潜伏型、条件触发型的恶意程序。条件和方式均可预制,等病毒现象表现出来,已为时过晚。②强迫检疫:这是一种欺骗手段,病毒进入目标系统后即表现自己,公开宣告病毒存在。这样,使整个系统和网络成为一种不可信系统,从而达到极大的心理干扰作用。③超载:这种干扰主要是降低系统性能,使系统不能以正常速度运行。这将会减慢系统的实时响应、延迟军用控制系统的动作,影响战地信息处理速度与响应。④探针:这是一种有着特殊任务的程序,负责寻找和搜寻某些专门数据,并将它们自己或找到的数据存放或传送到一个专门的地点。⑤ 刺客:这是病毒直接攻击的一种方式。注入的病毒摧毁和破坏某个专门文件、数据和存储结构。它可通过网络在任何地点查找,直到找到目标。这种病毒在传播过程中消除自己,完成任务后自毁,不留下任何痕迹。它包含了诸如数据欺骗、超级冲杀、陷阱、核心大战等技术方式。⑥计算机侦察:这是研究如何进行目标搜索、识别、分析和确认的技术,从众多的信息中去粗取精、去伪存真,为病毒攻击做准备。病毒防御技术病毒防御技术包括主动与被动的防御,信息战中只攻不防的军事系统是不完整的,也是脆弱的。病毒的交叉、变形、融合和多态性,使病毒的检测、消除和系统恢复变得十分困难。病毒防御技术主要有:病毒研究,病毒检测、病毒消除、病毒免疫、系统恢复、病毒预防、反病毒产品研制等。
病毒研究信息战防御病毒的研究不同于研究攻击性病毒,它主要研究已经出现的计算机病毒,进行病毒标本采集,分析病毒体及其机理,制定对策;对病毒标本进行标准化,建立病毒标本库;根据对新病毒标本的分析,研究清除病毒的方法,确定预防相同类型、相同机理病毒的方法,更新病毒检测工具和软件,建立一套系统、智能的更新标本库,实现防杀病毒软件的智能升级。病毒检测病毒检测的目的是发现、确认和报告是否有病毒,为病毒的消除提供依据。检测技术非常灵活,包括静态检测、动态检测及综合判断,也牵涉到宿主机的系统体系结构、数据结构和存储模式。在具体的技术实现中必须考虑误报、错报、漏报和预报等难题。误报是将正常操作认为是病毒操作,或者误认为正常的系统和文件中含有病毒。检测路径不正确、特征码选择判别错、改动信息判别错、位置判别错等都可能产生误报。错报是将某一种类的病毒错报成另一种或者多种病毒。病毒名称的多名性、相同的特征码、欺骗性特征码会引起错报。漏报是系统存在病毒但不能够报出,或者病毒产生变种、变异不能报出。特征码被改动或变异病毒、病毒反跟踪、多行性和隐行病毒都可能产生漏报。预报是一种超前主动性防御,能够警告性地报出可能的或者可疑的病毒及病毒现象,但不一定报出病毒名称,同时采取一定的处理措施。病毒消除病毒被确认后就必须进行病毒体清除,对早期病毒(或称为第一、二代病毒)是可能完全清除的;而对现代病毒,包括变异病毒(或称为第三、四代病毒)有可能无法完全清除,如果强制清除,则可能损坏文件或影响到系统的正常恢复,甚至造成死机、系统崩溃、数据丢失和系统的不可恢复。如果再加上病毒的重复感染和交叉感染,病毒的连续清除、层层脱壳都会使清除工作难度加大。病毒消除产生的副作用是很大的,轻者仅使该程序或者软件不能使用,重者造成死机、系统崩溃、数据丢失和系统的不可恢复,从而影响反病毒技术和杀病毒软件的自身的可信性。病毒免疫病毒免疫是指系统曾感染过病毒,已经被清除,如果再有同类病毒攻击,将不再受感染。这对某些早期病毒是有效的,免疫法多基于感染标志判定,或者采用以毒攻毒的方法,但非所有病毒都可以免疫。目前有的病毒采用强制感染,对系统和软件进行重复感染。免疫也是一种反攻击的手段,具有免疫性的系统是一类可信系统,但研究和建立通用的免疫机制是很困难的。系统恢复消除病毒后系统不一定能够恢复到以前的正常运行环境。例如,病毒改变了系统配置参数、运行指针、表格变量、中断矢量、存储地址、数据结构等,有的甚至是破坏性改动(如删除、覆盖等),这样就不可能恢复到原运行状态。目前常见的系统恢复方法分为完整恢复(完全恢复到感染前的环境),部分恢复(只恢复关键参数,但不影响系统执行),系统重启(放弃目前环境,重新启动和运行),系统替换(重装系统,或者使用备用系统或备份软件)。此外,系统恢复中的一个大问题是环境兼容性,主要指在反病毒软、硬件研究中,对该技术的适用范围、程度、效果所依赖的硬件(机型等)和软件(系统等)环境的考虑。该问题涉及到系统的版本、配置等,使系统恢复变得更为复杂。如果系统不能正常恢复,也会影响反病毒技术的可信性。病毒预防病毒预防主要研究如何对未知和未来病毒进行防御。理论上不能预知未来病毒的机理。没有哪种防病毒软、硬件可以防止未来的病毒,反病毒技术的被动性和技术制约也往往落后于病毒技术。因此,只能立足于系统自身的安全性和系统自保护,以及软件的自保护。研制具有自保护措施的软件是可行的,提高软件本身的可信性是病毒预防的基础。反病毒产品研制病毒对抗技术的应用研究是反病毒系统、硬件与软件产品,包括系统安全卡、防病毒卡、反病毒软件、病毒检测清除软件、病毒过滤器等,以及对这些产品效能的评价。结束语信息对抗是信息战的特征,计算机病毒对抗技术是信息战技术的一个重要领域。成功地掌握和运用计算机病毒对抗技术将在未来的信息战中出奇制胜。
标签: