计算机病毒检测与查杀技术思考

摘要：作为特殊程序的一种，计算机病毒能够以快速复制的方式进行传播，多数计算机病毒都是在用户无所察觉情况下进行传播，计算机病毒能够直接通过电子邮件附件，从磁盘传递程序，或者直接复制到文件服务器中。一旦其传播给下一个用户，并被其接受到之后，也就将病毒直接传递到自己的计算机当中，如果计算机用户依然继续使用这种已经感染病毒的软件，或者使用已经感染病毒的磁盘进行计算机驱动，则病毒程度也会随之运行。本文就对计算机病毒检测与查杀技术进行深入的分析和探究。

关键词：计算机；病毒检测；查杀技术；相关思考

1计算机病毒分类

计算机病毒有很多种，首先程序型病毒，其主要以感染文件扩展名为.COM、.EXE、.OVL等可执行程序为主，安装时不得不通过含有病毒的程序载体，从而使得计算机内存中就会有病毒存在，一些文件在感染之后，一执行就会被删除。其次宏病毒，就是以具有宏功能的数据文件为对象，Microsoft或Excel文档等都容易受到攻击，因为被感染文件会直接通过网络共享或下载，所以宏病毒的传播速度相对较快[1]。引导型病毒在入侵系统文件时，主要对磁盘的内容产生一定的威胁，如果感染病毒后，磁盘的分区表及有关的内容将可能会被改写，一旦用户将此类磁盘启动开，就会感染电脑硬盘。对于存在危险的移动编码，一般也叫做脚本，通常而言，这一类的正常代码不属于病毒，然而也有一些计算机的恶意代码会影响到系统的运行，因而在某种程度上也可以将其视为病毒类型之一。就特洛伊木马型程序而言，病毒本身不会复制，其主要指的是计算机用户在进行程序运行时，只要发作，就可设置后门，定时的发送该用户的隐私，到木马程序的控制端，能够任意的控制该计算机，比如删除文件、拷贝和改密码等。实际上，随着病毒的不断发展，对于计算机病毒已经不容易分类了，因为更多的病毒都带有一定的综合性。

2计算机病毒主流技术及原理

计算机病毒传播的方式和原理也有很多种，有直接发送传播，通过利用社会工程学，典型案例就是通过某一软件平台，让其传送带有病毒的图像文件，尽管这种方式较为原始，但成功率也相对较高。还有利用电子邮件进行传播，这有两种，首先利用附件进行传播，著名的“爱虫”，就是因为邮件的主题是带有诱惑性的“ILOVEYOU”，附件为“LOVE-LETTER-FOR-YOU.TXT.VBS.”用户一旦打开附件之后，计算机就会感染病毒。并通过搜索outlook地址簿、发送带有病毒的邮件、通过IRC感染其他用户[2]。其次，还会利用网页邮件进行病毒传播。如果计算机用户点击了邮件，则就会感染病毒。释放病毒的黑客等往往会利用计算机用户的好奇心理发送其感兴趣的邮件，虽然看起来不像是垃圾文件，但用户一旦点开则会感染病毒。还有利用网页启动和系统漏洞等进行病毒传播。

3计算机病毒的潜伏隐藏机制

要想更好的应用计算机病毒检测和查杀技术，就要加强对于计算机病毒的潜伏机制了解，只有这样才能够更加精准的检测、查杀计算机病毒。一般而言，计算机感染病毒之后，病毒会受到来自计算机防火墙及管理员的系统检测及查杀，一旦有异常问题，都会导致其被直接查杀。那么端口隐藏就是一种方法，其通过潜伏，使用IP协议族中的其他协议，而不是TCP/UDP来进行通讯，以此来欺骗Netstat和端口扫描软件，常见的就是应用ICMP协议[3]。另外还有寄生手段来进行隐藏，就是直接寻找、寄生一个已经打开的端口，通常情况下只进行监听，在接受到特殊指令时，就执行命令。指令无法辨识的时候，计算机系统会直接作出处理，而对于能够辨识的指令，则会导致木马激活并运行，在任务执行完毕之后再进行隐蔽。当然，计算机病毒单纯依靠端口隐藏是不够的，其还会隐藏进程，这又有进程欺骗和不适用进程这两种。可以说，要想有效检测、查杀计算机病毒，做好病毒预防工作，就要学会从“攻”的角度出发，深入了解计算机病毒的潜伏隐藏机制，这样才能够做到“知己知彼，百战不殆”。

4计算机病毒检测和查杀技术

4.1行为基础下的病毒检测技术

众所周知，计算机系统的运行，就是通过编写对应的代码来进行的，那么随着编写技术的不断发展，计算机病毒编写自然也就更加的复杂和隐蔽。在加上当前变形技术的快速发展，导致计算机病毒可以在短时间内，变成多种模式，而变种的病毒，又在类型、大小和数量等各个方面有着一定的差异，其共同点就是传播的速度快，这就表示对于计算机病毒检测的难度越来越高[4]。所以，专业的研究工作者会针对此研发出全新的病毒查杀技术，即行为基础下的病毒检测技术，其可以有效处理众多复杂、综合的计算机病毒程序问题，及时解决固定性的计算机病毒。不仅如此，该病毒检测技术无需进行全部数据采集，就可以直接处理病毒，还有已知的病毒和未知的病毒进行检测和查杀。

4.2数据加密形式病毒检测技术

计算机病毒检测与查杀技术类型中较为常见的手段之一就是应用加密病毒检测技术，通过数据加密技术对病毒感染及黑客攻击都有很好的防范作用。通过数据加密技术的应用，当有病毒想要入侵计算机系统时，就可以应用加密手段来阻止这一行为，实现保护数据的目标。另外，在实际的数据传输过程中，也可以直接应用加密技术，以此避免信息被窃取等问题[5]。然后进行计算机数据加密时，需要构建相应的密钥交换及管理方案，以便于在最大限度上适应资源局限性，保证信息传输的合理性，维护整个计算机网络的安全。

4.3签名和特征代码病毒检测技术

在当前计算机病毒检测过程中，病毒签名就是宿主计算机被入侵的标记，不同的病毒入侵宿主计算机程序时，都会在不同的位置，显示不同的标记。这些标记有可能是图片，也有可能是字符和数字，比如：FGG、2496、4184等，不同的病毒有不同的签名，所放置的位置也不同。经过实践表示，在了解病毒签名的内容和位置之后，根据该程序的特定位置查询病毒签名，找到之后，就可以明确程序是被什么样的病毒所感染[6]。可以说，病毒签名是一种不同的识别标记，但有些病毒中没有签名，其是一个特别的代码，也可以应用相同的方法，直接在可疑的程序中，查询有着特殊性质的代码，以此进行病毒检测。比如，在计算机文件中，发现了携有病毒数据库中的特征码，就可以明确其感染了什么样的病毒，这也是一种较为常用的、可靠的病毒检测方法。但该技术的最大问题，就是需要依靠已有的病毒签名和特征码，也就是说，其只能够检测已有的病毒，对于新产生的病毒无法检测、查杀。

4.4全面病毒检测技术

全面病毒检测技术作为一种完整的病毒检测技术，其可以对计算机中已知和未知的病毒进行检测，其可以实现对计算机中的病毒进行有效修复的目标[7]。该技术的应用需要首先需要全方位了解计算机系统中的资料及文件内容，从而依据发现受到计算机病毒感染后产生了变化或被更改的资料信息，并利用原本的文件信息，以此来覆盖被计算机病毒所更改的文件内容，修复文件内容，并对彻底清除计算机病毒。

4.5启发式扫描病毒检测技术

该检测技术的应用原理为充分利用杀毒软件对病毒种类及入侵方式的记忆效果，并在结合原有病毒类型基础上的杀毒软件功能，对整个计算机进行病毒检测。如果在计算机系统中存在类似于计算机病毒的因素，则该检测技术会自动启动，并对用户进行适度的预警通告，以提醒计算机使用者尽快做出处理。启发式扫描病毒检测技术在对计算机中未知的病毒进行检测时，需要保证计算机在正常运行的状态下，才能够开展检测工作[8]。因此，该技术进行病毒查杀时的关键程序在于先对所有的程序进行统一扫描，扫描完毕之后实施相应的病毒检测，然后进行病毒分析，并提供使用者及时处理病毒。

5结束语

总而言之，计算机病毒技术和反病毒技术之间本身就是两股对立的理想，其也是在不断的对抗和斗争过程中取得发展的，相关人员需要科学认知这两者之间的关系，才能不断提升计算机病毒检测、查杀技术。以后的计算机病毒依然还会存在，而防御计算机病毒的研究人员同样会研究出更加新型的病毒查杀技术与软件，并对其进行科学、有效的应用，才能够更好的保障计算机系统的正常运行，真正实现我国计算机技术的健康发展。

参考文献

[1]文友奇.探索如何有效防御计算机病毒[J].中国新通信，2018，20（06）：160.

[2]冯书玮，刘玉倩，吕文静.浅析计算机信息系统安全技术的研究及其应用[J].文存阅刊，2018（05）：185-186.

[3]朱俚治，王兴虎.计算机病毒的智能性与程序属性[J].电脑知识与技术，2018，14（05）：64-66.

[4]黄峻峰.计算机网络安全中应急响应的构建[J].电子技术与软件工程，2018（04）：219.

[5]常志沛，李夏，王卓然.网络病毒检测专利技术发展现状与趋势分析[J].中国发明与专利，2017，14（S1）：34-41.

作者：张衡 单位：荆楚理工学院