对于基于视窗操作系统自动播放传播病毒的免疫方法的研究

文/刘骥 张才华，河北工业职业技术学院

对于基于视窗操作系统自动播放传播病毒的免疫方法的研究

文/刘骥 张才华，河北工业职业技术学院

随着信息技术的不断发展，计算机已经成为人们生产生活必不可少的工具之一。但人们使用计算机的过程中计算机病毒已然成为困扰计算机系统安全和阻碍计算机广泛应用的重要问题。本次研究重点针对一类在校园机房，办公环境中广泛传播的病毒auto类病毒进行研究，并将找出其有效的防治方法。

病毒；计算机安全；免疫

虽然我们越来越倾向于使用手机进行娱乐，电脑越来越单纯的作为了办公的专业化工具。甚至曾经一度计算机安全这个词汇在我们的意识中越来越淡薄。但是就在今年WannaCry席卷全球，一些银行、政府的业务系统因此关闭。校园网络传播更为广泛，有些同学辛辛苦苦写的论文因此付之东流。由此可见，计算机安全是一个永恒的话题。

像WannaCry这种流行性病毒，大的厂家都会提供防治补丁，我们也不作深入研究。本次主要针对一类特别容易在校园中传播的病毒作针对性的免疫研究。这种反病毒技术的优点是针对特定类型的病毒防御非常有效。当然相应的缺点就是因为病毒类型非常多，不能依靠单一技术进行普遍防御。所以防病毒还是需要依靠多种手段多管齐下。

就目前安全界的研究成果来说，已出现的反病毒技术包括以下几种：1.特征码扫描：基于病毒库的特征码扫描是目前最常用的查杀病毒方式，也是技术最成熟的查杀方式；2.启发式扫描：这种扫描方式还有一点人工智能的成分，通过分析在文件中出现的指令及指令的顺序，总结出程序要执行的目的，根据目的判断是否为病毒；3.CRC扫描：这种方式不是基于病毒数据库而是基于用户操作系统中现有文件数据库的。这种扫描方式会事先扫描系统中已存在的文件并记录其摘要值，当文件被病毒感染时因为摘要值会发生变化，所以便可以通过摘要值判断文件是否被修改或被病毒感染。

有关于计算机病毒的具体定义。1994年我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》。其中对于计算机病毒有明确的定义：“计算机病毒，指编制或在计算机程序中插入的破坏了计算机功能或毁坏数据，影响计算机的使用，并能自我复制的一组计算机指令或程序代码。”

从定义可以看出，计算机病毒本质上还是一段计算机程序。

虽然计算机病毒本质上还是一段程序，还是与我们平时所使用的软件相比还是有一些不同的，一般来讲计算机病毒具有以下几个特征：1.寄生性：病毒寄生在其他正常程序中，在未启动这个程序之前，它是不容易被发觉的，可是当执行这个程序时，它就起破坏作用；2.隐蔽性：通俗的讲，既然计算机病毒是一段人为编写的程序是专门用来进行破坏的，那么这段程序不太可能命名为“病毒”或叫“Virus”，它都会比较隐蔽以防止被查杀；3.可触发性：可触发性是指病毒表现出破坏性的时机，有一些病毒一定要在某个特定条件下才会进行破坏，触发病毒的条件五花八门，有时间、日期等；4.破坏性：计算机中毒后，可能导致其他正常的程序无法运行，破坏性是最体现病毒编写者智慧的地方，实际上绝大部分的普通用户了解计算机病毒主要是了解病毒的破坏性，计算机病毒的破坏性通常会表现为对文件的：增、删、改、移；5.传染性：传染性是判断病毒的最基本特征，一个正常的程序可以具有病毒其他的任何特征，但是它绝对不会具有传染性。

计算机病毒主要通过文件复制、传送、执行等方式传播的，而文件的复制与传送需要媒介，所以病毒的传播与传播媒体之间有着直接关系。计算机病毒的传播途径主要包括软盘、光盘、硬盘、B BS、网络等。

计算机病毒是一段特殊的程序，其最大特点是具有感染能力和表现(破坏)能力。计算机病毒在程序结构、磁盘上的存储方式、感染目标的方式以及控制系统的方式既具有许多共同的特点，又有许多特殊的技巧和方法。

绝大多数病毒程序，都是由引导模块(或者叫安装模块)、传染模块和破坏表现模块这3个基本的功能模块所组成。其中，传染模块又由激活传染条件的判断部分和传染功能和实施部分组成；破坏表现模块由病毒触发条件判断部分和破坏表现功能的实施部分组成。

引导模块的功能是将病毒程序引入内存并使其后面的两个模块处于激活状态。

感染模块的功能是，在感染条件满足时把病毒感染到所攻击的对象上。

表现模块的功能是，在病毒发作条件满足时，实施对系统的干扰破坏活动。

需要注意的是，并不是所有的病毒都由这3大模块组成，例如有些良性病毒就没有破坏模块。

由于本次研究的对象quot;Auto类病毒quot;是病毒的一个特殊的类型，所以Auto类病毒在结构上也是由引导模块、传染模块和破坏表现模块这3个基本的功能模块所组成。该类病毒相比于一般病毒的特点就是传播方式是利用了视窗操作系统的自动播放。

对于电脑上很多程序光盘，都有这样一种现象：当光盘被放入光驱后，视窗操作系统便能够自动地启动光盘上的某个程序，这便是利用了视窗系统操作系统的“自动播放（AutoPlay）”功能。

其实视窗操作系统的自动播放功能是一个非常实用，能给用户带来很多便利的功能。但是，这一功能很有可能被利用，使用户在不知情的情况下执行恶意程序。

自动播放的原理非常简单，当光盘被放入采用视窗系统操作系统的计算机光驱中时，系统会检测系统的一个32位光驱驱动程式，然后搜索光盘上根目录下一个叫Autorun.inf的设置文件，并自动运行这个Autorun.inf中设置的命令。显然，在整个过程中起着关键作用的便是这个Autorun.inf文件，自动运行的文件都是在Autorun.inf文件里预先指定好的。

关闭系统的自动播放可以说是一个根治办法，因为此类病毒就是利用了视窗系统的自动播放原理实现自身的传播的。以下批处理语句通过修改注册表的键值来实现关闭自动播放的效果。

[1]韩筱卿，王建锋，钟玮．计算机病毒分析与防范大全[M]．北京：电子工业出版社，2008．21．

[2]李涛．计算机免疫学[M]．北京：电子工业出版社，2004.7.4-13．