重庆市奉节县广播电视台 张亚凌

1.引言

参照《中华人民共和国计算机信息系统安全保护条例》定义，计算机病毒[1](Computer Virus)指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。随着信息技术地不断发展，人们在享受其对生活带来便利的同时，一种反面角色——计算机病毒，也在随着信息技术应用范围的扩大不断渗透，严重威胁着人们的个人隐私和财产安全。维护网络空间的安全人人有责，提高网民对计算机病毒行为特征的识别能力，有助于做到“早发现、早预防、早处理”，势必能在很大程度上防止计算机病毒扩散，减少其破坏力。

计算机病毒通常具有很强的隐蔽性，不易被人们发现。专业的分析人员可能会通过提取病毒样本，采用逆向工程的技术对病毒可执行代码进行动态或静态反汇编分析，识别其调用的系统API函数，通过分析这些API的逻辑关系[2,3]，发现代码段具有的潜在威胁以识别是否为病毒代码。这种分析技术难度大、门槛高，即使普通程序员也无法领会其中的精髓。本文从病毒代码的行为特征出发，在搭建的虚拟机环境下分析病毒代码执行后对系统造成的影响来识别病毒，具有很强的通用性。

2.基于VMWare的病毒分析平台搭建

从计算机病毒的定义可知，其运行结果通常会给我们的计算机带来不可预见的破坏结果。那么通常情况下都会借助VMWare软件搭建一个虚拟机平台，让待分析病毒运行在这个虚拟操作系统中。除非特殊情况下，一般不采用真实主机进行分析测试。另外虚拟机平台分析有个好处是可以在预装完操作系统，配置好初始环境后做系统快照，完成一次样本分析后恢复快照即可很方便地还原原始系统环境。

图1 VMWare+XP SP2系统+ProcessMonitor软件分析平台

在搭建完虚拟机环境后，本文推荐使用ProcessMonitor软件观察记录病毒行为特征，如上图1所示。该软件通过配置，可以选择对系统中注册表操作、文件读写、网络连接活动和进程、线程活动的任意组合进行监控，使用灵活，功能齐全，足以满足本文所涉及病毒行为分析方法的操作需求。

3.病毒典型行为特征

行为特征[4]是最能识别计算机病毒的标志，也是病毒分析工程师通常进行的第一步工作。了解相关病毒的行为特征，可以缩小后续逆向工程中动态分析和静态分析的目标范围，起到事半功倍的促进作用。操作系统一般都具有高可配置性，用户通过对一些配置文件的修改即可改变计算机系统的操作行为。病毒也正是利用系统的这一特性，通常更改操作系统的正常配置属性，设置一个适合病毒运行和传播的系统环境。在病毒行为特征的分析中，也可从病毒通常关注的主机HOSTS文件、注册表文件、启动项配置、PE文件入手，检测是否有病毒操作后的异常特征以识别被监控对象是否为病毒源。

3.1 更改主机HOSTS文件

针对Windows2000/XP系统，HOSTS文件通常位于“C:WINDOWSsystem32driversetc”目录下，该文件是一个纯文本，记录着域名与IP地址的映射关系。用户通过域名访问网络资源时，主机首先查看该文件，如果域名在文件中有记录，就使用期映射的IP地址进行访问；否则，主机将通过DNS服务获取域名对应的网络地址，然后通过返回的地址访问网络资源。但是，病毒软件通常利用该文件的功能，诱导用户访问含有病毒、木马的恶意网址或钓鱼网址，甚至限制用户访问信息安全相关的论坛网站，避免用户通过查阅资料进行杀毒。下图2为主机在遭受病毒感染后不能打开百度主页，引导至另一网站的HOSTS文件截图。

图2 HOSTS文件感染截图

3.2 修改主机自启动项

在Windows环境下的“开始-〉所有程序-〉启动”中可以放置开机自启动程序或者程序的快捷方式。病毒感染主机后通常将自己或自己的快捷方式放入该文件夹，通常有两个路径“C:Documents and SettingsAdministrator「开始」菜单程序启动；C:Documents and SettingsAll Users「开始」菜单程序启动”，检查的时候需要全面查看。但是这种方式启动程序本身容易被发觉，很多病毒、木马更倾向于直接修改主机注册表文件以隐藏自身不被用户容易地清除。

3.3 修改主机注册表文件

注册表是Windows用于存储系统和应用程序配置信息的数据库，管理着系统的日常运行。先于Windows3.0推出OLE技术之前出现，到Windows NT将其广泛应用于系统级，一直沿用至今。通过管理注册表文件，系统可以初始化应用程序启动参数、决定应用程序启动方式等。它就好比Windows系统的一个大管家，保障系统正常运行。

由于注册表在操作系统管理上具有很强的功能和灵活性，通常被恶意软件利用，修改系统的正常行为，让病毒、木马的泛滥有机可乘。

病毒程序通常需要修改操作系统注册表，将自身或者副本设置为自启动方式。一旦被感染主机运行病毒程序，病毒的下次发作就无需人为触发。用户一旦发觉主机运行出现异常，应该及时杀毒，检查注册表启动项中是否有可疑字段插入，一旦发现，应该立即清除[5]。常见的注册表启动项如表1所示。

表1 常见注册表启动项

3.4 感染PE文件

PE格式文件[6]在Windows平台下广泛存在，感染型病毒通常将自身的病毒代码段附加进被感染对象，然后进行函数调用重定位，让病毒代码段先于正常程序代码段运行。这样当用户每次执行常用程序时，病毒代码段则悄悄运行，具有很强的隐蔽性。这种PE文件感染型病毒通常伴随着对文件的读写操作，如果发现陌生进程对我们的已知可执行程序进行读写操作的时候，往往有可能正在感染病毒代码。一旦发现，可以在安全模式下删除被感染对象，保障计算机系统安全。

4.总结

随着信息化的高速发展，某些个人、组织在特殊利益驱动的诱导下不断研发新的病毒代码以牟利。面对各种类型的计算机病毒，其行为特征基本固定。只要会识别操作系统中的异常行为，用户即可快速定位相关可疑程序，及时阻止其运行，删除可疑文件，在一定程度上保障计算机系统的安全，防止病毒代码进一步传播、扩散，避免个人用户隐私泄露。本文的方法在识别病毒行为特征上具有很强的通用性，可以在日渐积累的过程中提高用户对可疑程序的识别能力。

[1]张忠利.浅谈计算机病毒[J].科技咨询,2009(29).

[2]姚晓杭.基于代码行为病毒监控技术[J].实验室研究与探索,2009(28).

[3]郑重,王志英,等.基于病毒行为序列的未知病毒分析技术研究[J].计算机安全,2010.

[4]谢尘.计算机病毒行为的检测分析方法[J].信息安全技术与应用,2012.

[5]张震.使用注册表清除木马与病毒[J].金融科技时代,2011(19).

[6]戚利.Windows PE权威指南[M].北京:机械工业出版社,2011,9.