前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇计算机反病毒论文范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
1.1计算机病毒的含义计算机病毒是一种可以入侵计算机系统,而且会给计算机系统带来一定程度的破坏性且具备自我繁殖能力的特殊程序。一旦计算机病毒达到了所需的条件时,就可能给计算机的系统以及信息资源带来非常严重的损坏。一旦计算机病毒爆发,通常会使计算机的系统数据丢失,甚至导致整个计算机的系统出现瘫痪,给人们的工作和生活造成极大的负面影响。
1.2计算机病毒的特点
1.2.1具有较强的破坏性通常来说,只要是利用软件可以接触到的计算机资源,都有可能会遭到病毒的破坏。例如计算机的CPU时间被占用,内存开销,带来计算机的系统文件遭到破坏,工作进程堵塞,屏幕显示出现混乱状态等。
1.2.2具有寄生的特制计算机病毒通常都是寄生在电脑程序中的,一旦这个被寄生的程序被执行,就会使得病毒显现出来,对计算机产生破坏。
1.2.3具有潜伏性计算机病毒具有较强的潜伏性,它可以隐藏在专用的病毒检测程序中几天、甚至几年,等时机发展成熟时才进行扩散,而在计算机在屏幕上显示出相关的信息、特殊的标识,或者是对计算机系统的正常操作带来破坏。
1.2.4具有传染性除开破坏性之外,计算机病毒还具备很计算机病毒及其防范措施探究文/王松计算机病毒给计算机的安全运行以及人们的生活、工作都带来了较大的危害和困扰,因此采取有效的防范措施趋利避害,防止计算机病毒所带来的严重后果,是确保计算机畅通和安全运行的重要保障。本文从计算机的含义和特点入手,从六个方面提出了预防计算机病毒的措施。摘要大的传染性,且传染性是计算机病毒最为基本的特征。假如计算机病毒变种或者被复制了,那样其传染的速度更是防不胜防。它可以通过很多方式传播到没有被感染的计算机上,严重还会造成计算机处于瘫痪状态。
1.2.5具有隐蔽性一般来说,计算机病毒都隐藏在计算机正常运行的操作程序里,具有一定的隐蔽性,有病毒能够利用杀毒软件检测出来,而有的病毒则通过杀毒软件也查不出来,舅舅给病毒的出来带来了很大的难度。
2计算机病毒的主要防范措施
2.1强化计算机操作人员的防范意识为了防止计算机病毒所带来的信息失窃、受感染等问题的出现,操作人员要加强对病毒的安全防范意识。因为计算机操作人员欠缺防范意识,造成很多本可以被规避的病毒出现。例如,操作人员在操作计算机的过程中,没有及时的退出业务系统,就会造成口令限制失去原本的作用;或者在进行操作以后没能及时地将存储介质从计算机端口上;开机或者是计算机登陆界面密码过于简单,未定期的进行更改;多人使用同一帐号;没有定期对杀毒软件进行升级;登录网络没有开启防火墙等等都会导致计算机病毒入侵而带来重大的损失。因此,预防计算机病毒,首先要强化操作人员的安全防范意识,强化安全上网理念,开展计算机病毒的相关培训。
2.2要对计算机及数据定期进行检查和备份众所周知,计算机病毒一旦爆发,就很可能给计算机操作者带来无法避免的损失。因此,计算机操作者要对计算机进行定期的检查,这样就能起到主动防御的作用。此外,计算机操作者要对计算机中的重要文件和数据利用移动硬盘等定期进行备份,避免由于计算机病毒的入侵而造成重要文件损坏所带来的没法挽救的损失。
2.3对防毒软件进行及时的升级一般来说,越新版的防毒软件越具有更强的查毒、防毒及杀毒的能力,能较好的解决计算机中的大部分病毒,因此,在对计算机使用的过程中,要及时的对防毒软件进行升级,这样才能更好的起到对病毒的查杀作用,最大程度地发挥其查杀病毒的作用。
2.4禁止文件共享、隔离被感染的计算机为了防止别的计算机病毒传染到自己的计算机上,计算机用户应禁止设置共享文件,如果在非共享不可的条件下,应设置一些密码或者使用权限,来限制他人对你电脑中的文件进行存取,避免让不法之人有机可乘,也避免自己成为黑客攻击的目标。如果发现计算机已经受到了病毒的入侵,要马上将网络中断,使用专业的杀毒软件对病毒进行查杀,并关闭和其它计算机的连接,避免由于病毒的传染性而导致更大损失的出现。
2.5对系统中不需要的程序要定期进行更新、关闭或者删除在计算机的操作系统中,很多常用的操作程序和系统的核心部分都存在漏洞,这些漏洞的存在使得入侵者轻而易举的就入侵到你的计算机系统当中,给计算机程序造成损害,并窃取重要文件,隐私以及商业机密。因此,软件开发商通常都会及时的补丁让客户进行更新,对漏洞进行修补。计算机操作人员要及时的阅读漏洞通知,对其及时进行修补,防止黑客的入侵。此外,要对计算机中的程序和软件进行及时的更新,将系统中长期不用的辅助服务进行关闭或者删除,因为这些辅助本身所起的作用不大,如果不关闭或者删除他们反而会造成更大的入侵可能。
2.6启用IE中的安全准则对于在公共计算机上网的用户,一定要重视IE上的安全准则。IE中的自动完成功能不但能够给用户带来方便,但同时也给用户带来了潜在的危险,如果不能较好的处理,就会产生泄密的危险。这一方面的功能要使用管控COOLIES的安全程序,并在关机前清除上网的历史记录。同时,在上网时,一定要开启病毒的实时监控功能,不要轻易的点击陌生网站或者是一些来路不清的EXCEL或者WORD文档,对于那些从网上下载的软件也要先对其进行杀毒后再进行安装使用。
3总结
网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件)等。
(一)木马病毒、黑客病毒木马病毒其前缀是:Trojan,黑客病毒前缀名一般为Hack。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马Trojan.QQ3344,有大家可能遇见比较多的针对网络游戏的木马病毒如Trojan.LMir.PSW.60。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为密码的英文password的缩写)一些黑客程序如:网络枭雄(Hack.Nether.C1ient)等。
(二)宏病毒其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excet97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97作为第二前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word作为第二前缀,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97作为第二前缀,格式是:
(三)脚本病毒脚本病毒的前缀是:Script。脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)可不是我们的老大代码兄哦。脚本病毒还会有如下前缀:VBS、js(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.C.S)等。推荐阅读:远程开放教育软件工程专业毕业论文
Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel作为第二前缀,格式是:Macro.Excel,依此类推。
(四)后门病毒后门病毒的前缀是:Backdoor。该类病毒的公有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。如很多朋友遇到过的IRC后f]Backdoor.IRCBot。
(五)破坏性程序病毒破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化c盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。
(六)玩笑病毒玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlghost)病毒。
关键词:指纹系统,安全防范,防御机制
一、概述
指纹信息系统作为一种公安工作的局域网,有其特定含义和应用范畴,它积累信息为侦察破案提供线索,概括起来有四个方面的典型应用:第一,指纹系统是为公安工作服务的,是一种刑事侦察的工具,它是各地、市之间指纹交流工具,也是指纹信息资源的提供者。第二,指纹系统是为侦察破案提供线索,为案件进展提供便利服务的。第三,指纹系统积累犯罪嫌疑人信息,如嫌疑人的指纹管理、前科管理、基本信息管理等,为串、并案件提供可靠依据。第四,指纹系统是沟通与其他公安工作的窗口,利用它既可以获取各种信息,也可以向其他公安工作相关信息。
二、指纹信息系统安全的主要问题
随着网络在公安工作各个方面的延伸,进入指纹系统的手段也越来越多,因此,指纹信息安全是目前指纹工作中面临的一个重要问题。
1、物理安全问题
指纹信息系统安全首先要保障系统上指纹数据的物理安全。物理安全是指在物理介质层次上对存贮和传输的指纹数据安全保护。目前常见的不安全因素(安全威胁或安全风险)包括两大类:第一类是自然灾害(如雷电、地震、火灾、水灾等),物理损坏(如硬盘损坏、设备使用寿命到期、外力破损等),设备故障(如停电、断电、电磁干扰等),意外事故。第二类是操作失误(如删除文件、格式化硬盘、线路拆除等),意外疏漏(如系统掉电、“死机”等)。
2、指纹操作系统及应用服务的安全问题
现在应用的主流操作系统为Windows 操作系统,该系统存在很多安全隐患。操作系统不安全也是系统不安全的重要原因。
3、非法用户的攻击
几乎每天都可能听到在公安网上众多的非法攻击事件,这些事件一再提醒我们,必须高度重视系统的安全问题。非法用户攻击的主要方法有:口令攻击、网络监听、缓冲区溢出、邮件攻击和其他攻击方法。
4、计算机病毒威胁
计算机病毒将导致指纹系统瘫痪,系统程序和指纹数据严重破坏,使系统的效率和作用大大降低,系统的许多功能无法使用或不敢使用。虽然,至今还没过出现灾难性的后果,但层出不穷的各种各样的计算机病毒活跃在公安网的各个角落,令人堪忧。计算机病毒是指人为制造的干扰和破坏计算机系统的程序,它具有传染性、隐蔽性、潜伏性、破坏性等特点。通常,我们将计算机的病毒分为“良性”和“恶性”两类。所谓良性病毒是指不对计算机数据进行破坏,但会造成计算机工作异常、变慢等。 恶性病毒往往没有直观表现,但会对计算机数据进行破坏,有的甚至会破坏计算机的硬件,造成整个计算机瘫痪。前段时间流行的冲击波、震荡波、狙击波病毒,它们根据 Windows漏洞进行攻击,电脑中毒后1分钟重起。在重新启动之前,冲击波和震荡波允许用户操作,而狙击波不允许用户操作。病毒是十分狡猾的敌人,它随时随地在寻找入侵电脑的机会,因此,预防和清除计算机病毒是非常重要的,我们应提高对计算机病毒的防范意识,不给病毒以可乘之机。
三、指纹系统的安全防范措施
指纹信息系统是一个人机系统,需要多人参与工作,而系统操作人员是系统安全的责任主体,因此,要重视对各级系统操作人员进行系统安全的教育,做到专机专用,严禁操作人员进行工作以外的操作;下面就本人在实际工作中总结的一些经验,谈一 谈对指纹信息系统的维护与病毒的预防。
1、 对指纹系统硬件设备和系统设施进行安全防护
(1)系统服务器安全:服务器是指纹系统的大脑和神经中枢,一旦服务器或硬盘有故障,轻者将导致系统的中断,重者可能导致系统瘫痪或指纹数据丢失,因此在服务器端,可以采用双机热备份+异机备份方案。论文大全。在主服务器发生故障的情况下,备份服务器自动在 30 秒 内将所有服务接管过来,从而保证整个指纹系统不会因为服务器发生故障而影响到系统的正常运行,确保系统 24小时不间断运行。在磁盘阵列柜,我们可安装多块服务器硬盘, 用其中一块硬盘做备份,这样可保证在其它硬盘发生故障时,直接用备份硬盘进行替换。
(2)异机数据备份:为防止单点故障(如磁盘阵列柜故障)的出现,可以另设一个备份服务器为,并给它的服务设置一个定时任务,在定置任务时,设定保存两天的备份数据,这样可保证当某天指纹数据备份过程中出现故障时也能进行指纹数据的安全恢复。通过异机备份,即使出现不可抗拒、意外事件或人为破坏等毁灭性灾难时,也不会导致指纹信息的丢失,并可保证在1小时内将指纹数据恢复到最近状态下,使损失降到最低。
(3)电路供应:中心机房电源尽量做到专线专供,同时采用UPS(不间断电源),部分非窗口计算机采用300 W 延时20分钟的 UPS进行备用,这样可保证主服务器和各服务窗口工作站不会因电源故障而造成指纹信息的丢失或系统的瘫痪。
(4)避雷系统:由于通信设备尤其是裸露于墙体外的线路,易受雷击等强电磁波影响而导致接口烧坏,为对整个系统进行防雷保护,分别对中心机房、主交换机、各分交换机和各工作站进行了分层次的防护。
(5)主机房的防盗、防火、防尘:主机房是系统中心,一旦遭到破坏将带来不可估量的损失,可以安装防盗门,或安排工作人员24小时值班。同时,由于服务器、交换机均属于高精密仪器,对防尘要求很高,所以对主机房进行装修时应铺上防静电地板,准备好(电火)灭火器,安装上空调, 以保证机房的恒温,并派专人对主机房的卫生、防尘等具体负责。论文大全。
(6)对移动存储器,借出时要写保护,借入时要先杀毒;
(7)不使用盗版或来历不明的软件,做到专机专用,在公安内网的机器不准联到互联网上使用;
2 、 全方位的系统防御机制
我们常说“病从口入”所以要做到防患于未然,必须切断计算机病毒的传播途径,具体的预防措施如下:
(1)利用防病毒技术来阻止病毒的传播与发作。
为了使系统免受病毒所造成的损失,采用多层的病毒防卫体系。在每台PC机上安装单机版反病毒软件,在服务器上安装基于服务器的反病毒软件,并在网关上安装基于网关的反病毒软件。因为防止病毒的攻击是每个工作人员的责任,人人都要做到自己使用的台式机上不受病毒的感染,从而保证整个指纹系统不受病毒的感染。
(2)应用防火墙技术来控制访问权限。
作为指纹系统内部网络与外部公安网络之间的第一道屏障,防火墙是最先受到重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着公安网络安全技术的整体发展和公安工作中网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。 在系统出口处安装防火墙后,系统内部与外部网络进行了有效的隔离,所有来自外部的访问请求都要通过防火墙的检查,这样系统的安全有了很大的提高。论文大全。防火墙可以通过源地址过滤,拒绝非法IP 地址,有效避免公安网上与指纹工作无关的主机的越权访问;防火墙可以只保留有用的服务,将其他不需要的服务关闭,这样做可以将系统受攻击的可能性降低到最小限度,使非法用户无机可乘;防火墙可以制定访问策略,只有被授权的外部主机才可以访问系统的有限IP地址,保证其它用户只能访问系统的必要资源,与指纹工作无关的操作将被拒绝;由于所有访问都要经过防火墙,所以防火墙可以全面监视对系统的访问活动,并进行详细的记录,通过分析可以发现可疑的攻击行为;防火墙可以进行地址转换工作,使外部用户不能看到系统内部的结构,使攻击失去目标。
(3)应用入侵检测技术及时发现攻击苗头。
入侵检测系统是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要是因为它能够对付来自系统内外的攻击,缩短入侵的时间。
(4)应用安全扫描技术主动探测系统安全漏洞,进行系统安全评估与安全加固。安全扫描技术与防火墙、入侵检测系统互相配合,能够有效提高指纹系统的安全性。通过对系统的扫描,系统管理员可以了解系统的安全配置和运行的应用服务,及时发现安全漏洞,客观评估系统风险等级。系统管理员也可以根据扫描的结果及时消除系统安全漏洞和更正系统中的错误配置,在非法用户攻击前进行防范。
(5)应用系统安全紧急响应体系,防范安全突发事件。
指纹系统安全作为一项动态工程,意味着它的安全程度会随着时间的变化而发生改变。 在信息技术日新月异的今天,即使昔日固若金汤的系统安全策略,也难免会随着时间和环境的变化,变得不堪一击。因此,我们需要随时间和系统环境的变化或技术的发展而不断调整自身的安全策略,并及时组建系统安全紧急响应体系,专人负责,防范安全突发事件。
参考文献:
[1] JonathanPBowen,Kirill Bogdanov,et al.FORTEST: formal methods andtesting.In:26thInternational Computer Software and Applications Conference(COMPSAC 2002).Prolonging Software Life: Development and Redevelopment,England:Oxford,August 2002.91~104
[2] J Dick, AFaivre.Automating the generation and sequencing of test cases frommodel-basedspecifications.In:Proceedings of FME’93, Industrial-StrengthFormal Methods,Odense Denmark, Springer-Verlag.Lecture Notes in ComputerScience,1993,670:268~284
[3] 张 敏,徐 震,冯登国.基于安全策略模型的安全功能测试用例生成方法,软件学报(已投稿),2006
[4] 何永忠.DBMS安全策略模型的研究:[博士学位论文],北京市石景山区玉泉路19号(甲):中国科学院研究生院,2005
[5] National Computer Security Center,A guide to understanding security models intrusted Systems,NCSC-TG-010,1992
[6]蒋平.计算机犯罪问题研究[M].北京:电子工业出版社,2002.
[7]高铭喧.新编中国刑法学[M].北京:中国科学技术出版社,2000.
[8]朱广艳. 信息技术与课程整合的发展与实践[J]. 中国电化教育,2003(194):8- 10.
[9]黄叔武 刘建新 计算机网络教程 清华大学出版社 2004年11 月
[10]戴红 王海泉 黄坚 计算机网络安全 电子工业出版社2004.9.8
[11]丁志芳, 徐梦春. 评说防火墙和入侵检测[J]. 网络安全技术与应用, 2004,(4):37- 41.
[12]周国民. 黑客苏南与用户防御[J].计算机安全, 2005,(7):72-74.
[13]周筱连. 计算机网络安全防护[J].电脑知识与技术( 学术交流) ,2007,(1).
[14]阿星. 网络安全不容忽视[J]. 电脑采购周刊, 2002,(32).
[15]网络安全新概念[J].计算机与网络, 2004,(7).
[16]王锐. 影响网络安全的因素及需要考虑的问题[J]. 计算机教育, 2005,(1).
“我的信息安全吗?”相信所有对信息技术有所了解的人都会存在这个担忧。就我们所使用的IT设备而言,软硬件的安全性将直接影响信息的安全。是否有什么手段来认定软硬件的安全性呢?答案是肯定的,那就是对其进行安全认证。
多年来,嘉兴市辰翔信息科技有限公司致力于IT软硬件安全检测认证,凭借着国际一流的技术,为IT软硬件“盖”上了信息安全的“合格章”。
权威认证覆盖全球
据国家工信部的《2013年电子信息产业统计公报》显示,我国2013年电子信息产业销售收入总规模达到12.4万亿元,同比增长12.7%。在信息安全日益受重视的今天,这意味着巨大的安全认证市场。就全球而言,反病毒软件的检测认证市场销售规模在2亿人民币左右,而安全硬件提供商全球多达几万家,销售额至少在几百亿人民币。检测认证行业作为IT软硬件方案服务提供商的服务商,市场前景巨大。如此大的“蛋糕”,此前一直被AV-TEST、ISCA LABs、Virus Bulletin等几家巨头垄断。
为了打破国外检测机构对计算机安全软硬件检测垄断的局面,辰翔科技通过多年来的理论研究和实践应用研发了一系列符合计算机安全技术潮流发展的检测技术和认证标准,并在一些关键的技术环节大量应用了新的检测标准和检测技术,是大中华区唯一专业从事计算机安全软硬件测试认证的公司,也是公安部计算机病毒应急响应中心的合作伙伴和唯一具有公安机关病毒分析备案的公司。除了自行研发外,辰翔科技还通过与国内高等院校的合作,研究如何将病毒流行度指标应用在计算机安全检测之上,相关论文也已经在国际会议上发表。另外,其关于计算机安全软硬件检测的专用认证标志已经在欧盟、美国和大陆成功注册。
辰翔科技作为全球主要的安全软件检测认证服务提供商,客户基本已经涵盖主要的杀毒软件提供商。值得一提的是,在手机Android操作系统安全测试领域,公司已经基本实现垄断。除了手机端的安全认证外,辰翔科技还与美国微软总部合作研发Windows安全认证体系。目前辰翔科技在全球安全软件测试认证行业主要竞争对手有6个,目标客户覆盖率基本达到国外同行水平。未来,辰翔科技将以电源产品作为切入点,进一步开展通用IT硬件(如CPU、内存、音响制品、显示器等)与安全硬件(如嵌入式反病毒硬件,硬件防火墙,邮件过滤器等)的检测认证工作。
打造全方位“防御体系”
通过从计算机软件到硬件,再加上手机与网站的安全测评,辰翔科技打造了一个全方位的安全防御圈。
安全软件测试
通过测试安全软件的多层防御能力来判断安全软件的综合防御能力。关键技术在于多层实时检测技术,传统的安全软件检测比较单一、一般都只检测安全的一个参数值,比如病毒的查杀率,误报水平等,而辰翔科技对测评体系进行了升级,摆脱单一功能检测无法反映软件综合性能的缺失,目前已经基本运用到日常检测认证中来。
云安全检测认证
辰翔科技采集最新最全的病毒样本,运用高性能的爬虫系统,通过大量的新出现的病毒和常用软件来判断云安全软件对未知病毒的响应能力、白名单库的收集能力和误报水平、云安全技术的稳定性判断,在国内率先提出了云安全检测技术的思路和测试基本框架。
手机安全软件检测认证
通过手机操作系统模拟器或真机来模拟或者重现手机安全软件在各系统上的运行情况,包括对病毒的检测查杀能力、常用功能的比较和不同病毒对手机用户的危害。目前,辰翔科技建立了一套完整的病毒分析流程,可以为杀毒软件公司提供分析支持和软件配套服务。
软件安全性评估
通过代码和行为分析判断软件是否具有恶意行为,对验证无恶意行为的软件颁发认证标志。
非安全软件类软硬件检测认证
通过辅助软件对同类通用软件和硬件进行性能评估和检测认证,对达标产品相对应的认证标志。通用软硬件的测评和认证将由辰翔科技和中国计量学院、浙江质监局共同进行研发,远期将提供市场准入认证和产品改良服务。
网络挂马钓鱼分析系统的建立和网站认证
【关键词】手机杀毒特征码J2MEKVM
据中国互联网络信息中心的《第24次中国互联网络发展状况统计报告》显示,截至2009年6月30日,我国网民规模达3.38亿,其中手机上网用户达1.55亿,占网民的46%,半年内增长了32.1%。人们在享受手机上网带来的便利的同时,却也不得不面对因手机上网带来的安全问题。这些智能手机设备一旦联上网络就会与联网的普通PC一样,立刻暴露在高风险的网络威胁之下,对联网PC的安全已经造成严重威胁的因素,例如病毒、黑客等,也开始对智能手机设备产生同样的威胁。为了解决越来越复杂的智能手机安全问题,各种手机杀毒技术应运而生。本文将主要介绍J2ME技术、基于特征码的病毒扫描技术以及它们在智能手机杀毒系统设计中的应用。
1 J2ME技术
为了推进无线电子商务等业务的发展,J2ME作为用于嵌入式系统的Java被引入无线领域,与J2SE和J2EE一起为无线应用的客户端和服务器端建立了完整的开发、部署环境。J2ME用于为信息家电市场提供应用服务。不同信息家电如移动电话、呼叫器、PDA等有不同的特性和界面,为了满足消费者与嵌入式市场不断发展和多样化的需求,J2ME采用模块化、可扩展的体系结构。它是一个3层的软件模型,构建于本地操作系统之上,如图1所示:
图1 J2ME体系结构
依照各种设备资源特性的不同,J2ME的3层体系架构分为简表层(Profile)、配置层(Configuration)、虚拟机层(Virtual Machine),然后再进一步细分,使J2ME能够在每一类设备的限制下工作,并同时提供最低限度的Java语言功能。
虚拟机层针对设备本地操作系统,支持特定的J2ME配置,包含CVM和KVM。CVM比KVM包含更多的功能和支持更多的特性,KVM是用于J2ME平台的最小的虚拟机。
配置层在3层体系结构中起承上启下的作用,并根据存储和处理能力对设备进行纵向分类,从而对虚拟机特性和基本的类库进行划分。已经标准化的配置有CLDC(Connected Limited Device Configuration)和CDC(Connected Device Configuration)。
简表层建立在配置层基础之上,用以定义与各种设备相关的属性(具体的用户界面、输入机制和数据持久性等)以及特定系列设备上可用的应用程序编程接口(API)的最小集,包括特定用途的类库和API。CLDC上已经标准化的Profile有MIDP(Mobile Information Device Profile)和IMP(Information Module Profile),而CDC上标准化的Profile有FP(Foundation Profile)、PBP(Personal Basis Profile)和PP(Personal Profile)。目前,J2ME领域里使用最广泛的就是MIDP,它主要针对手机和其它双向移动通信而设计。
2 病毒扫描技术
扫描法是用每一种病毒体含有的特定字符串对被检测的对象进行扫描。假如在被检测对象内部发现了某一种特定字符串,就表明发现了该字符串所代表的病毒。在国外,这种按搜索法工作的病毒扫描软件叫SCANNER。扫描法包括特征代码扫描法、特征字扫描法。
病毒扫描软件由两部分组成:一部分是病毒代码库,含有经过特殊选定的各种计算机病毒的代码串;另一部分是利用该代码库进行扫描的扫描程序。病毒扫描程序能识别的计算机病毒的数目完全取决于病毒代码库内所含病毒代码种类的多少。显而易见,库中病毒代码种类越多,扫描程序能认出的病毒就越多。
特征串的扫描法病毒查找软件最大的优点是易于商业化,并且可以依据检测结果做进一步的杀毒处理。缺点是新病毒的特征串未加入病毒代码库时,扫毒程序将无法识别出新病毒,且搜集已知病毒的特征代码费用开销大。
尽管如此,基于特征串的扫描法仍是使用最为普遍的计算机病毒检测方法。
3基于特征码扫描的J2ME手机杀毒系统设计方案
本病毒扫描引擎主要包括4个模块:配置加载模块、特征码加载模块、扫描模块和文件解析模块。四者关系如图2所示。首先,反病毒引擎读取配置文件,将配置信息传递给病毒扫描模块(这部分功能由配置加载模块完成)。然后对前台程序传入的扫描对象文件格式进行解析(由文件解析模块完成),并将解析结果传递给病毒扫描模块。病毒扫描模块利用病毒特征码来扫描解析后的文件,如果文件与病毒特征码匹配,则断定该文件是病毒,给出病毒名,将结果返回给前台程序,否则继续扫描。特征码加载模块主要负责病毒特征码目标文件的加载和维护。在反病毒引擎中至关重要的一块是病毒特征码的提取和维护,病毒特征码提取的准确性和及时性直接影响反病毒引擎的防毒效率。本系统采用的病毒特征码是以16进制表示的ASIIC代码,包括3种病毒特征码的格式,分别是含通配符“*”的字符串格式、含通配符“?”的字符串格式和不含通配符的字符串格式。
图2 病毒引擎模块结构图
3.1 配置加载模块
配置加载模块主要负责引擎配置参数的装入。引擎的配置参数保存在配置文件中,在初始化的时候加载。配置文件主要包括配置文件说明、数据体和配置参数数据。
配置文件说明里包含了配置的版本、配置使用、简要说明等信息,数据体包含了配置参数名以及参数取值,配置参数数据的组织格式是将参数名和取值捆绑存放。在本系统中,配置参数数据的基本格式为“参数名=取值”,主要包括3种类型的参数取值,分别为布尔型参数取值、字符串型参数取值和数值型参数取值。布尔型参数取值的格式为“参数名=yes”或“参数名=no”,主要用在如对扫描文件类型等的判断;字符串型参数取值的格式为“参数名=字符串”,主要用于对临时文件所在路径的说明等;数值型参数取值的格式为“参数名=数值”,主要用于保存包含数字的参数。
3.2 特征码加载模块
特征码加载模块主要负责病毒特征码目标文件库的装入。病毒特征码目标文件库存放对病毒特征码源文件进行加密和压缩处理后得到的特征码目标文件,处理的目的是为了保护病毒特征码的安全。病毒特征码目标文件主要包括两部分:文件头和数据体。
文件头里包含了病毒特征码的版本、加载日期等信息,数据体包含了病毒的特征码值以及病毒名。常见的特征码目标文件的组织格式是将病毒特征码和病毒名捆绑存放,即病毒特征码后面紧跟着其对应的病毒名,其好处是:简单、直接、处理速度快,但存在着资源浪费的问题。在本系统中,病毒特征码的基本格式为“病毒名[偏移值]=特征码值”,比较特殊的包含通配符“*”的特征码表示为“病毒名[偏移值1*偏移值2*偏移值3]=特征码值1*特征码值2*特征码值3”,表示包括多个特征码,并且其在文件中排列顺序为“特征码值1*特征码值2*特征码值3”,其中“特征码值1”对应的偏移值为“偏移值1”。
特征码加载流程如下:
(1)根据配置文件,遍历病毒特征码文件,若为文件,则解析该文件,若为文件夹则循环遍历;
(2)解析特征码文件,读取目标文件头,获取相关信息;
(3)对特征码目标文件的数据体进行解密;
(4)按照以下步骤逐一解析每节数据,并装入到相应的病毒特征码容器中:①读取一条病毒特征码及其偏移值offset;②利用offset恢复病毒名及特征码值;③调用加载函数,解析并加载病毒特征码;④继续解析下一条病毒特征码。
3.3 文件解析模块
文件解析模块主要由文件夹检测模块,文件类型检测、解压缩模块,文件读取模块等组成。文件夹检测模块负责识别输入对象的类型,如果是文件,则进行下一步操作;如果是文件夹,则轮询读取它下面的所有文件,放入文件列表中,逐一进行处理。文件类型检测模块判断是否为压缩文件,然后决定下一步操作。如果是压缩文件,则解压缩直至其解压后的结果不包含压缩文件,并对每一个解压结果进行处理。解压缩模块负责对打包文件进行解压缩。文件读取模块将每一文件转换成二进制流的样式,交由病毒扫描模块进行特征码匹配。文件解析模块的实现流程如图3所示:
图3 文件解析模块的实现流程图
3.4病毒扫描模块
病毒扫描模块的主要功能是对解析后的文件进行扫描。它利用特征码加载模块提供的病毒特征码去扫描文件,如果发现病毒,则提交异常事件,根据配置进行处理。如果是对单个文件进行扫描,就通知前台程序,由前台决定下一步操作;如果是对文件夹进行扫描,则记录这条扫描结果,继续进行下一个文件的病毒扫描,直到全部完成后提交前台处理。
病毒扫描模块的实现流程:①成功加载最新的病毒特征码,这部分功能通过调用病毒特征码加载模块完成;②病毒扫描模块接收由文件解析模块发送的扫描文件;③对解析后的文件类型进行判断;④根据文件类型调用相应的处理程序,进行扫描;⑤如果命中病毒特征码,引擎发送相应的事件通知前台程序;⑥检查前台返回标志,决定下一步操作。
4 测试与分析
KVM虚拟机上的病毒扫描引擎测试结果如表1。由表可知,扫描引擎基本能对包括压缩文件、文件夹和文本文件在内的对象进行扫描并检出包含病毒特征码的文件及病毒信息。
表1病毒扫描结果表
5 结束语
迄今为止,手机的安全性日趋受到人们的关注,随着J2ME技术的成熟和反病毒技术的发展,对手机病毒进行有效处理逐渐成为了可能。本文主要介绍了基于病毒特征码扫描技术的J2ME手机病毒扫描引擎的设计及具体实现方法,并对不同类型的文件进行了测试,取得了比较满意的结果。将本系统的源程序经过适当修改,便可开发出功能更加强大的手机反病毒软件,给手机网络功能的使用带来更多的安全保障。
参考文献
[1]巫喜红,凌捷. 单模式匹配算法研究[J]. 微计算机信息,
2006(22):8-3.
[2]汪永松. J2ME手机高级编程[M]. 北京:机械工业出版社,2009.
[3]孔维广. 手机病毒的传播原理与对策分析[J]. 武汉科技学院学报,2007(9).
[4]王海坤. 手机病毒的分析及研究[J]. 科技资讯,2009(8).
[5]翁晓奇,李妙旎,于浚,等. 基于3G网络的手机病毒分析[J]. 科协论坛,2009(9).
【作者简介】