计算机病毒传染的数学模型和防止其传染的措施

　　计算机病毒传染的数学模型和防止其传染的措施

　　摘要 本文从计算机病毒传染的四种基本环节八手， 建立数学模型并结合具体例子进行分析井由此系境地推出一系列防止计算机病毒传染的措施， 从而寿计算机病毒的仿治工作研究提供一条新思路。

　　一、引 言

　　计算机病毒（以下简称cv ）一词来源于医学术语。病毒 ，是因为cV与生物病毒有许多相似之处， 具有很多共同特点。本文在研究思路上，~fl!cv 的特点，从～ 个新的角度，提出了cV传染的四种基本环节（传染源、传播途径、易感宿主和传染条件），基于这种新概念建立了数学模型， 并推出了一些反病毒原则、措施，使许多措施进一步条理化和可以科学化。笔者正是在这种思想的指导下进行反病毒研究， 并在实践中取得了一定效果。

　　二、生物病毒与计算机病毒

　　从现代医学的角度看， 生物病毒的传染有几个基本环节：传染源， 传播途径， 宿主（被病毒侵害的生物）的易感性、环境因素等 。

　　例如：甲型I扦炎病毒寄生在人或动物（如毛蚶）中，健康人接触了这些人或动物就易染上甲I扦，这些人或动物就是传染源}流感病毒通过空气传染，空气就是其传播途径|天花病毒进入人体后， 人体就是其宿主，若人体没有对它的免疫能力， 宿主的易感性就强， 病毒传染又需要一定的环境因素， 如： 温度、湿度等。

　　根据cV的重要特点（可修改其它程序使之含有CV 自身或其修改版本）， 我们也可以将CV传染过程划分出4种基本环节；A）传染源，B）传播途径J c）易感宿主，D）传染条件。传染源就是可以散播CV的程序。

　　宿主就是被CV侵袭的计算机程序或部件或系统。易感染某CV 的称为该CV 的易感宿主。

　　可见，宿主不一定是传染源，但多数情况下，宿主通常含有传染源或宿主本身就成了传染源传播途径就是CV由传染源到达宿主内部所经之途径·传染条件就是CV从宿主内部为进行第二次传染而进入传播途径所必需的条件。

　　就以IBM-PC上流行的CV举例来说I带有CV的DOS 或磁盘文件等是传染源，如{ 小球 病毒（Bouncing Bal1）、“巴基斯坦脑 病毒（Brain）， ”大麻 病毒（Marijuana）等的传染源是DOS 引导程序和该CV本身}

　　Lehigh病毒传染源是染了该cV的系统文件COMM AND·COM}EXE外壳型崭毒的传染源是其侵染的扩展名为EXE的可执行文件。传播途径可以通过磁盘读／写或网络信息传送。PC的主机或硬盘等通常成为CV 的易感宿主。传染条件则很多， 如：Lehigh病毒需要被攻击盘上有COMMAND·COM文件才能进行传染，还需要用户调用中断2血} 脑 病毒需要用户调用中断1 3h等}有的CV还需要时间符合一定的要求， 如。维也纳 病毒（Viena）等等。尽管这些传染条件可以千差万别，但我们可以抓住它们的一个根本共性： 它们都需要在某个时刻获得CPU的执行。这里称此条件为平凡条件。其余条件称为非平凡条件。显然；△ 平凡条件是CV转入动态的充要条件，是CV 传染的必要条件， 非平凡条件只是某些CV传染的必要条件。

　　由CV的Frederick Cohen定义 ，我们可以得出{传染源通常由CV和被cV侵染的程序组成，CV的结构可分为两部分 传染机制和CV 愿意携带的任何代码。因此， 当计算机要执行被CV 侵染的程序时， 实际上是执行了传染源，CV就会在某个时刻拦截， 不但可以进行传染， 还可以进行任意操作（取决于CV携带的代码）。本文只讨论CV的传染， 不讨论它的其它操作。

　　图1中画出了从cV制作者到计算机受直接感染的过程（称为第一阶段，包括环节A、B、C，困是在第一阶段，故称为环节A-、B 、C ），还画出了cvg0进入第二阶段（传染第二个宿主， 包括环节D z?B C z） 图中虚线表示该连绂可有可无 从图1可知{CV 制作者释放的传染源IS1中的CV1混杂在正常传送信息中，通过传播途径进入第一个宿主中， 在其中加载于其它程序中形成IS2， 完成了第～ 阶段的传染， 经历了环节A 、B-、C……CV1获得传染条件（环节D ）后可通过折的传播途径（环节B ）到达新的宿主（环节C。），完成第：阶段的传染。依此类推，第3阶段包括环节D 、B。、C。，？？，第n阶段包括环节、D 、B ，C 。CV2可以与cVl一样，也可以是其修改敝本；IS2与ISl也可以～ 样或一样。这些cv在传染中都是可以不断演变的，取决于CV的程序设计，从而造成；△CV1，CV2、？ 、CVn可以完全相同或部分相同或互不相同。从而导致各阶段的传染源、传播途径，宿主和传染条件也可以完全相同或部分相同或互不相同VCV在每个阶段中可传染多次…同一阶段中可有多个同种基本环节设第1阶段的环节A1，Bl，C J分别有多个：Al“，？、A ，Bl”，？ ，BJ ，c ‘、？Cl（kn ，第2阶段有I D ’、？Dt（ ），B[±1‘、？、BI k拈），c 、？ 、Cl ， 依此类推至n， 并设每一个环节为～ 结点， 对任意两点v。、v-， 若 CV从v.蓟达 b 不是不可能事件， 月Ⅱ从v。至v-连一有向线（指向v-）。这样我们就建立起一个描述CV传染可能性的有向图模型M1o 以后我们就可以用图论方法对CV的传染进行研究了。

　　四种基本环节紧密相连地描述了CV的传染过程， 在模型M1中，边e=<v。，v >仅表示CV可以从v.到v…有l△Ml中重边与单边意思一样，都表示CV可从该边一端点沿指定方向到达另一端点。另外， 若D种环节上有自环，通常是由于CV程序中使用转移指令从CV跳Ncv， 如死循环等。由于本文只讨论CV传染， 可忽略所有自环。由此有t去掉自环和重边（只留下重边中的一条）的Ml称为模型M1。

　　显然，M1’的图都是简单图， 如图2。那么我们可以用邻接矩阵 等方法描述它， 为研究CV的传播提供了有力的工具（尤其是用于研究计算机网络中的CV传播）。

　　三、对付CV传染的对策

　　△只有从理论上和实践上解决自动识别cV的问题，才有可能完全杜绝cV的流行或看出完全杜绝的可能性}在此之前，cV的流行在理论上说是不可避免的。

　　由模型M4， 易得：AcV的传染能力体现在它在各环节中的生存（在结点中存在）能力和突防（从一结点到选另～ 结点）能力。

　　例如：若图2l。路径中每个环节的概率都降至÷，~0P（I-）=（{） =1.56 ，可见，△若在每一千环节都尽最大努力阻止CV通过，剐可使受染机会大大减小，从而有效地控制住CV的流行。这是一条反CV原卿IJ， 是本文所有反CV措施的指导思想。

　　四、四种基本环节对应之对策的具体实现方法

　　1. 对簟① 的方法：

　　1.早发现；对重要系统软件、应用软件及数据备份，还要贮存它们的长度、日期等参数，放入安全区域，定期或不定期与机器内的进行比较（注意比较时不要使之受染）J运行各种CV检查软件， 等等

　　2.早隔离； 发现确定受染或怀疑受染的程序应在允许的情况下立即停止使用， 并贴上标志。

　　3.早报告建议各单位应设立登记机构，各机房发现的CV都应上报该柳构（报告CV出现时间、次数、特性 受染面积等）， 由该机构迅速作出反应以进一步对付CV （初步措施已当场实行了）。对于薪种CV建议上报国家有关部门a4.早消毒发现CV后应尽早对机器进行消 毒“， 若市面上已有消”毒 程序的应购置使用，若没有而又急需消 毒 且情况允许的话，可使用格式化磁盘等方法消灭传染源a2. 对簟② 的方法：

　　健全有关CV方面的法制工作， 加强领导、计划、管理o3. 对簟③ 的方法：

　　1.不非法拷贝软件。这样受CV攻击的机会会少些， 且受染后还可获得一定程度的赔偿。

　　2. 不使用不知底的软件，尽量不玩游戏。

　　4. 对簟④ 的方法：上机前的磁盘（尤其外来的1都应经过检验；有条件的可设立专门机器用于试验运行，观察一段时间有利于使隐藏得不深的CV暴露出来。

　　5. 对簟@的方法：

　　1.保护硬盘（对耀机）硬盘加 软 锁或设置掉是个很有效的方法。例如 禁止CV调用DOS中断写硬盘的“软锁对目前流行的部分CV都有作用。

　　但”软“锁可用”软“方法打开，CV 可以找漏洞，毕竟不太保险，建议计算机生产厂家考虑在硬盘上添一个write—protect开关，OFF时可读可写，ON时只读， 用硬件控制使磁头在ON时不能写。这样即使不知遭软盘是否带有CV 也可以在将开关置成ON时放心运行软盘了， 而不致于使硬盘受CV攻击。

　　2. 保护软件充分运用write—protect封121。对一般不改动的软件（无CV的）存在软盘上，贴上write—protect封13，无论何时都不要把封口撕下，就能完全防止CV入侵这类软件，这是最常用又最有效的方法之一。

　　对于需要读、写的软盘， 在读盘耐要贴上封口， 写的时候摘掉，这样也能减少受CV侵. 袭的机会， 因为cV入侵主机后每一次磁盘操作都可能是CV的一次作用机会， 尤其是对于具有”滚雪球 性质的CV，每一次都会进行传染。

　　另外， 贴上封口后还有助于及早发现CV， 如：Lehigh病毒传染时没有判别是否写得进， 当用户贴上封口后列目录时就会出现写保护错， 有经验的用户会马上发现这是异常现象， 从而可通过检查发现CV。

　　将一般不作更改的程序置Read Only属性（只对少数CV有用）。

　　软件加密也是一个有效方法， 还可较容易地发现的CV入侵。

　　6. 对策@的方法在磁盘中注入己受染标志可以使部分CV主动不入侵 .

　　例如： 在IBM-PC D0s引导区注入1357h可使 小球 病毒不入侵， 注入1234h~7“使。脑病毒不入侵， 等等。

　　这为那些因经常存取而不能置write—protect的磁盘提供了一种防护方法。

　　7.对策⑦ 的方法。

　　1. 运用方法1.1进行软件备份， 在受到CVJX侵后只需将备份复制回系统中即可部分或全部地迅速恢复系统的工作。

　　2.每次启动时运行消CV软件， 启动后也应经常运行并检查内存。对己用方法6的盘不需运行消该种cV （即己被”免疫 的）的软件。

　　8.对策⑥的方法为了时刻防止CV的入侵，从整体安完性出发，可配套采用一个或多个中断处理程序（单机系统中）或～ 个CPU（多机系统中）或一台机（在阿络中）运行通用的或只 某些CV的检浏程序， 在机器工作期问负责安全工作。对于未来通用的检测程序还可以考虑固化在计算机中。

　　9.对策⑨、⑩之方法在硬盘已遭CVJk侵后禁止cV运行的一个办法是。尽量使用备份的（无cv 的）巳贴写保护封口的软盘程序，那么即使cv入侵硬盘，只要我们不执行它，它也无法进入主机。例如； 设立一块无 毒 的DOS盘专用于启动， 不用硬盘启动。

　　lO. 补充说明以上方法反映了对策思想， 包含了许多管理方法，有些可大量采用， 个别的需付出时间或设备作为代价， 因此要视具体情况而定，例如数据的重要性，是否要害部门以及可能造成的受染面积等。在条件允许时应尽量采用， 这符合上文中提到的指导思想。

　　五、应用~a-IBM-PC防CV传染措施

　　1. 非文件形式的CV主要是引导型CV（属操作系统CV）。目前除了上文提到的 小球 CV等外，这类CV还有： “幻影BOOT 版 （Ghost Boot Version）， 磁盘杀手 （Disk Killer）、 五角大楼”

　　（Pentagon）、 色列入 （Israeli Boot）、 俄亥俄 （Ohio）等。

　　这类CV的传染源为DOS Boot程序，传播途径是通过磁盘启动载入，宿主为内存或磁盘尤~t；Boot区，非平凡条件多种多样。

　　对付这类CV可用方法1～9。其中方法9可完垒切断这类CV的流行，即 每次启动都用专用的DOS软盘（无CV的， 己贴封口）a其原理在于完全切断了引导型cV的传播途径。

　　2. 文件中的CV这类CV的宿主为磁盘文件。例如： 里斯本 （Lisbon）、。爱滋病 （AIDS）、。魔鬼的舞蹈 （Devil'S Dance）、“数据库 （dBase）病毒感染COM文件，。发薪日 （Payday）星期日 （Sunday）、”新耶路撒冷 （New Jerusalem）病毒感染EXE、COM 及复盖文件，还有感染EXE、COM文件的Yartkee Doodle病毒， 等等。

　　这类CV的传染源一般是受感染程序， 传播途径主要是通过磁盘读／写， 宿主为内存或磁盘文件， 非平凡条件多种多样。

　　对付这类CV：

　　1. 对于已出现且可从文件中准确识别的， 使用方法1、4可切断其流行， 原因是切断了传染源和传播途径这两种环节。

　　2. 对于未来出现的或目前虽已出现但暂无法从文件中识别的， 无法完全切断其流行，只能：

　　a）尽量采用方法1～9进行普遍性防范，b）尤其运用方法9， 对软盘分类管理、合理使用，可避免许多文件中CV的入侵， 其原理是避开了许多传染源，使CV通过A种环节的概率大大降低，c）用petools检查内存容量发现DOS报告容量与实际容量有差别， 可怀疑是CV驻留内存了（方法7.2）。

　　实践证明，尽量采用（四）中的方法， 实行科学管理、加强领导， 防止CV 流行是司以取得较好效果的。

　　参考文献

　　[1]南开大学，武汉大学、复旦大学，四JIl大学，普通生物学·高教出版社·1985年·

　　[2]捌尊垒，计算机疠毒的危害及其防范。甘算机信且报·l口89年1O月17日·

　　[3] 王学海译，计算机病毒定义，计算机安全与加固·1990.1.