觀點

資訊戰與電腦病毒對抗(下)

2003 / 03 / 17
資訊戰與電腦病毒對抗(下)

文/張勝 (中國建設銀行湖南省分行科技處)


電腦病毒對抗技術包括攻防兩大部分:病毒攻擊技術和病毒防禦技術。病毒攻擊的目的是利用病毒來干擾和摧毀敵方的資訊系統,病毒防禦的目的則是保護自己的資訊資源,抵禦敵方病毒的侵入和干擾。在電腦病毒對抗中要作到攻防兼備,而攻擊就是最好的防禦。
電腦病毒對抗優勢
與資訊戰中的其他作戰方式相比,採用電腦病毒對抗有很大的優勢,它主要表現在以下幾個方面:


隱蔽性:

電腦病毒的寄生、傳染、觸發都在後臺完成,一般系統在受到破壞後才被發現,若不使用專門工具很難查出病毒,況且病毒軟體常對新出現的病毒無能爲力。


擴散性:

電腦病毒繁殖能力強、傳播速度快,電腦系統本身的弱點及電腦網路化使電腦病毒廣泛傳播。一旦病毒發作,就會席捲整個網路甚至資訊戰的指揮控制系統。


潛伏性:

資訊戰其他干擾方式一般都有時效性,而電腦病毒一旦侵入,便能長期潛伏。


多能性:

電腦病毒具有各種類型,可以針對和攻擊各種作業系統及各個應用領域,甚至無需任何預先資訊。


破壞性:

電腦病毒能使資訊戰中敵方指揮控制系統和武器系統失靈或誤報資訊,從而取得資訊戰的勝利。



病毒攻擊技術
病毒攻擊技術是電腦病毒對抗技術的一個重點,也是資訊戰的研究重點。病毒攻擊技術主要包括:病毒研製、病毒注入、病毒傳播、病毒觸發、病毒干擾、電腦偵察等技術。


病毒研製:

病毒研製是進行病毒攻擊的準備,針對不同類型的目的、不同的攻擊目的,研究不同的病毒體和病毒載體。根據不同的病毒類型、機理和病毒宿主,建立相應的數學模型,規劃病毒儲存方式和傳播途徑。


病毒注入:

病毒注入是病毒攻擊的第一步,是個高難度的技術問題。病毒注入技術研究的是注入機理和注入方式。病毒注入方式有兩種:a)無線注入方式-利用無線通信系統,遠距離地將電腦病毒發送並進入對方接收系統;b)有線注入方式-主要是經網路的病毒注入。


病毒傳播:

病毒傳播技術主要研究傳播機理及耦合方式。目前已知的耦合機制有如下四種:


a)前門耦合:採用系統本身正常傳播媒體,如收發設備、天線、通信線等,將病毒注入目標系統,並使之傳播到與感染系統相連的所有其他系統。

b)後門耦合:採用與系統不同的媒體,進入並干擾系統。如通過電源系統、溫控系統、推進系統,以及穩定系統等進行干擾。

c)直接耦合:利用正常通信手段,直接將病毒注入目標系統。利用敵方接收系統工作期間,以其對應的接收頻率發送含有病毒的資料。

d)間接耦合:利用病毒的傳染性,將病毒注入從目標系統的安全防禦最薄弱環節開始,如:常規軍用接收機、網路中的一個站點、互聯網中的民用電腦等。





病毒潛伏:

病毒潛伏技術主要研究潛伏機理和方式,宿主機的體系結構和存儲模型,病毒體的僞裝、反跟蹤、欺騙技術,解決病毒體駐留、定址、索引指向等問題。


病毒觸發:

主要研究激勵機制和觸發條件問題,針對宿主機程式調用、運行、裝載、中斷以及系統輸入輸出方式和機制,確定病毒的引發邏輯條件、時間條件、中斷條件和綜合條件。



病毒干擾:

病毒干擾是最終目的,干擾方式有多種,破壞機制與功能也不同。常見的干擾方式有以下幾種:


a)特洛依木馬:指包含了邏輯炸彈、時間炸彈等一類潛伏型、條件觸發型的惡意程式。條件和方式均可預製,等病毒現象表現出來,則爲時已晚。

b)強迫檢疫:病毒進入目標系統後即表現自己,公開宣告病毒存在。此時,系統操作員被強迫進行系統檢疫,做病毒檢測、診斷。如此一來,整個系統和網路處於一種自疑狀態、不穩定狀態。

c)超載:這種干擾主要降低系統性能,使之不能以正常速度運行。例如,病毒在系統中無限制地自身複製,搶佔運行時間、阻塞通信通道、佔據存儲空間等。

d)探針:這是一種負有特殊任務的程式負責尋找和搜尋某些專門資料,並將它們自己或者找到的資料存放或傳送到一個專門的地點。

e)刺客:這是病毒直接攻擊的一種方式。注入的病毒摧毀和破壞某個專門文件、資料和存儲結構。它可通過網路在任何地點查找,直到找到目標。這種病毒在傳播過程中消除自己,完成任務後自毀,不留下任何痕迹。



電腦偵察:

這是研究如何進行目標搜索、識別、分析和確認的技術,從衆多的資訊中去粗取精、去僞存真,爲病毒攻擊做準備。

病毒防禦技術
病毒防禦技術包括主動與被動的防禦,資訊戰中只攻不防的軍事系統是不完整的,也是脆弱的。病毒的交叉、變形、融合和多態性,使病毒的檢測、消除和系統恢復變得十分困難。病毒防禦技術主要有:病毒研究,病毒檢測、病毒消除、病毒免疫、系統恢復、病毒預防、反病毒産品研製等。


病毒研究:

防禦資訊戰病毒的研究不同於研究攻擊性病毒,它主要研究已經出現的電腦病毒,進行病毒標本採集,分析病毒體及其機制,制定對策。同時,對病毒標本進行標準化,建立病毒標本庫。


病毒檢測:

病毒檢測的目的是發現、確認和報告是否有病毒,爲病毒的消除提供依據。檢測技術非常靈活,包括靜態檢測、動態檢測及綜合判斷,也牽涉到宿主機的系統體系結構、資料結構和存儲模式。


病毒消除:

病毒被確認後就必須進行病毒體清除,對早期病毒(或稱爲第一、二代病毒)是可能完全清除的;而對現代病毒,包括變異病毒(或稱爲第三、四代病毒)有可能無法完全清除,如果強制清除,則可能損壞文件或影響到系統的正常恢復,甚至造成死機、系統崩潰、資料遺失和系統的不可恢復。


病毒免疫:

病毒免疫是指系統曾經感染過病毒,已經被清除,如果再有同類病毒攻擊,將不再受感染。免疫法多基於感染標誌來判定,這對某些早期病毒是有效的。目前有的病毒採用強制感染,對系統和軟體進行重復感染。


系統恢復:

消除病毒後系統不一定能夠恢復到以前的正常運行環境。例如,病毒改變了系統配置參數、運行指標、表格變數、中斷向量、存儲位址、資料結構等,有的甚至是破壞性改動(如刪除、覆蓋等),這樣就不可能恢復到原運行狀態。目前常見的系統恢復方法分爲完整恢復(完全恢復到感染前的環境),部分恢復(只恢復關鍵參數,但不影響系統執行),系統重啓(放棄目前環境,重新啓動和運行),系統替換(重裝系統,或者使用備用系統或備份軟體)。


病毒預防:

病毒預防主要研究如何對未知和未來病毒具有防禦能力。理論上不能預知未來病毒的機制。沒有任何防毒軟、硬體可以防止未來的病毒,反病毒技術的被動性和技術制約也往往落後病毒技術。因此,只能立足於系統自身的安全性和系統自行保護,以及軟體本身的保護功能。


反病毒産品研製:

病毒對抗技術的應用研究是反病毒系統、硬體與軟體産品,包括系統安全卡、防病毒卡、反病毒軟體、病毒檢測清除軟體、病毒篩檢程式等,以及對這些産品效能的評價。

結語
在資訊化時代,國家公共基礎設施是資訊戰的載體。我們必須提高全民族對資訊安全的重視程度。資訊戰從根本上講是由人來打的,所以培養適應資訊戰要求的合格人才是根本大計。在這場競爭中,誰主動、誰敏感、誰重視,誰就可取得資訊戰主動權。成功地掌握和運用資訊戰技術及武器將在未來的資訊戰中出奇制勝。