教你检测硬盘与内存中病毒的痕迹

“侯佩层”通过精心收集，向本站投稿了5篇教你检测硬盘与内存中病毒的痕迹，以下是小编为大家整理后的教你检测硬盘与内存中病毒的痕迹，希望对大家有所帮助。

篇1：教你检测硬盘与内存中病毒的痕迹

要进行传染，必然会留下痕迹，生物医学病毒如此，电脑病毒也是一样。检测电脑病毒，就要到病毒寄生场所去检查，发现异常情况，并进而验明“正身”，确认电脑病毒的存在。电脑病毒静态时存储于硬盘中，被激活时驻留在内存中，因此对电脑病毒的检测可以分为对硬盘的检测.

一般对硬盘进行病毒检测时，要求内存中不带病毒，因为某些电脑病毒会向检测者报告假情况。例如“4096”病毒在内存中时，查看被它感染的文件，不会发现该文件的长度已发生变化，而当在内存中没有病毒时，才会发现文件长度已经增长了4096字节;又例如，“DIR2”病毒在内存中，用Debug程序查看被感染文件时，根本看不到“DIR2”病毒的代码，很多检测程序因此而漏过了被感染的文件;还有引导区型的“巴基斯坦智囊”病毒，当它活跃在内存中时，检查引导区就看不到病毒程序而只看到正常的引导扇区。因此，只有在要求确认某种病毒的类型和对其进行分析、研究时，才能在内存中带毒的情况下作检测工作。

从原始的、未受病毒感染的DOS系统软盘启动，可以保证内存中不带病毒。启动必须是上电启动而不是按键盘上的“Alt+Ctrl+Del”三键的那种热启动，因为某些病毒可以通过截取键盘中断，将自己驻留在内存中。检测硬盘中的病毒，启动系统软盘的DOS版本号应该等于或高于硬盘内DOS系统的版本号。如果硬盘上使用了硬盘管理软件DM、ADM，硬盘压缩存储管理软件Stacker、DoubleSpace等，启动系统软盘时应把这些软件的驱动程序包括在软盘上，并把它们写入config.sys文件中，否则用系统软盘引导启动后，将不能访问硬盘上的所有分区，使躲藏在其中的病毒逃过检查。

检测硬盘中的病毒可分成检测引导区型病毒和检测文件型病毒。这两种检测的原理上相同，但由于病毒的存储方式不同，检测方法还是有差别的。主要是基于下列四种方法:比较被检测对象与原始备份的比较法;利用病毒特征代码串进行查找的搜索法;搜索病毒体内特定位置的特征字识别法;运用反汇编技术分析被检测对象，确证是否为病毒的分析法。

比较法

这是用原始备份与被检测的引导扇区或被检测的文件进行比较的方法，可以用打印的代码清单(比如Debug的D命令输出格式)进行比较，也可用程序来进行比较(如DOS的DISKCOMP、COMP或PCTOOLS等其它软件)。比较法不需要专用的查病毒程序，只要用常规DOS软件和PCTOOLS等工具软件就可以进行，而且还可以发现那些尚不能被现有的杀毒软件发现的计算机病毒。因为病毒传播得很快，新病毒层出不穷，而目前还没有能查出一切病毒的通用程序，或通过代码分析，可以判定某个程序中是否含有病毒的查毒程序，所以只有靠比较法和分析法，或这两种方法相结合来发现新病毒。

对硬盘的主引导区或对DOS的引导扇区作检查，用比较法能发现其中的程序源代码是否发生了变化。由于要进行比较，因此保留好原始备份是非常重要的。制作备份时必须在无电脑病毒的环境里进行，制作好的备份必须妥善保管，写好标签，贴好写保护。比较法的好处是简单、方便，不用专用软件;缺点是无法确认病毒的种类名称。另外，造成被检测程序与原始备份之间差别的原因尚需进一步验证，以查明是电脑病毒造成的，还是DOS数据被偶然原因，如突然停电、程序失控、恶意程序等破坏的。这些要用到以后讲的分析法，查看变化部分代码的性质，以此来确认是否存在病毒。

搜索法

这种方法主要是对每一种病毒含有的特定字符串进行扫描，如果在被检测对象内部发现了某一种特定字节串，就表明发现了该字节串所代表的病毒，

国外称这种按搜索法工作的病毒扫描软件为“Scanner”。这种病毒扫描软件由两部分组成:一部分是病毒代码库，含有经过特别选定的各种电脑病毒的代码串;另一部分是利用该代码库进行扫描的扫描程序，病毒扫描程序能识别的电脑病毒的数目完全取决于病毒代码库内所含病毒种类的多少。

病毒代码串的选择是非常重要的，短小的病毒代码只有一百多个字节，长的也只有10KB字节。一定要在仔细分析程序之后选出最具代表特性的，足以将该病毒区别于其它病毒和该病毒的其它变种的代码串。一般情况下，代码串是由连续若干个字节组成的，但是有些扫描软件采用的是可变长串，即在串中包含有一个到几个“模糊”字节。扫描软件遇到这种串时，只要除“模糊”字节之外的字串都能完好匹配，就也能够判别出病毒。另外，特征串还必须能将病毒与正常的非病毒程序区，不然就会出现“假报、误报”。特征字识别法

这是基于特征串扫描法发展起来的一种方式，运行速度较快、误报频率较低。特征字识别法只须从病毒体内抽取很少的几个关键特征字，组成特征字库。由于需要处理的字节很少，又不必进行串匹配，因此大大加快了识别速度，当被处理的程序很大时，用这种办法比较合适。由于特征字识别法更注意电脑病毒的“程序活性”，因此减少了错报的可能性。使用基于特征串扫描法的查病毒软件方法与使用基于特征字识别法的查病毒软件方法是一样的，只要运行查毒程序，就能将已知的病毒检查出来。这两种方法的使用，都须要不断地对病毒库进行扩充，一旦捕捉到病毒，经过提取特征并加入到病毒库，就能使查病毒程序多检查出一种新病毒来。

分析法

这种方法一方面可以确认被观察的磁盘引导区和程序中是否含有病毒，另一方面可以辨认病毒的类型和种类，判定是否为一种新病毒，另外还可以搞清楚病毒体的大致结构，提取用于特征识别的字节串或特征字，增添到病毒代码库中供病毒扫描和识别程序使用。同时，详细地分析病毒代码，还有助于制定相应的反病毒方案。

与前三种检测病毒的方法不同，使用分析法检测病毒，除了要具有相关的知识外，还需要使用Debug、Proview等分析工具程序和专用的试验用计算机。因为即使是很精通病毒的技术人员，使用性能完善的分析软件，也不能完全保证在短时间内将病毒代码分析清楚;而病毒则有可能在被分析阶段继续传染甚至发作，把软盘、硬盘内的数据完全毁坏掉，所以分析工作必须在专门的试验用PC机上进行，不怕其中的数据被破坏。不具备必要的条件，不要轻易开始分析工作。

很多电脑病毒采用了自加密、抗跟踪等技术，使得分析病毒的工作经常是冗长枯燥的。特别是某些文件型病毒的源代码可达10KB以上，与系统的牵扯层次很深，使详细的剖析工作十分复杂。病毒检测的分析法是反病毒工作中不可或缺的重要技术，任何一个性能优良的反病毒系统的研制和开发都离不开专门人员对各种病毒详尽、认真的分析。

分析法分为静态和动态两种。静态分析是指利用Debug等反汇编程序将病毒代码打印成反汇编后的程序清单进行分析，看病毒分成哪些模块，使用了哪些系统调用，采用了哪些技巧，如何将病毒感染文件的过程翻转为清除病毒、修复文件的过程，哪些代码可被用做特征码以及如何防御这种病毒等等。分析人员的素质越高，分析过程就越快，理解也就越深;动态分析则是指利用Debug等程序调试工具在内存带毒的情况下，对病毒作动态跟踪，观察病毒的具体工作过程，以进一步在静态分析的基础上理解病毒工作的原理。在病毒编码比较简单的情况下，动态分析不是必须的。但是，当病毒采用了较多的技术手段时，就必须使用动、静相结合的分析方法才能完成整个分析过程。

综上所述，利用原始备份和被检测程序相比较的方法适合于不用专用软件，可以发现异常情况的场合，是一种简单、基本的病毒检测方法;扫描特征串和识别特性字的方法更适用于广大PC机用户使用，方便而又迅速;但对新出现的病毒会出现漏检的情况，须要与分析和比较法结合使用。

通过采取技术上和管理上的措施，电脑病毒是完全可以防范的。

篇2：硬盘及内存检测病毒绝招

Jct767{display：none；}

病毒要进行传染，必然会留下痕迹，生物医学病毒如此，电脑病毒也是一样。检测电脑病毒，就要到病毒寄生场所去检查，发现异常情况，并进而验明正身，确认电脑病毒的存在。电脑病毒静态时存储于硬盘中，被激活时驻留在内存中，因此对电脑病毒的检测可以分为对硬盘的检测和对内存的检测。

一般对硬盘进行病毒检测时，要求内存中不带病毒，因为某些电脑病毒会向检测者报告假情况。例如4096病毒在内存中时，查看被它感染的文件，不会发现该文件的长度已发生变化，而当在内存中没有病毒时，才会发现文件长度已经增长了4096字节；又例如，DIR2病毒在内存中，用Debug程序查看被感染文件时，根本看不到DIR2病毒的代码，很多检测程序因此而漏过了被感染的文件；还有引导区型的巴基斯坦智囊病毒，当它活跃在内存中时，检查引导区就看不到病毒程序而只看到正常的引导扇区。因此，只有在要求确认某种病毒的类型和对其进行分析、研究时，才能在内存中带毒的情况下作检测工作。从原始的、未受病毒感染的DOS系统软盘启动，可以保证内存中不带病毒。启动必须是上电启动而不是按键盘上的Alt+Ctrl+Del三键的那种热启动，因为某些病毒可以通过截取键盘中断，将自己驻留在内存中。检测硬盘中的病毒，启动系统软盘的DOS版本号应该等于或高于硬盘内DOS系统的版本号。如果硬盘上使用了硬盘管理软件DM、ADM，硬盘压缩存储管理软件Stacker、DoubleSpace等，启动系统软盘时应把这些软件的驱动程序包括在软盘上，并把它们写入config.sys文件中，否则用系统软盘引导启动后，将不能访问硬盘上的所有分区，使躲藏在其中的病毒逃过检查。

检测硬盘中的病毒可分成检测引导区型病毒和检测文件型病毒。这两种检测的原理上相同，但由于病毒的存储方式不同，检测方法还是有差别的。主要是基于下列四种方法：比较被检测对象与原始备份的比较法；利用病毒特征代码串进行查找的搜索法；搜索病毒体内特定位置的特征字识别法；运用反汇编技术分析被检测对象，确证是否为病毒的分析法。

比较法

这是用原始备份与被检测的引导扇区或被检测的文件进行比较的方法，可以用打印的代码清单（比如Debug的D命令输出格式）进行比较，也可用程序来进行比较（如DOS的DISKCOMP、COMP或PCTOOLS等其它软件），

比较法不需要专用的查病毒程序，只要用常规DOS软件和PCTOOLS等工具软件就可以进行，而且还可以发现那些尚不能被现有的杀毒软件发现的计算机病毒。因为病毒传播得很快，新病毒层出不穷，而目前还没有能查出一切病毒的通用程序，或通过代码分析，可以判定某个程序中是否含有病毒的查毒程序，所以只有靠比较法和分析法，或这两种方法相结合来发现新病毒。 对硬盘的主引导区或对DOS的引导扇区作检查，用比较法能发现其中的程序源代码是否发生了变化。由于要进行比较，因此保留好原始备份是非常重要的。制作备份时必须在无电脑病毒的环境里进行，制作好的备份必须妥善保管，写好标签，贴好写保护。比较法的好处是简单、方便，不用专用软件；缺点是无法确认病毒的种类名称。另外，造成被检测程序与原始备份之间差别的原因尚需进一步验证，以查明是电脑病毒造成的，还是DOS数据被偶然原因，如突然停电、程序失控、恶意程序等破坏的。这些要用到以后讲的分析法，查看变化部分代码的性质，以此来确认是否存在病毒。

搜索法

这种方法主要是对每一种病毒含有的特定字符串进行扫描，如果在被检测对象内部发现了某一种特定字节串，就表明发现了该字节串所代表的病毒。国外称这种按搜索法工作的病毒扫描软件为Scanner。这种病毒扫描软件由两部分组成：一部分是病毒代码库，含有经过特别选定的各种电脑病毒的代码串；另一部分是利用该代码库进行扫描的扫描程序，病毒扫描程序能识别的电脑病毒的数目完全取决于病毒代码库内所含病毒种类的多少。病毒代码串的选择是非常重要的，短小的病毒代码只有一百多个字节，长的也只有10KB字节。一定要在仔细分析程序之后选出最具代表特性的，足以将该病毒区别于其它病毒和该病毒的其它变种的代码串。一般情况下，代码串是由连续若干个字节组成的，但是有些扫描软件采用的是可变长串，即在串中包含有一个到几个模糊字节。扫描软件遇到这种串时，只要除模糊字节之外的字串都能完好匹配，就也能够判别出病毒。另外，特征串还必须能将病毒与正常的非病毒程序区，不然就会出现假报、误报。

特征字识别法

这是基于特征串扫描法发展起来的一种方式，运行速度较快、误报频率较低。特征字识别法只须从病毒体内抽取很少的几个关键特征字，组成特征字库。由于需要处理的字节很少，又不必进行串匹配，因此大大加快了识别速度，当被处理的程序很大时，用这种办法比较合适。由于特征字识别法更注意电脑病毒的程序活性，因此减少了错报的可能性。使用基于特征串扫描法的查病毒软件方法与使用基于特征字识别法的查病毒软件方法是一样的，只要运行查毒程序，就能将已知的病毒检查出来。这两种方法的使用，都须要不断地对病毒库进行扩充，一旦捕捉到病毒，经过提取特征并加入到病毒库，就能使查病毒程序多检查出一种新病毒来。

篇3：硬盘及内存中检测潜存病毒开始

病毒要进行传染，必然会留下痕迹，生物医学病毒如此，电脑病毒也是一样。检测电脑病毒，就要到病毒寄生场所去检查，发现异常情况，并进而验明“正身”，确认电脑病毒的存在。

电脑病毒静态时存储于硬盘中，被激活时驻留在内存中，因此对电脑病毒的检测可以分为对硬盘的检测和对内存的检测。

一般对硬盘进行病毒检测时，要求内存中不带病毒，因为某些电脑病毒会向检测者报告假情况。例如“4096”病毒在内存中时，查看被它感染的文件，不会发现该文件的长度已发生变化，而当在内存中没有病毒时，才会发现文件长度已经增lk了4096字节;又例如，“DIR2”病毒在内存中，用Debug程序查看被感染文件时，根本看不到“DIR2”病毒的代码，很多检测程序因此而漏过了被感染的文件;还有引导区型的“巴基斯坦智囊”病毒，当它活跃在内存中时，检查引导区就看不到病毒程序而只看到正常的引导扇区。因此，只有在要求确认某种病毒的类型和对其进行分析、研究时，才能在内存中带毒的情况下作检测工作。

从原始的、未受病毒感染的DOS系统软盘启动，可以保证内存中不带病毒。启动必须是上电启动而不是按键盘上的“Alt+Ctrl+Del”三键的那种热启动，因为某些病毒可以通过截取键盘中断，将自己驻留在内存中。检测硬盘中的病毒，启动系统软盘的DOS版本号应该等于或高于硬盘内DOS系统的版本号。如果硬盘上使用了硬盘管理软件DM、ADM，硬盘压缩存储管理软件Stacker、DoubleSpace等，启动系统软盘时应把这些软件的驱动程序包括在软盘上，并把它们写入config.sys文件中，否则用系统软盘引导启动后，将不能访问硬盘上的所有分区，使躲藏在其中的病毒逃过检查。

检测硬盘中的病毒可分成检测引导区型病毒和检测文件型病毒。这两种检测的原理上相同，但由于病毒的存储方式不同，检测方法还是有差别的。主要是基于下列四种方法：比较被检测对象与原始备份的比较法;利用病毒特征代码串进行查找的搜索法;搜索病毒体内特定位置的特征字识别法;运用反汇编技术分析被检测对象，确证是否为病毒的分析法。

比较法

这是用原始备份与被检测的引导扇区或被检测的文件进行比较的方法，可以用打印的代码清单(比如Debug的D命令输出格式)进行比较，也可用程序来进行比较(如DOS的DISKCOMP、COMP或PCTOOLS等其它软件)。比较法不需要专用的查病毒程序，只要用常规DOS软件和PCTOOLS等工具软件就可以进行，而且还可以发现那些尚不能被现有的杀毒软件发现的计算机病毒。因为病毒传播得很快，新病毒层出不穷，而目前还没有能查出一切病毒的通用程序，或通过代码分析，可以判定某个程序中是否含有病毒的查毒程序，所以只有靠比较法和分析法，或这两种方法相结合来发现新病毒。

对硬盘的主引导区或对DOS的引导扇区作检查，用比较法能发现其中的程序源代码是否发生了变化。由于要进行比较，因此保留好原始备份是非常重要的。制作备份时必须在无电脑病毒的环境里进行，制作好的备份必须妥善保管，写好标签，贴好写保护。比较法的好处是简单、方便，不用专用软件;缺点是无法确认病毒的种类名称。另外，造成被检测程序与原始备份之间差别的原因尚需进一步验证，以查明是电脑病毒造成的，还是DOS数据被偶然原因，如突然停电、程序失控、恶意程序等破坏的。这些要用到以后讲的分析法，查看变化部分代码的性质，以此来确认是否存在病毒。

搜索法

这种方法主要是对每一种病毒含有的特定字符串进行扫描，如果在被检测对象内部发现了某一种特定字节串，就表明发现了该字节串所代表的病毒，

国外称这种按搜索法工作的病毒扫描软件为“Scanner”。这种病毒扫描软件由两部分组成：一部分是病毒代码库，含有经过特别选定的各种电脑病毒的代码串;另一部分是利用该代码库进行扫描的扫描程序，病毒扫描程序能识别的电脑病毒的数目完全取决于病毒代码库内所含病毒种类的多少。

病毒代码串的选择是非常重要的，短小的病毒代码只有一百多个字节，长的也只有10KB字节。一定要在仔细分析程序之后选出最具代表特性的，足以将该病毒区别于其它病毒和该病毒的其它变种的代码串。一般情况下，代码串是由连续若干个字节组成的，但是有些扫描软件采用的是可变长串，即在串中包含有一个到几个“模糊”字节。扫描软件遇到这种串时，只要除“模糊”字节之外的字串都能完好匹配，就也能够判别出病毒。另外，特征串还必须能将病毒与正常的非病毒程序区，不然就会出现“假报、误报”。

特征字识别法

这是基于特征串扫描法发展起来的一种方式，运行速度较快、误报频率较低。特征字识别法只须从病毒体内抽取很少的几个关键特征字，组成特征字库。由于需要处理的字节很少，又不必进行串匹配，因此大大加快了识别速度，当被处理的程序很大时，用这种办法比较合适。由于特征字识别法更注意电脑病毒的“程序活性”，因此减少了错报的可能性。使用基于特征串扫描法的查病毒软件方法与使用基于特征字识别法的查病毒软件方法是一样的，只要运行查毒程序，就能将已知的病毒检查出来。这两种方法的使用，都须要不断地对病毒库进行扩充，一旦捕捉到病毒，经过提取特征并加入到病毒库，就能使查病毒程序多检查出一种新病毒来。

分析法

这种方法一方面可以确认被观察的磁盘引导区和程序中是否含有病毒，另一方面可以辨认病毒的类型和种类，判定是否为一种新病毒，另外还可以搞清楚病毒体的大致结构，提取用于特征识别的字节串或特征字，增添到病毒代码库中供病毒扫描和识别程序使用。同时，详细地分析病毒代码，还有助于制定相应的反病毒方案。与前三种检测病毒的方法不同，使用分析法检测病毒，除了要具有相关的知识外，还需要使用Debug、Proview等分析工具程序和专用的试验用计算机。因为即使是很精通病毒的技术人员，使用性能完善的分析软件，也不能完全保证在短时间内将病毒代码分析清楚;而病毒则有可能在被分析阶段继续传染甚至发作，把软盘、硬盘内的数据完全毁坏掉，所以分析工作必须在专门的试验用PC机上进行，不怕其中的数据被破坏。

不具备必要的条件，不要轻易开始分析工作。很多电脑病毒采用了自加密、抗跟踪等技术，使得分析病毒的工作经常是冗长枯燥的。特别是某些文件型病毒的源代码可达10KB以上，与系统的牵扯层次很深，使详细的剖析工作十分复杂。病毒检测的分析法是反病毒工作中不可或缺的重要技术，任何一个性能优良的反病毒系统的研制和开发都离不开专门人员对各种病毒详尽、认真的分析。

分析法分为静态和动态两种。静态分析是指利用Debug等反汇编程序将病毒代码打印成反汇编后的程序清单进行分析，看病毒分成哪些模块，使用了哪些系统调用，采用了哪些技巧，如何将病毒感染文件的过程翻转为清除病毒、修复文件的过程，哪些代码可被用做特征码以及如何防御这种病毒等等。分析人员的素质越高，分析过程就越快，理解也就越深;动态分析则是指利用Debug等程序调试工具在内存带毒的情况下，对病毒作动态跟踪，观察病毒的具体工作过程，以进一步在静态分析的基础上理解病毒工作的原理。在病毒编码比较简单的情况下，动态分析不是必须的。但是，当病毒采用了较多的技术手段时，就必须使用动、静相结合的分析方法才能完成整个分析过程。

综上所述，利用原始备份和被检测程序相比较的方法适合于不用专用软件，可以发现异常情况的场合，是一种简单、基本的病毒检测方法;扫描特征串和识别特性字的方法更适用于广大PC机用户使用，方便而又迅速;但对新出现的病毒会出现漏检的情况，须要与分析和比较法结合使用。

通过采取技术上和管理上的措施，电脑病毒在一定程度上是完全可以防范的

篇4：硬盘及内存检测 四种查病毒的绝招(一)

病毒要进行传染，必然会留下痕迹，生物医学病毒如此，电脑病毒也是一样。检测电脑病毒，就要到病毒寄生场所去检查，发现异常情况，并进而验明“正身”，确认电脑病毒的存在。电脑病毒静态时存储于硬盘中，被激活时驻留在内存中，因此对电脑病毒的检测可以分为对硬盘的检测和对内存的检测。

一般对硬盘进行病毒检测时，要求内存中不带病毒，因为某些电脑病毒会向检测者报告假情况。例如“4096”病毒在内存中时，查看被它感染的文件，不会发现该文件的长度已发生变化，而当在内存中没有病毒时，才会发现文件长度已经增长了4096字节;又例如，“DIR2”病毒在内存中，用Debug程序查看被感染文件时，根本看不到“DIR2”病毒的代码，很多检测程序因此而漏过了被感染的文件;还有引导区型的“巴基斯坦智囊”病毒，当它活跃在内存中时，检查引导区就看不到病毒程序而只看到正常的引导扇区，

因此，只有在要求确认某种病毒的类型和对其进行分析、研究时，才能在内存中带毒的情况下作检测工作。从原始的、未受病毒感染的DOS系统软盘启动，可以保证内存中不带病毒。启动必须是上电启动而不是按键盘上的“Alt+Ctrl+Del”三键的那种热启动，因为某些病毒可以通过截取键盘中断，将自己驻留在内存中。检测硬盘中的病毒，启动系统软盘的DOS版本号应该等于或高于硬盘内DOS系统的版本号。如果硬盘上使用了硬盘管理软件DM、ADM，硬盘压缩存储管理软件Stacker、DoubleSpace等，启动系统软盘时应把这些软件的驱动程序包括在软盘上，并把它们写入config.sys文件中，否则用系统软盘引导启动后，将不能访问硬盘上的所有分区，使躲藏在其中的病毒逃过检查。

检测硬盘中的病毒可分成检测引导区型病毒和检测文件型病毒。这两种检测的原理上相同，但由于病毒的存储方式不同，检测方法还是有差别的。主要是基于下列四种方法:比较被检测对象与原始备份的比较法;利用病毒特征代码串进行查找的搜索法;搜索病毒体内特定位置的特征字识别法;运用反汇编技术分析被检测对象，确证是否为病毒的分析法。

篇5：研究P2P网络中的病毒检测与防御论文

研究P2P网络中的病毒检测与防御论文

P2P 网络之中具有大量的节点，在网络环境之中，节点以及节点之间的数据通信的安全性都相对比较低。而P2P 网络又具有匿名，共享速度快，等特点。P2P 网络的这些特点为网络病毒的传播奠定了良好的基础。同时P2P 网络由于其自身的特点，一旦一个节点被病毒感染，很快就会造成整个网络的瘫痪。P2P 网络巨大的安全隐患给用户的生活和工作以及社会的稳定带来了巨大的威胁。目前有关P2P 网络安全防护方面的研究比较缺乏和滞后。本文总结了前人的研究结果，对P2P 的安全性问题展开深入的探讨和研究。

1 P2P 网络病毒分析

P2P 网络由于其自身的特点，决定着其中的病毒能够利用和蔓延开来。因此，P2P 网络病毒的泛滥与P2P 网络自身的结构和特点有着密切的关系，因此在探讨P2P 网络病毒之前我们需要对P2P 网络有一个简单的认识。

1. 1 P2P 网络结构

P2P 网络在经过这些年的发展之后得到广泛运行的结构模式有三种三种，本文对着三种结构模式作了简要的介绍。第一种是集中式P2P 网络结构。这种网络结构的突出特点是“使用一个或多个节点索引服务器来提供节点查询应答服务”P2P网络之中的节点在其上线之后，索引服务器之中将会存储它的所有的信息，通过索引服务器，用户可以查询节点上共享的其他节点的所有的信息。这种模式的P2P 结构之中，虽然存在一个结构中心服务器，但是它与其他的文件下载模式采用的客户端/服务端模式仍然存在本质上的不同。这种不同的突出表现就是信息的存储位置不同。在P2P 结构之中，信息存在于各个节点上，而客户端/服务端这种模式下信息存在与服务器之中，同时这种模式之中客户端的用户无法实现相互之间的通信，而在P2P 模式之中用户端是可以实现互相通信的。P2P 网络的这种集中式网络结构的优点是不需要复杂的算法，通过节点就可以查询索引服务器进而获得存储于节点上的信息。这是一种非常简单有效的方法，但是它的缺点也非常的明显和突出。最直接的体现就是一旦索引服务器出现故障或受到攻击而导致其不能正常工作，那么整个P2P 网络体制就会无法运转。在这种模式下，运营和维护索引服务器是非常重要的。

P2P 网络的第二种模式是完全分布式网络结构。在这种P2P网络结构下，没有集中的索引服务器，节点间通过端与端之间的连接实现一个逻辑覆盖网络。整个网络结构是一个松散的组织，网路之中相邻的节点之间通过广播进行信息的查询和传递。这种结构的优点是不需要中心服务器，解决了网络结构中心化的问题。在这种结构模式之中通常不会出现单个节点的问题，但是在这种模式之中，所有的节点都是未知的，在网络规模较大时，查询的泛洪会导致信息的泛滥以及消耗大量的宽带从而造成沉重的网络负担。这种模式下信息的查询还存在查询结果不确定，网络半径不确定的风险。

第三种P2P 网络结构是混合式。这种模式总吸收了集中式P2P 结构良好的可扩展性和完全分布式的较强容错性两方面的优点。混合式结构的三个组成部分别是索引节点，搜素节点，用户节点。

这三种节点的划分是根据各个节点在整个网络结构之中所起的不同作用而划定的。在网络运作的过程之中用户节点仅仅是资源共享节点，不处理额外的信息;搜索节点是用来进行信息的存储与信息的查询工作，索引节点的作用是进行网络范围内的搜索记录工作，索引节点是从搜索节点之中选取出来的。混合式P2P 结构的查询速度比完全分布式有极大的提升，同时查询的结果也更加的准确还消除了完全分布式之中的搜素迟缓问题。

1. 2 P2P 网络的特点分析

为进一步说明P2P 网络的行为特点和运行机制，本文选取了第三代混合型P2P 网络结构之中的Bit Torrent 网络做为实例进行一次详细的分析。选取Bit Torrent 做为实例是因为目前的统计数据显示Bit Torrent 流量占据了整个P2P 流量之中的50%以上。同时Bit Torrent 协议也是目前运用最广泛的P2P 技术协议。BitTorrent 网络目前已经成为世界上最重要的资源共享平台。

Bit Torrent 网络做为一种典型的P2P 结构网络，其具有P2P 网络的所有典型的特点。第一个特点就是“每个下载数据的客户端也会同时将数据上传给其他客户端，因而能充分利用用户富余的上行宽带”。第二个特点是在Bit Torrent 网络之中，没有“服务器”与“客户机”的区别。在网络实际的运行过程之中每一个“客户机”就是“服务器”。在运行的过程之中，一个用户在下载的同时上行的宽带也会向其他的用户提供该用户已经下载完成的部分。

在这种情况下，下载的人数越多，实际的网络宽带就越大，下载的传播速度就越快。Bit Torrent 网络协议与传统的网络协议也存在着巨大的差别，Bit Torrent 网络协议与传统的网络协议的区别在于:Bit Torrent 在数据的应用层之中将所有的数据分割成了体积较小的数据块，在传输的过程之中，是以数据块为基本单位进行传输，这样传输的优点在于能够进一步提高传输速度和并行性，并且能够降低资源共享者的宽带消耗。

信息的发布者在Bit Torrent 网络之中发布信息时是根据共享资源来生成特定的种子文件。所谓的种子文件具体是指依据一定的编码规则描述共享资源的概要信息，索引信息以及资源的校验码信息。校验码是通过哈希算法而生成的。哈希计算的基本原理是“把待发布的目标文件虚拟的分成若干个体积相等的分片，而后在对每个分片计算哈希值。”种子文件是整个Bit Torrent 网络之中的共享资源的索引文件。在用户需要通过Bit Torrent 网络获取资源时首先将自己想要获取的资源对应的种子添加到Bit Torrent 软件之中，然后创建下载任务。下载节点会通过种子查询到所需资源的共享点信息，当用户连接上共享点之后，用户便可以从节点之中获取自己想要的资源信息。在这个过程之中，由于每一个用户可以同时向多个共享点请求共享，因此每一个节点的宽带负担都比较小，故流量分布比较均匀整个网络还能保持比较高的数据传输速度。

一般情况下一个完整的`Bit Torrent 网络由5 个部分组成:第一个部分是静态元信息文件。这个文件是由共享资源的初始拥有者制作的这一文件也称做torrent 文件。实质上该文件就是前文所论述的种子文件。第二部分是普通Web 服务器，该服务器的主要功能就是为用户发布种子文件和为用户提供种子文件的下载。第三部分是Tracker 服务器，该服务器是一个中心服务器，它的作用是保存，追踪和传输各个节点的信息，该服务器实质上就是前文所论述的索引服务器。用户可以在这个服务器上搜索到自己需要的资源的下载节点，然后自行选择其中的节点进行下载。第四部分是指分布式哈希表网络。该网络的作用是查询下载同一资源的用户并对节点之中的信息进行分布式的存储。第五部分是下载用户。在P2P 网络之中，下载用户既是原始的“下载者”同时也是原始文件的拥有者。在P2P 网络之中，节点的作用分为两个方面。第一个方面是从别的地方下载文件分片;第二个方面是将自己所拥有的文件分片提供给其他的需求者。

1. 3 P2P 网络病毒传播机理分析

P2P 病毒就是指以“P2P 网络为活动空间和传播途径的病毒”。在P2P 网络之中节点担负着服务器，路由器，客户端等多种角色，这直接导致了节点的拓扑信息极易被病毒利用。利用这一特点病毒在P2P 模式之中不需要进行大量的无用扫描，只需要以自身的身份混入正常的信息之中，就可以在不引起任何网络异常的前提下快速的在P2P 网络之中快速的进行大范围传播。P2P 病毒的在传播的过程之中通常是依附在正常的P2P 信息之中，因此用户在通过P2P 网络下载资源时就在不知不觉之中感染了P2P病毒。

2 P2P 病毒检测与预防方法

完整的P2P 网络之中具有数量众多的节点，不同的节点检测与防御病毒的能力存在比较大的差距。在进行P2P 网络的安全防护时首先应以节点为核心建立P2P 对等端的病毒检测节点。在以节点为核心的保护措施的建立的过程之中，我们要考虑到如果病毒的检测节点只具有自身的病毒检测和防御能力，那么我们设计的P2P 网络保护机制将无法确保那些自身防护能力较弱的节点是否能够面对病毒的攻击。为平衡P2P 网络之中各个节点的防卫能力的差异，我们需要构建的等端P2P 网络病毒检测节点不仅能检测自身是否带有病毒，还可以对病毒进行有效的抵御。

P2P 网络中的病毒检测与防御节点是基于P2P 对等端的构建而实现的。这一安全保护机制是在P2P 网络正常进行信息交互的过程之中，对信息进行病毒检测的。在P2P 网络工作的过程之中，节点可以在一定的范围之内进行针对病毒传播的防御工作。节点通过加载P2P 病毒的三元列表进而识别出P2P 网络之中带有P2P病毒片段的数据分片。此后该分片会通过Tracker 注册及DHT 扩散的方式除去携带病毒资源之中的swarm。此后在此节点上的传输过程之中便不会再有病毒的数据分片，这种方法将最大限度的减少资源的下载者下载到的资源之中包含的病毒。这样以对等端构建的P2P 网络中的检测与防御节点，既能让P2P 资源传输更加的便利与快捷，还能够有效的增强P2P 网络病毒的检测与防御功能。

在 P2P 网络之中，当普通下载的过程之中对等端与病毒的防御节点连接之后，病毒的防御节点请求之中包含了一部分病毒的数据片段之后，实质的下载完成之后，下载的对等端也会得到若干并不包含病毒的数据分片，造成这样一个结果的原因是，此刻下载用户得到的数据并不是上一个请求节点之中对应的数据，而是防御节点为避免病毒进一步快速传播而构造的无害数据，实质上当节点检测到病毒之后，节点就会进入受防御的节点保护状态进行节点的隔离保护。含有病毒的数据在重复的传播的过程之中，下载节点会不断的向病毒所在的节点请求数据块时，防御节点并不将含有病毒的数据分片传递下去，而是生成一个无毒的数据块进行传输，在传输的过程之中，当包含病毒的数据分片的校验码错误之后，此一数据分片失去继续传播的能力。

3 结语

P2P 网络之中匿名，自由等一系列优点使它无法避免的成为了病毒和恶意代码的攻击对象。本文在充分的研究了P2P 网络的各种结构的结构特点之后，分析了P2P 病毒的传播机理，最后提出了一种确保P2P 网络安全运行的方法。