浅论货币危机预警理论与模型综述
马上就是一轮毕业生,但是好多大学生的毕业论文不知道该怎么写,在这里我为大家推荐金融毕业论文一篇,欢迎大家阅读和参考!
摘要 :货币危机预警的主要目的是提早识别危机发生的信号,以便该国能够及时采取适当的措施,减少危机发生的概率,乃至避免危机的发生,或者减少危机发生的强度和烈度。20世纪90年代以来的货币危机预警研究。形成了信号分析模型、离散选择模型和马尔可夫状态转移模型等预警模型,但总体而言,现有预警方法的预警能力还不够理想。
关键词 :货币危机;预警理论;模型
货币危机泛指汇率的变动幅度超出了一国可承受的范围这一现象,或者是“对货币的投机性进攻导致货币大幅度贬值或国际储备大幅度下降的状态”。货币危机预警是与投机性货币冲击理论的发展密切相关的。货币危机预警的主要目的是提早识别危机发生的信号,以便该国能够及时采取适当的措施,减少危机发生的概率,乃至避免危机的发生,或者减少危机发生的强度和烈度。关于货币危机预警理论的研究始于对20世纪六七十年代拉美货币危机的研究,随着金融自由化、国际化进程的不断加速,货币危机的发生频率及造成的危害随之增加,1992~1993年欧洲货币体系危机、1997~1998年亚洲货币危机与金融危机爆发进一步刺激了经济学界对货币危机预警理论的研究。本文将对货币危机的主要预警模型进行梳理和归纳。
一、信号分析模型
信号分析模型(KLR)是Kaminsky、Lizondo和Reinhart于1998年首先提出的。它以经济周期转折的信号理论为基础,其核心思想是通过研究货币危机发生的原因,确定哪些经济变量可以用于货币危机的预测,然后运用历史上的数据进行统计分析,来确定与货币危机有显着联系的变量,以此作为货币危机发生的先行指标。信号分析模型分四步进行:(1)确定货币危机的原因和危机预警时段;(2)运用历史上的数据进行统计分析,确定与货币危机有显着关系的变量,进而确定先行变量;(3)按照噪声一信号比的最小化规则,确定阈值;(4)一旦经济中相应指标变动超过阈值,则将之视为货币危机即将在24个月内发生的信号。由于KLR模型中各个变量的分析是单独进行的,所以它在本质上是一个单变量模型。
为了克服KLR模型的单变量属性,Kaminsky(1999)进一步对发生货币危机信号的指标进行综合考虑,它提出了4个预测危机的复合指标,1个复合指标是对各预警指标发出信号数的简单加总,另外3个复合指标则分别考虑了指标分布不均衡、指标时间延续性以及指标不同权重。通过对预测指标的扩展,KLR模型已经能够较好地处理预警结果输出的单一化问题,并利用多个复合指标可以更好地发送预警信息,极大地改善了预警效果。
Kaminsky(2003)又进一步提出了多状态KLP模型。他将货币危机分为6种,即经常账户恶化型危机、财政赤字型危机、金融过剩型危机、国家外债型危机、国际资本流动突然逆转型危机和自我实现型危机。研究发现,新兴市场国家的货币危机通常属于前4种,其发生与受害国经济的脆弱性有关;发达国家的货币危机通常属于后两种,经济基本面通常良好,多由不利的国际市场形势所致。这样一来,KLR模型可以在对货币危机预警的同时,进一步将货币危机的损失与其类型联系在一起,厘清对货币危机深度的`认识。
信号分析模型经过不断修正完善,已经成为使用最广泛的货币危机预警模型,它可以根据多个变量发出的信号估计危机发生的概率,同时有效提供关于危机根源和广度的信息,但该模型也存在一些明显不足:(1)主要以宏观经济环境为背景,没有考虑到政治性事件及一些外生事件对货币危机爆发时间选择的影响;(2)KLR模型的隐含假设是在解释自变量和因变量之间存在一个特定的函数关系,即阶跃函数关系,这一界定使得模型无法对一个变量是刚刚超过阈值,还是大幅超过阈值进行区分,因而使得变量提供的信息未能充分利用;(3)模型指标大多集中在外汇储备、信贷增长与实际汇率等方面,仍避免不了倾向性;(4)虽然通过加权平均解决了预警指标的单一化问题,但由于各变量之间的相互关系仍未纳入考虑,因此,这种汇总是表面的。
二、离散选择模型
针对信号分析模型的上述缺陷,有学者提出了离散选择模型,它最重要的突破在于通过纳入新的解释变量来扩展模型,进而同时考虑所有相关变量。其代表性的研究成果包括以下几种:
Frankel和Rose(1997)构建的货币危机发生可能性的面板Probit模型。其研究思路是通过对一系列前述指标的样本数据进行极大对数似然估计,以确定各个引发因素的参数值,从而根据估计出来的参数,建立用于外推估计某个国家在未来某一年发生货币危机可能性的大小。该模型研究发现,金融事件是离散且有限的,货币危机的发生则是由多种因素引发的,譬如在FDI流入枯竭、外汇储备较少、国内信贷增长迅速、实际汇率高估的时期等,货币危机发生的概率较大。此后,Andrew Berv和Catherine Pattilo(1998)对1997年泰国货币危机及墨西哥、阿根廷发生货币危机的概率进行预测,但准确度并不高。
BussiOre和Fratzscher(2002)认为二元Probit模型混同了危机前的诱发期和危机后的恢复期,而实际上在这两个时期危机预警指标的表现具有很大差异,他们将外汇变动分为三种状态或时期,即货币危机平静期、诱发期和恢复期,并在此基础上提出使用三元应变量Logit模型进行危机预测。该模型对32个国家1993年12月至2001年9月的月度数据验证,预测效果还比较理想,在样本内可正确预测73%的诱发期和85%的平静期,在样本外预测亚洲金融危机时,可以正确预测57%的诱发期和83%的平静期。此后,Kumar等(2003)提出了基于滞后宏观经济和金融数据的Logit模型,该模型使用32个发展中国家1985,1999年数据,主要分析了利率调整引起并未预期到的货币贬值,以及总货币贬值水平超过以往水平的情形。该模型的实证结果表明,外汇储备和出口的下降以及真实经济的虚弱是导致危机发生的最重要解释变量。
应该说,离散选择模型出现了从二元离散选择模型拓展到多元离散选择模型的方向,且模型的预测值较好解释了危机发生的概率,但也存在一些不足之处,主要表现为:(1)模型中存在将连续变量转换为二元或多元离散变量后信息的损失,而且没有确立一个根据预警危机和避免噪声的能力对变量进行排序的标准;(2)不同指标对于不同国家的重要性不尽相同,所以假设参数恒常的面板模型在货币危机的预警方面通常表现很差(Abiad,2003);(3)由于自变量存在多重共线的可能,这直接限制了更多变量的采用,最终影响对危机预测的准确性。 。
三、马尔可夫状态转移模型
马尔可夫状态转移模型(Markov—switchingModel)是体制转换模型中最常见的形式。它将结构性的变化视作一种机制向另一种机制的转换,譬如金融运行特征发生的显着变化,包括大幅起落或中断,汇率急剧下降、经济增长趋势逆转等,进而将结构变化内生化进行估计。
Martinez-Peria(2002)提出了一个带有动态转换概率的状态转换模型,该模型采用两种形式:一是汇率转换模型,假设汇率是一个AR(4)过程;二是向量自回归模型,假设内生变量有3个,即汇率、利率和外汇储备,均服从一阶Var过程。在此基础上,他直接对投机供给建模,同时加入预期因素,对1979-1993年欧洲货币体系的货币投机性冲击进行研究,研究表明,没有考虑变量状态转换性质的模型可能存在设定偏误问题,经济基本面和预期因素共同决定了危机发生的概率。
Abiad(2003)也将体制转换模型用于预测货币危机,他首先拓展了预警指标,即宏观经济指标、资本流动指标和金融脆弱性指标三类,而后采用单参数检验显着的预警指标分别对1972~1999年印度尼西亚、韩国、马来西亚、菲律宾和泰国等5国是否发生货币危机进行了预警。研究表明,体制转换模型预测货币危机的准确性比已有的预警方法更高,同时发出的错误信号更少。在Abiad研究的基础上,张伟(2004)进一步验证了Abiad的结论,他通过扩大研究范围、改变样本区间、选择不同的预警自变量,更为全面客观地评价体制转换模型在建立货币危机预警系统方面的效果,总体而言,该模型的预警能力较强,时效性也较强。
应该说Maikov-switching模型通过估计过程中将结构变化内生化,充分利用因变量本身的动态信息,有效避免与阈值设置相关的各类问题,以及由此带来的把连续变量转换为离散变量所造成的信息损失。但该模型的一个重要问题是,制度因素在发展中国家货币危机预警的形成中扮演了重要角色,要引入制度变量,及将时间序列模型扩展为组合模型,这都需要根据具体的国家和数据频率进行相应的调整,增加了研究的复杂性。
四、人工神经网络模型
人工神经网络模型(Artificial Neural Network-ANN),是一种基于连接学说构造的通信生物模型,它在一定程度上保存了人脑的思维特征,通过合理的样本训练、学习专家的经验、模拟专家的行为,并通过引入非线性转换函数来求解各种复杂的非线性问题,从而使它具有很强的模式识别能力和高速信息处理的能力。近年来,ANN在货币危机预警的应用程度不断提高,极大促进了预警建模和估计动态系统的发展。
Fratzscher(2002)提出一个多层感知器ANN模型,以克服困扰货币危机预警模型的数据开采和样本外预警效果差的问题。他对1990~2000年欧洲5个主要发达国家进行了预测,模型的网络输入采用时间序列数据和技术指标,而且在预测前,他应用R/S分析方法对上述几个货币市场的有效性进行了分析。研究表明多层感知器ANN模型的预测结果优于其他模型,多层感知器ANN模型70%的方向预测准确率大大超过了KLR模型50%的准确率。
Click等人(2005)提出了一个应用广义回归神经网络(GRNN)进行货币危机预警的模型。他们利用1998~1999年的日度数据以测度市场情绪,变量包括汇率(以美元度量)、股票价格指数、银行间利率、储蓄利率,其结果在预测精度上和统计性质上优于其他模型,尤其是作为比较基准的随机游动模型。
Lin等(2006)进一步引入了模糊逻辑的推理功能,提出了数据导向的神经模糊模型(NFM)来对货币危机进行预警。NFM的理论基础是,一个经济体在货币危机爆发前后的表现有明显差异,且这种反常行为具有再发性。该文在Kaminsky and Reinhart(1999)的基础上,使用了1970~1998年20个国家的数据,研究表明,与Probit模型相比,NFM不但具有更好的样本外预警能力,该模型还提供了变量之间相互关系的信息。
但是,用神经网络组合模型进行货币危机预警也存在一些难以解决的问题。首先是神经网络自身的优化问题。如隐藏层数及隐藏层结点数的确定、激活函数的确定、局部最优等。神经网络的结构直接影响着预测效果。此外,神经网络可以根据残差最小的原则不断地调整参数来改变预测效果,但是它不能改变输入数据,而货币等金融数据往往是波动的。存在噪音的。因此,如何对数据进行除噪,优化神经网络的输入数据是另一个值得研究的问题。
Rose Quartz玫瑰石英粉红和Serenity宁静粉蓝。今年流行的颜色。。这...
玫瑰石英:R:247 ?G:202 ?B:201。宁静粉蓝:R:146 ?G:168 ?B:209。
教你如何模仿别人的调色效果:
我选取的图片并非所有的都是后期处理出来的,前期亦可达到同样效果,我只是想说明后期可以达到类似效果,而非只有后期才能达到类似效果。
我只提供一个方向性的指导,具体技术细节自己多多体会。
我之前大多数情况下,都在授人与鱼,而没有授人与渔,既然今天有人问到这个问题,我就把我的“渔”讲出来与大家分享一下。
注:之前的教程在文末可以看到。
照片可以分为两类:黑白与彩色,当然有的照片是黑白与彩色的混搭,但我认为,只要你的照片有了色彩,那就是彩照,哪怕只是局部的彩色。
黑白只能反映出光亮信息,而彩照则比黑白多了色彩信息。所以,看一张照片的后期主要从三个方面去看:光线,色彩与细节。
先讲光线吧,光线分为三类:过曝、欠曝、正常曝光。
正如我前面所讲的日式风格,它是过曝的代表:
其次,是色彩,这个是一幅彩色作品的关键。
最主要的影响因素主要有以下几类:
1、对比度饱和度色相色彩平衡
对比度是一幅图像中明暗区域最亮的白和最暗的黑之间不同亮度层级的测量,My god,太抽象了,其实这个更多的依据经验去判断更好,图片看多了,你就知道哪些是高对比,哪些是低对比,当然,这里的高低是相对的。
一般而言,我的经验是画面灰蒙蒙的,对比度偏低,画面黑白对比明显或者说格外鲜艳的,对比度偏高。
饱和度是指色彩的鲜艳程度,一般而言,饱和度越高,颜色就越鲜艳,黑白灰三色的表现就越弱,反之亦然。
高饱和度,黑白灰明显减少。
色相,不是指一个男人看到美女的样子,它是用来区分不同颜色的,PS中对色相进行调整会引起颜色本身的改变。
色彩平衡:平衡嘛平衡,就是根据需要平衡画面的色彩。
蔷薇和玫瑰有什么区别?
蔷薇和玫瑰的区别:
1、枝条不同
蔷薇花的叶子没有玫瑰花叶子厚,玫瑰花的枝条就要硬一些,一般都是可以直立的,不需要支撑的。而且玫瑰花的植株整体是比蔷薇小的。
2、叶片不同
玫瑰小叶为5~9片,质地较厚,叶脉凹陷,叶面多皱纹,叶背附有一层白霜似的柔毛。?
蔷薇小叶较多,一般为7~9片,叶缘有齿,叶两面有柔毛。
3、花朵不同
玫瑰花单生或簇生,每年5~8月只开花一次,香气比月季、蔷薇浓,花柄短,花径约3cm左右,花多为紫红色,有单瓣和重瓣种。
蔷薇花常6~7朵簇生,呈圆锥状伞房花序,生于枝端,花朵大小同玫瑰,花形、花色因品种而异,有红、粉、黄、白等色。 每年夏季开花一次。
4、果实不同
蔷薇的果实为圆球体,玫瑰的果实则为扁圆形。
泰坦尼克号里面卡尔这么爱rose,为什么得不到rose的爱?
看的出来卡尔真的是非常非常爱Rose,但是影片中的Rose明显是新世纪的女性,她接收过新的教育,追求的是自由,这是卡尔给不了的,和他在一起Rose会永远被束缚着,而且卡尔的占有欲实在是很强,独断专横,一般追求自由的女人是不会喜欢他的。
影片也只是展现在泰坦尼克号上卡尔和Rose相处的片段,至少那个时候卡尔没有给Rose想要的身体心理上的自由,这时Jack就可以给她了。
再说了,就算卡尔能带她去旅游,骑马,做放松的事,他愿意想Jack一样用生命守护Rose么?。。。卡尔是那个时候的资本家,从他最后不择手段登上救生艇就可以看出。
我觉得卡尔顶多和Rose一起上救生艇,两个人一起活,却不可能牺牲自己成全Rose,那么就是说卡尔没有Jack爱的深。
爱情本来就是很奇妙的事情,不仅仅是长相的问题吧。这是一部泰坦尼克,显示中选择专制的高富帅抛弃自由的屌丝的事情也多了去了,只是这里的Rose不这样罢了。
如果卡尔在Jack之前就了解Rose带她过想过的生活,我觉得Rose是会感动的。
rose病毒有哪些危害
:rose:
随着计算机技术及Internet的发展,电脑已逐渐走进了千家万户。但是在我们平时的工作、学习中,危及用户系统、数据安全的案例比比皆是。危害系统和数据安全的危险主要来自以下两个方面:一是受病毒攻击所造成的各种不同程度的破坏;二是网上黑客对用户隐私的窥探、恶意篡改数据等。病毒和黑客的破坏给人们造成了无可估量的损失:全球每年由此造成的直接或间接损失高达几十亿乃至上百亿美元!其实对于病毒和黑客的破坏,只要我们掌握一些基本的判断、分析、处理、防范能力,就有可能避免病毒和黑客对我们造成的危害,将损失降低到最小限度。
3.1 练就五毒不侵之功
人们对计算机的应用越加广泛,计算机病毒对人们的危害也就越大,这就使人们对计算机防毒概念已经有了更新的认识。作为一个计算机用户,为了保护自己的重要资源与数据,了解病毒的概念和发展趋势,掌握常用反毒技术,做到知己知彼,方能练就五毒不侵之功。
导引:了解病毒的基本特性
为了识别病毒的庐山真面目,还必须从病毒的本质特征入手。
有一些用户存在以下一些想法:
● 平时不经常与人交换数据就不会染毒;
● 不使用外来磁盘或光盘就不会染毒;
● 不上网就不会染毒。
其实这些想法都是片面的。因为病毒是一种具有感染性、破坏性的程序,还具有隐蔽性、潜伏性、针对性及不可预知性。由于病毒种类繁多,各种病毒的表现形式和发作现象都千差万别,因此绝对不能认为系统运行正常就一定没有病毒。通过使用本文所述的一些技术手段,我们完全可以防毒于未然。
传染性是病毒的基本特征。在生物界,病毒通过传染从一个生物体扩散到另一个生物体,在适当的条件下,它可以大量繁殖,使被感染的生物体表现出病症甚至死亡。同样,计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是,计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,它就会搜寻符合其传染条件的其他程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。一台计算机染毒,如不及时处理,那么病毒会在这台机子上迅速扩散,其中的大量文件(一般是可执行文件)会被感染。而被感染的文件又成了新的传染源,再与其他机器进行数据交换或通过网络接触,病毒就会继续传播。
病毒的传染性和破坏性是有目共睹的,不感染、不破坏(即使是对用户的干扰也被看作是某种程序的破坏),就不能称之为病毒!
病毒的隐藏性主要表现在绝大多数病毒都将自己依附于其它程序文件之上,通过添加、插入病毒代码并修改文件头部指针使染毒程序在运行时首先执行病毒代码,而这一切过程都是完全自动进行的且隐蔽性极强,用户很难有所觉察。病毒的设计者为了使病毒得到隐藏,必须在病毒发作之前,让染毒系统仍可暂时正常工作。
大部分的病毒感染系统之后一般不会马上发作,它可长期隐藏在系统中,只有在满足其特定条件时才启动其表现(破坏)模块。只有这样它才可以进行广泛传播。如CIH病毒的主要版本就是在每年的4月26日发作。与此类似,病毒往往还具有一定的针对性,最明显的就是有些病毒只感染PE结构的可执行文件,有些只感染Office文档,而有些仅感染硬盘的引导区,还有的必须在满足某些特定条件后才进行传染或破坏。所以说,隐蔽性、潜伏性、传染性、针对性等都只是病毒的手段,最终实现破坏才是病毒的主要目的。
病毒的不可预知性是目前令反病毒业界最为头痛的一个问题。尽管目前经过广大反病毒厂商多年的艰苦努力,我们已经在广义病毒特征、对病毒的跟踪解密、设计病毒陷阱、实时动态监视等技术上取得了一系列重大进展,但要从根本上做到对病毒识别和清除还有很长的路要走。由于病毒程序与正常程序都是一段代码,它们之间从本质上说没有什么不同,只是它们所要达到的目的不同而已。随着反病毒水平的不断提高,病毒编制的水平也在提高,在“先有鸡还是先有蛋”这个问题上,业界的答案最为明确:正是由于先出现了病毒然后才出现了反病毒软件。
到目前为止,还没有哪一家反病毒厂商能保证可以彻底杀除一切已知和未知的病毒。
病毒的基本特性表明 :一个目前工作正常的系统并不能完全保证干净无毒。要得到一个99.9%没有病毒的相对“纯净”的系统,除了从硬盘分区格式化、系统安装等初始阶段就保持高度警惕外,还必须经常用最新工具扫描病毒,尽量正确安装使用防火墙。一句话,必须先提高对病毒的警惕,树立正确的计算机安全意识。
一、如何正确判断电脑是否“中毒”
判断一台电脑是否“中毒”,必须从多方面综合考虑,进行细致的分析。我们只有了解了病毒的一些基本特征、掌握基本的查毒方法,并将病毒的干扰与其他表现相似的软硬件故障区别开来,才会不犯“误诊”、“漏诊”的错误。
(一)病毒与其它软硬件故障的区别与联系
许多用户在使用电脑过程中一旦发现系统有什么不正常的现象就怀疑计算机中有病毒,似乎病毒是造成一切异常现象的罪魁祸首。其实计算机系统的各种故障原因极其复杂,病毒破坏只不过是其中的重要因素之一。因此为了及时排除故障,解决问题、最大限度地减少损失,必须分清是病毒破坏还是其他故障。
下表简要列举了病毒破坏与其它软硬件故障的区别与联系,我们应根据具体的现象进行认真地分析,特别是注意故障异常的产生是整体体现还是局部体现,是偶然发生还是具有一定的规律性,然后针对可能的原因进行排查。对于有一定经验的用户,可以从屏幕上显示的提示信息分析出故障发生的根本所在;而对于初级用户,则可以根据故障现象,用下面的列表进行对照,以确定故障的大致所在。
(二)病毒的检查与判断方法
我们有了对病毒的基本认识之后,该如何采取具体措施检查系统是否染毒呢?有矛必有盾!即使是普通初级电脑用户,也可以采取适当的方法对病毒进行检测和清除。这些方法可以归纳为以下几类:
1.程序扫描法
即通过专门的病毒扫描程序对系统进行扫描,这是最方便快捷的方法,通常可选用一种或多种杀毒软件,如传统的KV以及Kill98、Kill2000、PC-CilLin系统、Norton Antivirus系列、McAfree Virusscan、熊猫卫士、瑞星、VRV等等;在对付网络类型病毒方面比较有名的有Lockdown、TheCleaner;还有一些专门针对某种病毒的扫描程序,如“求职信”病毒专杀工具、“笑哈哈”病毒专杀工具、“尼姆达”病毒专杀工具等等。我们选用杀毒软件一般是优先考虑使用品牌产品,对此在后文还要提及。
程序扫描法的理论依据主要为特征代码扫描、校验和检查、病毒行为描述、软件模拟(即虚拟机技术)、VICE先知扫描法等。除了采用现有的杀毒软件外,有能力的用户也可以自己编制一些针对某一种或某些病毒的程序进行查杀。由于具体情况太复杂,在此不再详述。
2.观察法
(1)现象观察
如果在计算机使用过程中发现以下现象,应当怀疑存在病毒:
硬盘引导时死机;系统引导时间比平时长;磁盘上出现不正常的坏簇(除软盘外,硬盘是不容易出现坏簇的);运行速度减慢;硬盘引导成功,但用软盘引导后不能访问硬盘;出现特殊声音、图像或文字;访问硬盘文件时却提示A盘未准备好或者写保护;以往运行正常的程序出现运行时死机或工作不正常;在系统配置正常且文件执行正常的情况下却报告内存不足;平时使用正常的光驱或打印机等设备不能正常使用;在设置正确的情况下,Windows 9X系统属性“性能”选项报告A盘正在使用MS-DOS兼容方式等等,具体还要结合上文所述的病毒与软硬件故障的区别和联系来进行综合判断。
(2)注册表及系统配置观察
新出现的网络病毒以及类病毒常利用Windows 9X的注册表中设置自动运行键值或者通过Win.ini中的“load=”和“run=”命令以及System.ini中的“shell=”命令来将自己加载到内存中,从而在后台得以运行,以下几个注册表项为自动运行程序位置:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunonce]
在Windows 98中系统自带一个名为Msconfig.exe的系统配置实用程序,可以通过“开始”→“运行”命令直接执行,使用它可以极方便地查看和管理所有的自动运行程序,要禁止某项命令的自动运行只需要取消对该命令的选定即可(见图3-1-1)。
图3-1-1 系统配置实用程序
除此之外,也有一些第三方软件可以完成上述工作。如注册表优化工具RegCleanr,它不但可查看以上注册表的系统配置文件的内容,而且还可以随时中止系统的自启动程序,在查看、管理自动运行程序时非常方便;对于针对木马类型,则可以选用LockDown及TheCleaner等等,以上程序的下载地址附后。
(3)内存观察
这是最传统的方法,优点是方便快捷;缺点是局限性较大,一般多用在DOS下检测病毒。
检测程序很多,一般有以下几种:
如果硬盘分区为FAT16(现在已经不多了),则可以采用PCTools软件,通过按F3键来查看基本内存的总空间是否与DOS报告的相等(均为640KB),如果不相等,则意味着内存中可能有病毒存在。
我们也可以使用Debug程序,在启动Debug后,在“——”提示后输入命令“D0:400”回车,则0:413到0:414字节中显示的内容应当为8002,即十六进制的0280H,这相当于十进制数的640,否则内存中可能有病毒活动,病毒占用的内存空间大小等于系统真正的内存空间大小减去0:413到0:414的内存空间大小。
我们还可以使用Mi.exe及DOS本身的Mem.exe程序,使用mem/c/p是比较方便的(在Windows 2000/XP的命令行下/P参数无效)。该命令可以方便直观地显示出当前基本内存中运行了哪些程序以及各自占用了多少内存空间等,如果发现显示的内存空间总量不正常,或者发现存在无名的程序、以“——”为名称的程序或者乱字符为名称的程序在内存中,则应当立即怀疑存在病毒。不过对于许多设计比较高明的病毒而言,此方法不太有效,因为它们会伪装自己,即当它们在活动状态时,会欺骗DOS从而显示出一个虚假的内存状态报告。
(4)特征字串观察
注意这里不是指某些杀毒软件所称的“特征串扫描法”,在此不对具体的反病毒方法作专业的深入阐述,而是特指普通用户都能够采用的一种病毒判断方法。很多病毒的编制者为了实现自己的表现欲望,大多给病毒起了某个特定名称,如大名鼎鼎的CIH病毒的代码中就存在“CIH……”等字样。因此如果怀疑系统已被某种特定的病毒感染,可以抽取系统中一个代表性的文件(一般为系统必用的程序文件,如Explorer.exe等),必要时复制到某个临时目录,然后通过任何十六进制编辑器(如UltraEdit)查找可疑的病毒特征字符串。如果不会使用十六进制编辑器或手里没有这类工具,也可以用普通的Edit.exe或记事本直接打开样本文件并进行特征字符串搜索,当然屏幕显示的全是乱码,不过只要找到了某一病毒的特征字串就值得引起我们足够的警惕,必要时还可以检查几个文件以进一步确认。此方法虽然较好,但也有误报的时候,比如有些文件曾经被感染但又被某些仅修改文件指针的杀毒软件杀过毒,其中就可能残存有部分病毒代码(即“病毒僵尸”),因此使用这些方法发现线索后还必须结合其他方法做进一步的排查。
(5)其它观察法
如检查中断向量、Debug分析、检测磁盘异常坏簇等。其中中断向量的检查及Debug分析需要较专业的知识,对普通用户并不适用,因此暂且略过;而检查磁盘异常坏簇则只需要通过运行Chkdsk命令,就可得到一个有关磁盘坏簇及空间利用率的详细报告(见图3-1-2)。
图3-1-2 磁盘分析报告
3.比较法
与其它检查方法相比,比较法通常较为准确可靠,但前提是必须事先保存有对应的、可靠的数据源文件。比较法又可以细分为以下几种情况:
(1)系统重要数据对比
病毒中特别是引导型病毒大都要修改系统的重要数据,如磁盘的引导扇区、DOS引导扇区、内存中的中断向量表、设备驱动程序头、CMOS设置参数等。如果将当前的这些重要数据与对应的源文件数据进行比较,是否受到病毒的感染就一目了然了。作为普通用户要比较和备份源文件是很困难的,我们可以借用一些比较优秀的杀毒软件所提供的系统数据备份及比较功能来实现。目前瑞星杀毒软件2002版在这方面做得比较好,用它制作的紧急修复磁盘,其备份信息详尽细致,比较和恢复功能方便快捷。
(2)可疑文件与正常文件对比
文件对比的方式和内容比较多,通常有:
文件基本属性对比。主要是文件的长度、文件创建及修改的日期和时间、文件的特定内容等,如果这些内容发生变化,则应当考虑受到病毒感染的可能性。
“校验和”对比。“校验和”,即对文件内容的全部字节进行特殊的函数运算并产生出适当字节长度的结果。它能够较客观地反映出原始文件的特征,“校验和”所取的字节长度越大,它所反映原始文件特征的唯一性就越大,但这种方法具有一定的技术难度,且使用也不够方便(正常修改文件后还得同时修改“校验和”),如果在产生“校验和”之前文件就已经被病毒感染,则此法毫无实用价值。实际使用中,由于病毒感染文件时,对于前缀式COM型病毒,染毒文件的开头部分就是病毒代码 ;对于后缀式COM文件型病毒,则必须替换宿主程序的第一条指令以便跳转到程序尾部的病毒代码处执行;对于EXE文件型病毒,病毒必然改变EXE文件头的程序入口指针。因此无论是直接对比还是“校验和”对比都只需要针对文件头部的5~20个字节即可。以前曾有某些杀毒软件采用此法,目前只有少数程序由开发者添加了对文件本身的“校验和”检查,如著名的Arj.exe,当非法修改了它的任意字节,则运行时就会报警。
文件内容的逐个字节对比。DOS及Windows 9X都有一个Fc.exe命令,加上/B参数后可以逐个字节地对文件进行对比,如果能够保证源文件的纯净无毒,则此法检测文件准确度极高。添加、修改、删除了哪怕仅一个字节都无法逃出Fc.exe的“法眼”。在此以对Msgsrv32.exe这个系统文件的比较为例说明比较方法:
在刚刚安装完毕Windows 98后,将Msgsrv32.exe文件改名备份,如Msgsrv32.bak,然后使用Edit或记事本编写如下内容的批处理文件(设文件名为Killvir.bat):
@echo off
fc %winbootdir%systemmsgsrv32.exe %winbootdir%msgrv32.bak /b>nul|find"00";以二进制方式将样
本文件与源文件进行比较,注意要加/B参数。
if error level1 goto end;无任何更改则结束。
if error level0 goto virus;有更改跳转至virus处;
:virus
(此处添加调用杀毒软件的命令行或警告信息)
:end;比较结束。
在自动批处理文件(C:Autoexec.bat)中通过Call Killvir命令调用上述文件,这样每次系统启动时都自动对样本文件进行比较,发现异常后立即做出相关处理。不过这种方法仅供借鉴参考,它存在以下缺陷:一是有些病毒在感染时是以文件头部特征而不以文件扩展名来判断目标文件是否感染对象,这就可能造成源文件同样被感染的危险(但这种情况对每次感染代码都不相同的变形病毒仍然有效) ;二是个别抽样并不能完全反映所有文件的变化情况,比如有些病毒在感染时还要对文件的长度、文件名等有所要求;三是灵活性差,比如需要比较很多文件时就必须准备许多源文件,这在某些情况下是不现实的;四是由于系统在每次启动时都要对文件进行比较,如果比较的文件较多,将会大大延长系统的启动时间。
(3)干净软盘引导与直接硬盘引导比较
如果怀疑系统感染了加密引导记录和分区表的病毒,除了使用杀毒软件外,最简单的判别方法就是使用干净的引导软盘引导启动,然后看看是否能够正常访问硬盘。有些引导型病毒为了达到“自杀”的目的,对硬盘分区表进行了搬移或加密,因此必须在内存中有病毒存在的情况下由病毒对分区表临时加密,这时才能正常访问硬盘分区。如果用软盘引导,则由于分区表被病毒还原,因此无法正常访问硬盘。对付此类病毒必须极其小心。一般必须在带毒的情况下将已临时还原的分区表备份出来,再在杀毒后将备份的分区表恢复,否则可能造成硬盘数据的全部丢失。
二、系统染毒后紧急处置措施
如果通过上述途径发现病毒踪迹后,首先是冷静对待,不要急于处理,“心急吃不了热豆腐”!,以免处理不当造成更大的损失。我们在发现病毒迹象后必须立即采取适当的隔离和保护措施:
(一)立即停止使用计算机并对病毒进行全面绞杀
即使病毒正在发作,立即关闭计算机电源总是一个不错的主意。注意不是按“Ctrl+Alt+Del”键,热启动并不能中止许多病毒的驻留。如果发现网络中有病毒,则应立即断开网络并通知网络管理员和所有网络用户全面杀毒。
(二)制订杀毒策略
查杀病毒应当遵循以下原则:以备份覆盖为上策,直接杀毒为下策;先备份后杀毒为上策,直接杀毒为下策;尽量恢复数据为上策,分区格式化重新安装系统为下策;彻底扫描所有磁盘(包括手头所有软盘、光盘)为上策,只扫描部分磁盘为下策;立即升级杀毒软件再杀毒为上策,直接使用杀毒软件现有特征病毒库查杀为下策;多种杀毒软件交叉查杀为上策,只使用某一种杀毒软件查杀为下策。
(三)谨慎行事,留好退路
千万不要指望毕其功于一役!很多用户非常迷信杀毒软件,发现病毒后以为“病毒入侵,一杀就灵”,因此往往不考虑后果就直接杀毒,这是极不好的习惯。因为一些狡猾的病毒可能将硬盘引导信息或用户数据进行加密处理,使用时需要对病毒程序进行解密,如果贸然杀毒,一旦内存没有病毒,被加密的信息也就不能被还原。因此,杀除引导区病毒前必须备份当时“坏”的引导信息,必要时为保险起见还必须进行多个备份(具体备份方法后文介绍);对于染毒分区中的工作文件最好在带毒的情况下备份至软盘或其它位置,以免杀毒后硬盘分区不可访问从而造成更大的损失。
三、传统病毒的防范
防范病毒必须从两个方面入手,一是正确选择和使用杀毒软件,因为多数用户都不具备手工分析和杀除病毒的能力,即使少数用户有一定的手工反毒经验,但对于层出不穷的各种病毒,靠个人的力量进行手工分析杀毒是极其麻烦的事情,因此还是使用杀毒软件要方便快捷一些;二是严把“病从口入”这个关口,因为亡羊补牢总不如未雨绸缪,防止病毒破坏最好的方法是尽量不要让机器中毒,这虽然有点过于理想化,但只要通过多方努力,多数情况下还是能够做到的。
通常情况下,杀毒软件厂家都将病毒和黑客程序当作病毒一并对待,因此在使用软件查杀问题上我们将二者一同进行讨论。下面从传播类型病毒和网络类型病毒两个方面对杀毒软件的选择、安装、使用技巧等方面进行全方位的介绍。
(一)选择杀毒软件的技巧
由于病毒的破坏力越来越大,面对五花八门的反病毒产品,多数用户眼花缭乱,不知取舍。首先要提醒大家注意的是:决不能以广告的宣传导向作为选择的唯一依据,事实上的确有个别厂家对其产品宣传得天花乱坠,但其产品性能实在一般。在此笔者将必需的选择标准罗列如下,以供读者在选购杀毒软件时参考。
1. 能查杀足够多的种类及数目
我们使用杀毒软件的目的就是为了针对“万一”,如果一种杀毒软件杀毒数量不多,无论厂家宣传的技术多么先进,最终只能是令人失望的。
2. 能够实时监控,实时查杀病毒
这是对反病毒产品的最起码的客观要求。亡羊补牢固然必要,未雨绸缪却更能够最大限度减小损失,因此目前成熟的杀毒软件都具有实时监控、实时查杀病毒的功能,没有这个功能的杀毒软件绝不推荐使用。实时防护是互联网时代的要求,它是衡量一个杀毒产品是否跟得上时代步伐的最基本的标准之一。值得注意的是,我们在评价一个产品的实时监控功能时,绝对不能片面地仅以品牌知名度、资源占用率等一般属性来衡量其性能的优劣。实践证明:有的大牌厂家的实时监控程序对系统某些操作有干扰,而有的实时监控虽然资源占用率比较低,低防毒的灵敏度也比较低,以致病毒被激活后监控程序才捕获到病毒事件。还有不少用户认为某个杀毒软件因某次杀掉了一些病毒就感觉不错,其实杀毒软件本来就是用来杀毒的,能够杀除流行病毒是最起码要求,关键是能够阻止系统再次感染此病毒,如果不能实时监控,还要靠用户经常手工查杀,还不如多做备份、勤做备份更加稳妥!
3. 能够过滤多层压缩包、电子邮件及恶意ActiveX控件和Java类
CIH病毒不但设计思想先进,而且借助网上大量的压缩文件作为藏身之处,当时很多杀毒软件没有扫描压缩包的能力,有些杀毒软件虽然能够扫描压缩包但能够处理的类型或打包层数有限,因此造成屡杀不绝的严重后果;现在的电子邮件病毒(如“求职信”病毒等)更是以一种全新的方式进行感染和破坏;还有一些恶意Java小程序夹杂在HTML代码之中能够被浏览器直接解释执行或调用(后文将详细讨论)。这些都给杀毒软件提出了更高的要求。没有注重全方位防护的杀毒软件同样在技术上还不成熟、不完善!
ActiveX控件和Java类
由于Internet的普及,网站设计已变得更加复杂多样。许多站点如今都包括交互式元素,如脚本、表单、搜索引擎、动画以及其它很多多媒体功能,使Web浏览更加实用有效,更加精彩诱人。带给我们这些功能的很多技术都来自易于下载的小程序。它们与你的浏览器软件进行交互以交流信息,显示多媒体文件,制订数据库查询并执行其它任务。除其它工具外,网站设计者和程序员还用Java和ActiveX来编写这些类型的程序。
Java程序语言最早出自Sun Microsystems公司。有了它,设计人员可以编写小规模专用应用程序,或称“小程序”,它可以直接或作为插件模块融入浏览器软件的Java“虚拟机”上运行。
Java类是预先写好的软件模块,程序员可对它进行修改,为己所用。程序员使用Microsoft ActiveX技术达到类似的目的。ActiveX同Java的区别主要在于运行方式:Java在专门建造用来解释小程序的虚拟机上运行,而ActiveX在现有程序之间,或其它程序与Windows本身之间起着一种先进的软件桥梁作用。ActiveX“控件”是一种链接程序的软件模块,使程序能够共享数据,而在链接的两个程序中,此程序无须知晓彼程序是如何运行的。Java类和ActiveX控件统称为“对象”。
4. 附带完善的系统重要信息备份及恢复功能
现在的反病毒概念是“防、杀、修”三位一体,能防、查、杀固然重要,但新的病毒层出不穷,厂家及用户谁都不能够保证万无一失。因此好的杀毒软件应当同时具备较完善的修复系统的能力。在这个问题上“VRV杀毒专家”曾提出了系统修复的概念,瑞星、PC-cillin、Norton AntiVirus等的制作急救磁盘功能也高度体现了紧急事件快速修复的理念。其它的如金山公司、行天98等厂家的产品在能够备份系统重要数据的同时,有的还向用户免费提供了专门的硬盘修复工具,如金山的KavFix、北信源的VrvFix等。令人遗憾的是,无论是哪个厂家,它们目前的产品对系统的修复功能都是有针对性的(如专门开发针对CIH破坏的功能)、有特殊条件的(如必须事先进行急救盘的制作或备份了系统重要数据)、有局限性的(如KV3000虽然在修复硬盘引导区和分区表方面“技高一筹”,但不能支持NTFS分区),而其它许多同类的DOS及Windows 平台的产品也同样如此。
5. 对新病毒的快速反应能力
衡量一个反病毒厂家的实力主要有两个方面:一是编程水平;二是对新病毒的快速反应能力。国内许多厂家的编程水平是不错的,但由于管理、人力、财力及其它条件的限制,无力组建世界范围的病毒监测网,因此在对新病毒的快速反应能力上稍逊于国外名牌产品一筹。令人高兴的是:现在已经有了不少有实力的国外公司来中国投资与国内厂家合作生产杀毒软件,产品的本地化,使得我们在优秀产品中的选择余地更大了。
6. 极低的资源占用率及与系统和应用程序良好的兼容性
实时监控功能一定会占用系统资源,因此在保证可靠性的同时资源占用率越低越好,目前各主要产品之间的差异不是太大,用户对此不必强求,往往是人们在启动组中自动运行的许多后台程序消耗了更多的系统资源。如果实时监控设计得不周全的话杀毒软件会与某些应用程序产生冲突,造成系统稳定性降低,这是我们不愿看到的。如NAV早期的版本与一些有软盘操作的程序会有冲突 ;VRV以前的某些版本会干扰磁盘碎片整理等,类似的这些问题也不同程度地存在于其它反病毒产品中,我们应当通过试用,结合自己的工作特点和需要进行取舍。
(二)常见杀毒软件的性能特点和设置技巧
1. Norton AntiVirus 2002
性能特点:方便的自动升级功能;实时监视、查杀能力均较好;E-mail收件保护(注意:不能自动保护FoxMail,只能保护Outlook Express)。
应用要领:第一,某些涉及软盘的操作会因实时监视器的影响而不能成功,请用鼠标右键单击系统托盘图标,临时禁用实时防护功能(见图3-1-3)。
第二,在“进行扫描文件的类型”中,最好不要选择“全面文件扫描”,而是选择“SmartScan扫描文件”,以避免占用太多的系统资源(见图3-1-4)。如果有特殊需要,还可以点击“自定义”按钮,手工添加欲进行病毒扫描的文件类型。
第三,由于Norton
