323-第十章恶意软件 (Ⅱ).pptVIP

Henric Johnson 第十章 恶意软件 (Ⅱ) 回顾 理解一个典型的virus程序所经历的four phases ； 四个阶段 典型病毒的生命周期包含以下四个阶段： 1, 休眠阶段（Dormant phase）： 在这个阶段中，病毒不执行操作，而是等待被某些事件激活，这些事件包括一个特定日期、其他程序或文件的出现、磁盘容量超出了某些限度等。 并非所有病毒都有这一阶段。 2.传播阶段（Propagation phase）：病毒将与其自身完全相同的 副本植入其他程序或磁盘的某些系统区域。每个被感染的程序中都将包含病毒的一个副本，并且这些副本会自动进入传播阶段，继续向其他程序传播病毒。 病毒的性质 3.触发阶段（Triggering phase： 病毒在这一阶段被激活以执行其预先设计的功能。和睡眠阶段类似，病毒进入触发阶段可以由很多系统事件引起，其中包括病毒副本复制的数量达到某个数值。 4.执行阶段（Execution phase）： 在这个阶段中，病毒将实现其预期的功能。这些功能可能无害，比如在屏幕上显示一条消息；也可能是破坏的，比如对程序或数据文件造成损坏等。 概述 病毒防范 反病毒的方法 理想的解决病毒威胁的方法是预防：首先就是不允许病毒进入系统。这个目标通常不可能实现，尽管必要的防护措施可以在一定程度上降低病毒成功攻击的次数。其次就是能够执行如下操作： 检测（Detection）: 一旦病毒感染系统，系统就应该 确定这一事实并对病毒进行定位。 反病毒的方法 识别（Identification）：检测到病毒后， 应该能够识别被感染的程序中的病毒类型 清除（Removal）: 病毒被识别后，对病毒所感染的程序中所有可能发生的变化进行检查，清除病毒并使程序还原到感染前的状态， 并清除所有被感染系统中的病毒从而使其无法继续传播。 反病毒的方法 随着病毒的演化，病毒和相应的反病毒软件都变得愈发复杂和高级。 [STEP93] 将反病毒软件划分为四代： 第一代: 简单扫描器（simple scanners）； 第二代:启发式扫描器（heuristic scanners）； 第三代: 活动陷阱（activity traps）； 第四代: 全功能防护（full-featured protection）。 反病毒的方法 第一代扫描器 需要病毒特征码作为识别病毒的依据。病毒可能包含一些 “通配符” 。但是在该病毒的所有副本中，通配符具有本质上相同的结构和比特模式。这些指定特征码的扫描器只能检测到已知类型的病毒。 第二代扫描器 不再依赖特定的病毒特征码，而是，利用启发式规则搜索可能的病毒感染。 这类扫描器之一就通过搜寻经常与病毒相关联的代码段确定病毒。 反病毒的方法 第二代扫描器采用的另一种方法是完整性校验。 这种方法对每一个程序计算校验和，并将校验和添加到程序中。 如果某个病毒感染程序而没有改变校验和，那么完整性校验将会捕获这个变化。 第三代反病毒程序是内存驻留型程序，它通过病毒在感染程序中的行为而不是结构进行识别。 第四代 产品综合运用了多种不同的反病毒技术软件包其中包括扫描、活动陷阱等组件。另外，这种软件包还包含访问控制功能，它限制病毒渗透系统的能力，也由此限制病毒为不断感染而改写文件的能力。 高级反病毒的技术 更高的反病毒方法和产品不断涌现。在这一节中我们将对其中最重要的两种进行重点说明: 通用解密和数字免疫系统。 通用加密 通用加密 (GD) 技术使得反病毒软件能够在保证足够快的扫描速度的同时，也能够轻松地检测到最为复杂的病毒变种 [NACH97]。 回想一下当含有多态病毒的文件执行时, 病毒必须首先将自身解密以得到激活。 为了检测到这样的病毒结构可执行文件应该通过GD扫描器运行。GD扫描器包含以下几个部件： 通用加密 CPU仿真器（CPU emulator）：CPU仿真器是一种基于软件的虚拟计算机。 它可以从底层处理器中接管对可执行文件中指令的解释权。 仿真器包括所有的寄存器和其他处理硬件的软件版本, 所以 在仿真器上解释运行的程序对底层处理器不会产生实际的危害。 通用加密 病毒特征码扫描器（Virus signature scanner）：对目标代码进行扫描来寻找抑制病毒特征码的模块。 仿真控制模块（Emulation control module）： 该模块控制目标代码的执行。 数字免疫系统 数字免疫系统 是 IBM开发的一种全面而广泛的病毒保护措施 [KEPH97a, KEPH97b]。 但是 正如 [CHES97] 中指出的, 近来网络的两种主要技术 对于病毒传播率的提高有着越来越大的影响： 数字免疫系统 集成邮件系统（Integrated mail systems）：诸如 Lotus