第5章 计算机病毒检测技术.pptVIP

计算机病毒原理与防范 第5章 计算机病毒检测技术 5.1 反病毒技术的发展历程 5.1 反病毒技术的发展历程 5.2 计算机病毒检测技术原理 5.2.1 病毒检测技术的基本原理 5.2.2 检测病毒的基本方法 5.2.2 检测病毒的基本方法 5.3 病毒主要检测技术和特点 5.3.1 外观检测法 5.3.2 系统数据对比法 5.3.2 系统数据对比法 5.3.3 病毒签名检测法 5.3.4 特征代码法 5.3.4 特征代码法 5.3.4 特征代码法 5.3.4 特征代码法 5.3.5 检查常规内存数 5.3.6 校验和法 5.3.6 校验和法 5.3.7 行为监测法（实时监控法） 5.3.7 行为监测法（实时监控法） 5.3.8 软件模拟法 5.3.8 软件模拟法 5.3.8 软件模拟法 5.3.9 启发式代码扫描技术 5.3.9 启发式代码扫描技术 5.3.9 启发式代码扫描技术 5.3.9 启发式代码扫描技术 5.3.10 主动内核技术 5.3.11 病毒分析法 5.3.11 病毒分析法 5.3.12 病毒感染法 第5章 计算机病毒检测技术 本 章 结 束 使用病毒分析法的人——反计算机病毒技术人员 使用病毒分析法的目的：即使用病毒分析法的工作顺序 确认被观察的磁盘引导扇区和程序中是否有病毒 确认病毒的类型和种类，判断其是否是一种新病毒 分析病毒的大致结构，提取特征字符串或特征字 详细分析病毒代码，为制定相应的反病毒措施制定方案 使用病毒分析法的要求： 具有比较全面的有关计算机、DOS结构和功能调用以及关于计算机病毒方面的各种知识。此外，还需要Debug、Provie等分析用工具软件和专用的试验用计算机。 静态分析：利用Debug等反汇编程序将计算机病毒反汇编后进行分析，分析病毒的组成模块、病毒使用的系统调用，病毒采用的技巧、清除病毒的方法，特征码的选取 动态分析：利用Debug等调试工具在内存带毒情况下，对病毒作动态跟踪，观察病毒的具体工作过程，在静态分析基础上理解病毒的工作原理 感染实验法： 用于检测病毒检测工具不认识的新计算机病毒，可摆脱对计算机病毒检测工具的依赖，自主地检测可疑的新计算机病毒 原理： 利用计算机病毒的最重要的基本特征——感染特性 检测未知引导型计算机病毒的感染实验法 检测未知文件型计算机病毒的感染实验法 5.1 反病毒技术的发展历程 5.2 计算机病毒检测技术原理 5.3 病毒主要检测技术和特点 * * 任课教师：乔奎贤 E-mail：cren616@126.com 5.1 反病毒技术的发展历程 5.2 计算机病毒检测技术原理 5.3 病毒主要检测技术和特点 第一代反病毒技术：采取单纯的计算机病毒特征判断 可以准确地清除计算机病毒，可靠性很高 随着病毒技术的发展，特别是加密和变形技术的应用，这种简单的静态扫描方式逐渐失去了作用 第二代反病毒技术：采用静态广谱特征扫描方法检测病毒 可更多地检测出变形病毒，但是误报率也有所提高 容易造成文件和数据的破坏 第三代反病毒技术：静态扫描技术和动态仿真技术相结合 查找病毒和清除病毒合二为一，形成一个整体解决方案 能全面实现预防、检测和清除等反病毒所必备的各种手段 以驻留内存方式防止病毒的入侵，凡是检测到的计算机病毒都能清除，不会破坏文件和数据 第四代反计算机病毒技术： 基于计算机病毒家族体系的命名规则、基于多位CRC校验和扫描机理、启发式智能代码分析模块、动态数据还原模块、内存解毒模块和自身免疫模块等先进的解毒技术 计算机病毒检测技术：通过一定的技术手段判定出病毒的技术 计算机病毒检测技术种类： 根据病毒在特征分类基础上的检测技术 根据病毒程序中的关键字、特征程序段内容、病毒特征及感染方式、危机程度的变化 对文件或数据段的检验和进行检测 不针对具体病毒程序自身检验技术，即对某个文件或数据段进行检验和计算并保存其结果，以后定期或不定期地根据保存的结果对该文件或数据段进行检验，若出现差异，即表示该文件或数据段的完整性已遭到破坏，从而检测到病毒的存在 反病毒程序计算各个可执行程序的校验和 某些反病毒程序是常驻内存程序 反病毒程序常驻内存中，搜索可能进入系统的计算机病毒，其目的是阻止任何病毒感染系统。 少数工具可以从感染病毒的程序中清除病毒 少数工具反病毒工具虽可将染毒程序修复好，但有些修复效果不能保证。某些反病毒工具还可能产生虚假报警。 反病毒技术的主要分类： 病毒诊断技术、病毒治疗技术、病毒预防技术 1．借助简单工具检测——指DEBUG等常规软件工具 要求检测者必须具备的知识： 分析工具的性能 磁盘内部结构（如BOOT区、主