计算机病毒原理及防范技术王路群电子教案 第10章 病毒对抗技术.pptVIP

计算机病毒原理及理论 第十章 病毒对抗技术 第十章 病毒对抗技术 本章学习导读 本章主要讲解如何对抗病毒。首先介绍如何检测找到病毒，然后讲解如何将找到的病毒清除，接着讲解在发现病毒之前如何去防御病毒，最后讲解如何去获取病毒样本。 10. 1 病毒的检测技术 10.1.1 危险信号 1.磁盘的主引导扇区的信号 检查硬盘主引导扇区是否被感染，可用DEBUG编写一段程序，读出0面，0柱面，1扇区的内容。或者使用软件，在二级菜单中选物理扇区（Absolute sector），在提示下输入0面（side），0柱面（cylinder），1扇区（sector），读出主引导扇区。 10.1.1 危险信号 2.可执行文件的信号 对于寄生在可执行文件中的病毒来说，病毒程序一般通过修改原有可执行文件，使该文件执行首先转入病毒程序引导模块，该引导模块也完成把病毒程序的其它两个模块驻留及初始化的工作，然后把执行权交给执行文件，使系统及执行文件在带毒的状态下运行。 10.1.1 危险信号 3.内存空间的信号 计算机病毒在传染或执行时，必然要占有一定的内存空间，并驻留在内存中，等待时机进行攻击或传染。 10.1.1 危险信号 4.特征的信号 一些常见的病毒具有很明显的特征，即病毒中含有特殊的字符串。用抗病毒软件检查文件中是否存在这些特征，从而判定是否发生感染。特征搜索法可以确诊病毒类型。 10.1.2 特征值检测技术 计算机病毒的特征值是指计算机病毒本身在特定的寄生环境中确认自身是否存在的标记符号，即指病毒在传染宿主程序时，首先判断该病毒欲传染的宿主是否已染有病毒时，按特定的偏移量从文件中提出的特征值。 10.1.2 特征值检测技术 1.传统的特征值搜索技术 （1）采集已知的病毒样本。 （2）在病毒样本中，抽取特征值。 （3）获取病毒特征值 （4）将特征串纳入病毒特征数据库 10.1.2 特征值检测技术 2.传统的病毒特征串搜索技术的缺陷 （1）当被扫描的文件很长时，扫描所花时间也越多。 （2）不容易选出合适的特征串，很多时候会发出假警报。 （3）在新病毒的特征串还未加入病毒代码库时，老版本的扫毒程序无法识别出新病毒。 （4）怀有恶意的计算机病毒制造者得到代码库后，会很容易地改变病毒体内的代码，生成一个新的变种，使扫描程序失去检测它的能力。 （5）容易产生误警报。 （6）不易识别Mutation?Engine类病毒。 （7）搜集已知病毒的特征代码，费用开销大。 （8）在网络上使用效率低。 10.1.2 特征值检测技术 3.广谱特征串选取 （1）提取变形病毒的多个感染样本。 （2）在每个样本的相同位置抽取适当长度的病毒代码。 （3）比较这些病毒特征串，依次记下各个样本完全相同的代码。 （4）如果在各个样本的病毒特征串中，从第一组（有1个字节以上含1个字节）相同的特征串到第二组相同的特征串之间的代码，不仅常变换，而且在每一个样本中，它们之间的间距也不相同。如果是在32个字节内变化，可以用双“%%”百分号来过滤这些变化的代码。 （5）按以上方法处理完病毒特征串，最后得到的就是病毒的广谱特征串。 10.1.2 特征值检测技术 4.建立病毒广谱特征串选取注意事项 （1）病毒广谱特征串后面的汉字串中不得使用西文双引号。 （2）双问号“？？”和百分号“%%”可交叉使用。 （3）当两组病毒特征代码之间的距离大于32个字节时，大于部分可增加一些双问号“？？”来接续，或多用几个“%%”双百分号。 （4）特征值中至少要有三组不变的病毒代码。 10.1.2 特征值检测技术 特征值检测的优点 1）当特征串选择得很好时，病毒检测软件让计算机用户使用起来方便快速，对病毒了解不多的人也能用它来发现病毒。 2）不用专门软件，用编辑软件也能用特征串扫描法去检测特定病毒。 3）可识别病毒的名称。 4）误报警率低。 5）依据检测结果，可做杀毒处理。 10.1.3 行为监测技术 利用病毒的特有行为特征性来监测病毒的方法，称为行为监测法。 通过对病毒多年的观察、研究，发现病毒有一些共同行为。在正常应用程序中，这些行为比较罕见，这就是病毒的行为特性。 10.1.3 行为监测技术 监测病毒的行为特征： （1）写注册表 （2）自动联网请求 （3）占用INT 13H （4）修改DOS系统数据区的内存总量 （5）对COM和EXE文件做写入动作 （6）病毒程序与宿主程序的切换 10.1.4 校验检测技术 将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，从而可以发现文件是否感染，这种方法叫校验和法，它既可发现已