计算机反病毒技术.pptVIP

6.2 反病毒技术 任 敏 计网专051 复 习 计算机病毒定义 计算机病毒的发展历史 计算机病毒的分类 计算机病毒的特点 网络计算机病毒的特点 新课导入 今年上半年，计算机病毒异常活跃，木马、蠕虫、黑客后门等轮番攻击互联网，从熊猫烧香、灰鸽子到艾妮、AV终结者，重大恶性病毒频繁发作，危害程度也在逐步加大，而此时的杀毒软件却显得应对乏力。 新课导入 在近日举办的赛门铁克VISION 2007用户大会上，来自Yankee Group研究机构的安全专家Andrew Jaquith语出惊人。他认为杀毒软件将无法有效地处理日益增多的恶意程序，并预言未来杀毒软件将走向末路。 核心问题：反病毒技术 主要内容 一 病毒检测的主要目标 二 病毒的检查方法 比较法是用原始备份与被检测的引导扇区或被检测的文件进行比较。 病毒扫描程序可识别的病毒数目取决于 病毒代码库中所含病毒的种类。 特征字识别法 分析法 五种检查方法对比 瑞星在行为检测技术上研究较早。 比如瑞星杀毒软件中的注册表监控、瑞星卡卡、上网安全助手等等都是行为检测器的雏形。 定义：“特洛伊木马”简称木马（Trojan house ），是一种基于远程控制的黑客工具,木马通常寄生于用户的计算机系统中，盗窃用户信息，并通过网络发送给黑客。在黑客进行的各种攻击行为中，木马都起到了开路先锋的作用. 木马采用客户机/服务器工作模式； 木马主要以网络为依托进行传播，偷取用户隐私资料是其主要目的。而且这些木马病毒多具有引诱性与欺骗性，是病毒新的危害趋势。 ? 普通病毒 蠕虫病毒 存在形式 寄存文件 独立程序 传染机制 宿主程序运行 主动攻击 传染目标 本地文件 网络计算机 隐藏模块 面向个人用户的蠕虫 “爱虫”、“求职信”蠕虫 按其传播和攻击特征蠕虫可分为3类： 尼姆达攻击手法 加强网络管理员安全管理水平，提高安全意识 建立病毒检测系统。可在第一时间内检测到网络的异常和病毒攻击 建立应急响应系统，将风险减少到最低 建立备份和容灾系统 六 计算机病毒的现状 频率和复杂性正在增加 病毒的网络化 病毒功能的综合化 反病毒专家称，带有黑客性质病毒的出现和黑客越来越频繁地攻击网络，信息安全问题进入了后病毒时代。 对“后病毒时代”最概括的描述就是黑客的攻击目标从大网站、大商业机构和政府机关扩展到了普通的电脑用户。 谢 谢！ 混合型的威胁 (Code Red, Nimda) 拒绝服务攻击 (Yahoo!, eBay) 发送大量邮件的病毒 (Love Letter/Melissa) 多变形病毒 (Tequila) 特洛伊木马 病毒 网络入侵 已知威胁的数量 七 计算机病毒的发展趋势 传播途径的多样化 病毒的多平台化 后病毒时代 * 回答：是一段附着在其它程序上的可以实现自我繁殖的程序代码。 回答：破坏性、传染性、隐蔽性、潜伏性、不可预见性 计算机病毒的检测方法 木马和蠕虫病毒的原理分析、危害和预防 计算机病毒的现状和发展趋势。 磁盘的主引导扇区、分区表 文件分配表、文件目录区 中断向量 可执行文件 内存空间 比较法 扫描法 特征字识别法 分析法 检验和法 该方法的优点是简单，方便，不需专用软件；缺点是无法确定病毒类型。 比较法 扫描法 扫描法是用每一种病毒体含有的特定字符串对被检测的对象进行扫描。 扫描程序由两部分组成：病毒代码库和病毒扫描程序。 计算机病毒特征字的识别法只需从病毒体内抽取很少几个关键的特征字来组成特征字库。 该方法由于要处理的字节很少，所以工作起来速度更快、误报警更少。 本方法是运用相应技术分析被检测对象，确认是否为病毒的。 校验和法 对正常文件的内容，计算其校验和，并不断比较校验和一致性 未知病毒 校验和法 分析法 特征字识别法 扫描法 比较法 速度 误报警率 病毒类型 能 能 不能 不能 能 不能 能 能 能 不能 高 低 低 低 高 较快 慢 快 较快 较快 行为监视器 三 反病毒软件工作原理和构成 病毒扫描程序 内存扫描程序 完整性检查器 反病毒软件实例—卡巴斯基 卡巴斯基反病毒应用了当今所有最尖端的反病毒技术： 病毒扫描器可随时扫描所有存储的数据； 完整性检查器检查电脑中全部数据的完整性； 独特的后台运行的脚本病毒检查器；以及可100% 拦截宏病毒的行为分析器。 反病毒软件实例—瑞星 瑞星2008版中的主动防御