病毒防护技术(三)反病毒技术.ppt

补充 计算机病毒防护技术 B.3 反病毒技术 计算机病毒检测技术 计算机病毒清除 计算机病毒免疫 计算机病毒预防 病毒技术与反病毒技术存在着相互对立相互依存的关系，二者在彼此的较量中不断发展。 总的来讲病毒技术落后于反病毒技术。 计算机病毒的防治可分为：计算机病毒的检测、计算机病毒的清除、计算机病毒的免疫和计算机病毒的预防。 一、计算机病毒主要检测技术 ?检测计算机病毒方法有:外观检测法、特征代码法、系统数据对比法、实时监控法和软件模拟法等方法，这些方法依据的原理不同，实现时所需开销不同，检测范围也不同，各有所长。 1. 外观检测法 计算机病毒侵入计算机系统后，通常会使计算机系统的某些部分发生变化，进而引发一些异常现象，如屏幕显示异常、声音异常、文件系统异常、系统运行速度的异常、打印机并行端口的异常和通信串行口的异常等。 这些异常虽然不能准确地判断系统感染了何种计算机病毒，但是可以根据这些异常现象来判断计算机病毒的存在，尽早地发现计算机病毒，便于及时有效地进行处理。外观检测法是?计算机病毒防治过程中起着重要辅助作用的一个环节，可通过其初步判断计算机是否感染了计算机病毒。 2. 比较法 ?进行原始的或者正常的预备检验对象的特征比较 由于病毒的感染会引起文件长度和内容、内存以及中断向量的变化，从这些特征的比较中可以发现异常，从而判断病毒的有无。 优点：简单，方便，不用专用的软件。 缺点：无法确认计算机病毒的种类和名称。 3.特征代码法 计算机病毒程序通常具有明显的特征代码，特征代码可能是计算机病毒的感染标记(由字母或数字组成串)，如“快乐的星期天”计算机病毒代码中含有“Today is Sunday”， “1434” 计算机病毒代码中含有“It is my birthday” 等。 在被计算机病毒感染的文件或计算机中，总能找到这些特征代码。将这些己知计算机病毒的特征代码串收集起来就构成了计算机病毒特征代码数据库，这样，我们就可以通过搜索、比较计算机系统(可能是文件、磁盘、内存等)中是否含有与特征代码数据库中特征代码匹配的特征代码，来确定被检计算机系统是否感染了计算机病毒，并确定感染了何种计算机病毒。 1）实现步骤 ： 特征代码法被广泛应用于很多著名计算机病毒检测工具中，是目前被公认为是检测己知计算机病毒的最简单、开销最小的方法。特征代码法的实现步骤如下。 (1)采集己知计算机病毒样本。 (2)在计算机病毒样本中，抽取计算机病毒特征代码。 (3)将特征代码纳入计算机病毒数据库。 (4)检测文件。打开被检测文件，在文件中搜索，根据数据库中的计算机病毒特征代码， 检查文件中是否含有这些特征代码，如果发现计算机病毒特征代码，由特征代码与计算机病毒一一对应，便可以断定，被查文件所感染的是何种计算机病毒。 2）优缺点 特征代码法的优点如下: (1)检测准确，快速; (2)可识别计算机病毒的具体类型: (3)误报率低: (4)依据检测结果，针对具体计算机病毒类型，可做杀毒处理。 ?3）缺点： (1)由于相对于新计算机病毒的出现，发现特征代码的时间滞后，使得新计算机病毒就有可乘之机。 (2)搜集己知计算机病毒的特征代码，研发开销大。 (3)在网络上效率低，因为在网络服务器上，长时间搜索会使整个网络性能变坏。 (4)不易识别变形计算机病毒。 4. 行为监测法(实时监控法) 实时监控反计算机病毒技术一向为反计算机病毒界所看好，被认为是比较彻底的反计算机病毒的解决方案。 通过对计算机病毒多年的观察研究，人们发现计算机病毒有一些行为是计算机病毒的共同行为，而且比较特殊。在正常程序中，这些行为比较罕见。当程序运行时，我们可以监视其行为， 一旦出现了这些计算机病毒行为，立即报警。这种方法称为行为监测法或实时监控法。 ?1) 监测病毒的行为特征 作为监测计算机病毒的行为特征可列举如下: (1)占用INT13H。 所有的引导型计算机病毒都攻击BOOT扇区或主引导扇区。系统启动时，当BOOT扇区或主引导扇区获得执行权时，系统就开始工作。一般引导型计算机病毒都会占用INT13H功能，在其中放置计算机病毒所需的代码。 (2)修改DOS系统数据区的内存总量。 计算机病毒常驻内存后，为了防止DOS系统将其覆盖，通常必须修改内存总量。 (3)对.COM和.EXE文件做写入动作。 计算机病毒要感染，必须要篡改.COM和.EXE文件。 (4)计算机病毒程序与宿主程序的绑定和切换。 染毒程序运行时，先运行计算机病毒，而后执行宿主程序。在两者切换时，也有许多特征行为。 (5)格式化磁盘或某些磁道等破坏行为。 (6)扫描、试探特定网络端口。 (7)发送网络广