反病毒软件的编制技术和最新查毒技术介绍资料.ppt

Virus 计算机病毒与防治 教学单元5-1分析反病毒软件的编制技术 主动防御技术 计算机病毒特征码 静态启发式查毒技术 第一讲反病毒软件的编制技术和最新查毒技术介绍 计算机病毒与防治课程小组 动态启发式查毒技术 反病毒软件的编制技术 随着网络的发展和各种移动存储设备的普及，计算机病毒的传播途径日益增多，相信经常使用计算机的朋友，都使用过杀毒软件。那么杀毒软件是根据什么原理来查、杀病毒的呢？杀毒软件都包括哪些结构？ 大家一起来讨论 6.1 计算机病毒特征码 所谓的病毒特征码可以说就是病毒的“指纹”，当杀毒软件公司收集到一个新的病毒时，他们就会从这个病毒程序中截取一小段独一无二而且足以表示这个病毒的二进制程序代码，来当作查毒程序辨认此病毒的依据，而这段独一无二的二进制程序代码就是所谓的病毒码。 二进制程序代码是计算机的最基本语言，在计算机中所有可以执行的程序几乎都是由二进制程序代码所组成。 6.1 计算机病毒特征码 例如，如果有一个Windows的程序被病毒感染，那么杀毒软件公司就必须先研究出Windows文件的格式，看看Windows文件是怎么被系统执行，以便找出Windows程序的进入点，因为病毒就是藏身在这个地方来取得控制权并进行传染及破坏，知道病毒程序在一个Windows文件中所存在的位置之后，就可以从这个区域来找出一段特殊的病毒特征码供查毒程序使用。 计算机病毒与防治课程小组 6.1 计算机病毒特征码 计算机病毒与防治课程小组 在杀毒软件公司中都有技术人员专门在为各种不同类型的病毒提取病毒特征码，可是当病毒愈来愈多，要找出每一个病毒都独一无二的病毒码可能就不太容易，有时甚至这些病毒码还会误判到一些不是病毒的正常文件，所以通常杀毒软件公司在将病毒码送给客户前都必须先经过一番严格的测试，才放在Internet上供使用者自由下载或做成产品出售。 6.1 计算机病毒特征码 计算机病毒与防治课程小组 目前的大多数杀病毒软件采用的方法主要是特征码查毒方案与人工解毒并行，亦即在查病毒时采用特征码查毒，在杀病毒时采用人工编制解毒代码。 但是，特征码查毒方案也具有极大的局限性。特征码的描述取决于人的主观因素，从长达数千字节的病毒体中撷取十余字节的病毒特征码，需要对病毒进行跟踪、反汇编以及其它分析，如果病毒本身具有反跟踪技术和变形、解码技术，那么跟踪和反汇编以获取特征码的情况将变得极其复杂。 此外，要撷取一个病毒的特征码，必然要获取该病毒的样本，再由于对特征码的描述各个不同，特征码方法在国际上很难得到广域性支持。特征码查病毒主要的技术缺陷表现在较大的误查和误报上，而杀病毒技术又导致了反病毒软件的技术迟滞。 6.2最新查毒技术解析 计算机病毒与防治课程小组 80年代末期，基于个人电脑病毒的诞生，随即就有了清除病毒的工具──反病毒软件。这一时期，病毒所使用的技术还比较简单，从而检测相对容易，最广泛使用的就是特征码匹配的方法。然而为了躲避杀毒软件的查杀，病毒开始了进化，逐渐演变为变形的形式，每感染一次，就对自身变一次形，通过对自身的变形来躲避查杀。 这样一来，同一种病毒的变种病毒大量增加，杀毒软件单纯依靠病毒库和特征码技术已经不能适应如今的网络安全。于是，便出现了广谱特征码的概念. 6.2最新查毒技术解析 广谱特征码技术在一段时间内，对于处理某些变形的病毒提供了一种方法，但是也使误报率大大增加，所以采用广谱特征码的技术目前也不能有效的对新病毒和未知病毒进行查杀，那么，现如今种类繁多的杀毒软件都有哪些新技术和新特征来适应当前的病毒威胁，又是如何实现的呢？ 目前最常用的是主动防御技术和启发式查毒技术。 6.2最新查毒技术解析 主动防御技术： 由于传统的基于病毒库扫描的反病毒软件都是很被动的，只能在新病毒出现之后才能有应付措施，一个病毒制造者所编写的病毒很有可能在被杀毒软件厂商截获并添加到产品病毒库之前进入用户电脑。此时，由于该病毒的特征码还未添加到杀毒软件病毒库中，杀毒软件会将病毒认为是正常文件而放过，使得用户电脑被病毒所感染。因此，业界将能够主动检测和拦截未知威胁的防御方法称为“主动防御”。 6.2最新查毒技术解析 杀毒软件具有滞后性，这是业界公认的一个杀毒软件弊端，而主动防御却很好的解决了这个问题。 主动防御技术主要是针对未知病毒提出来的病毒防杀技术，在没有病毒样本的情况下，对病毒进行全面而有效的全面防护，阻止病毒的运作，从技术层面上有效应对未知病毒的肆虐，一是在未知病毒和未知程序方面，通过“行为判断”技术识别大部分未被截获的未知病毒和变种。 另一方面，通过对漏洞攻击行为进行监测，这样可防止病毒利用系统漏洞对其它计算机进行攻击，从而阻止病毒的爆发。 6.2最新查毒技术解析 启发式查毒技术