反病毒技术研讨.ppt

* * * * * * * * 病毒加壳技术： 计算机软件里有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行，拿到控制权，然后完成它们保护软件的任务，大家就把这样的程序称为“壳”了。从功能上抽象的讲，软件的壳和自然界中的壳相差无几。无非是保护、隐蔽壳内的东西。而从技术的角度出发，壳是一段执行于原始程序前的代码。原始程序的代码在加壳的过程中可能被压缩、加密……。当加壳后的文件执行时，壳－这段代码先于原始程序运行，他把压缩、加密后的代码还原成原始程序代码，然后再把执行权交还给原始代码。 软件的壳分为加密壳、压缩壳、伪装壳、多层壳等类，目的都是为了隐藏程序真正的OEP（入口点，防止被破解）。 * “梅丽莎”病毒1999年3月爆发，它伪装成一封来自朋友或同事的“重要信息”电子邮件。用户打开邮件后，病毒会让受感染的电脑向外发送50封携毒邮件。尽管这种病毒不会删除电脑系统文件，但它引发的大量电子邮件会阻塞电子邮件服务器，使之瘫痪。 由美国人大卫?L?史密斯运用Word的宏运算编写出的一个电脑病毒，主要通过邮件传播。 * * * * * * * * * * 病毒扫描程序能识别的计算机病毒的数目完全取决于病毒代码库内所含病毒的种类有多少。 * * 在计算机科学中，是指一个用来描述或者匹配一系列符合某个句法规则的字符串的单个字符串。在很多文本编辑器或其他工具里，正则表达式通常被用来检索和/或替换那些符合某个模式的文本内容。 * * * * 利用病毒的特有行为特性，监测病毒的方法，称为行为监测法。 通过对病毒多年的观察、研究，人们发现病毒有一些行为，是病毒的共同行为，而且比较特殊。在正常程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警.??这些做为监测病毒的行为特征可列举如下： ??? 1.占用INT 13H ??? 所有的引导型病毒都攻击BOOT扇区或主引导扇区。系统启动时，当BOOT扇区或主引导扇区获得执行权时，系统就开始工作。一般引导型病毒都会占用INT 13H功能，因为其他系统功能还未设置好，无法利用。引导型病毒占据INT 13H功能，在其中放置病毒所需的代码。 ??? 2.修改DOS系统数据区的内存总量 ??? 病毒常驻内存后，为了防止DOS系统将其覆盖，必须修改内存总量。 ??? 3.以COM和EXE文件做写入动作 ??? 病毒要感染，必须写COM和EXE文件。 ??? 4.病毒程序与宿主程序的切换 ??? 染毒程序运行时，先运行病毒，而后执行宿主程序。在两者切换时，有许多特征行为。 ??? 行为监测法的长处在于不仅可以发现已知病毒，而且可以相当准确地预报未知的多数病毒。但行为监测法也有其短处，即可能误报警和不能识别病毒名称，而且实现起来有一定难度。 * * * * * * * * * * * 占用INT 13H 所有的引导型病毒都攻击BOOT扇区或主引导扇区。系统启动时，当BOOT扇区或主引导扇区获得执行权时，系统就开始工作。一般引导型病毒都会占用INT 13H功能，因为其他系统功能还未设置好，无法利用。引导型病毒占据INT 13H功能，在其中放置病毒所需的代码。 2.修改DOS系统数据区的内存总量 病毒常驻内存后，为了防止DOS系统将其覆盖，必须修改内存总量来屏蔽，独占内存。 3.以COM和EXE文件做写入动作 病毒要感染，必须写COM和EXE文件。 4.病毒程序与宿主程序的切换 染毒程序运行时，先运行病毒，而后执行宿主程序。在两者切换时，有许多特征行为。 优缺点 行为监测法的长处在于不仅可以发现已知病毒，而且可以相当准确地预报未知的多数病毒。但行为监测法也有其短处，即可能误报警和不能识别病毒名称，而且实现起来有一定难度。 病毒诊断技术 计算机病毒比较法诊断原理 计算机病毒校验法诊断原理 计算机病毒扫描法诊断原理 计算机病毒行为监测法诊断原理 计算机病毒行为感染试验法诊断原理 计算机病毒行为软件模拟法诊断原理 计算机病毒分析法诊断的原理 病毒诊断技术－行为感染试验法 行为感染试验法 感染实验是一种简单实用的检测病毒方法，大多在虚拟机下运行。 当病毒检测工具不能发现病毒时，使用感染实验法。 主要利用病毒的一个特性：感染特性 可以检测出病毒检测工具不认识的新病毒，摆脱对检测工具的依赖，检测可疑新病毒。 在运行之后，进行感染实验。 病毒诊断技术 计算机病毒比较法诊断原理 计算机病毒校验法诊断原理 计算机病毒扫描法诊断原理 计算机病毒行为监测法诊断原理 计算机病毒行为感染试验法诊断原理 计算机病毒行为软件模拟法诊断原理 计算机病毒分析法诊断的原理 病毒诊断技术－行为软件模拟法 行为软件模拟法 针对多态性(加密)病毒的检测与查杀 虚拟软件法与特征代码法相结合 行为