网络安全理论与技术06—恶意软件精编.ppt

1. 病毒的检测方法 1.1 特征代码法 特征代码法被认为是用来检测已知病毒的最简单、开销最小的方法。 原理： 将所有病毒的病毒码加以剖析，并且将这些病毒独有的特征搜集在一个病毒码资料库中，简称“病毒库”，检测时，以扫描的方式将待检测程序与病毒库中的病毒特征码进行一一对比，如果发现有相同的代码，则可判定该程序已遭病毒感染。 在设计此类检测工具时，应考虑如下一些问题： （1） 高速性。 随着病毒种类的增多，检索时间变长。如果检索5000种病毒，必须对5000个病毒特征代码逐一检查。如果病毒种数再增加，检查病毒的时间开销就变得十分可观。此类工具检测的高速性，将变得日益困难。 （2） 误报警率低。 （3） 要具有检查多态性病毒的能力。此要求是对病毒检测工具的新要求，特征代码法是不可能检测多态性病毒的。 （4） 能对付隐蔽性病毒。隐蔽性病毒如果先进驻内存，后运行病毒检测工具，隐蔽性病毒能先于检测工具，将被查文件中的病毒代码剥去，检测工具的确是在检查一个有毒文件，但它真正看到的却是一个虚假的“好文件”，而不能报警，被隐蔽性病毒所蒙骗。 1.2 校验和法 校验和法是将正常文件的内容，计算其“校验和”，将该校验和写入文件中或写入别的文件中保存。 在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，以此来发现文件是否感染。 优点: 既可发现已知病毒又可发现未知病毒。 常用: 在许多常用的检测工具中，都采用了这种方法。 缺点 不能识别病毒种类，不能报出病毒名称 误报警:由于病毒感染并非文件内容改变的惟一的排他性原因，文件内容的改变有可能是正常程序引起的，所以校验和法常常误报警。 会影响文件的运行速度 当已有软件版本更新、变更口令或修改运行参数时，校验和法都会误报警。 校验和法对隐蔽性病毒无效: 隐蔽性病毒进驻内存后，会自动剥去染毒程序中的病毒代码，使校验和法受骗，对一个有毒文件算出正常校验和。 * * 病毒的生命周期 4.执行阶段（Execution phase）： 在这个阶段中，病毒将实现其预期的功能。这些功能可能无害，比如在屏幕上显示一条消息；也可能是破坏的，比如对程序或数据文件造成损坏等。 * 病毒结构 * 病毒结构 /*引导功能模块*/ {将病毒程序寄生于宿主程序中； 加载计算机程序； 病毒程序随其宿主程序的运行进入系统；} {传染功能模块；} {破坏功能模块；} * 病毒结构 main() {调用引导功能模块； A：do{ 寻找传染对象； if(传染条件不满足) goto A； } while(满足传染条件)； 调用传染功能模块； while(满足破坏条件){ 激活病毒程序； 调用破坏功能模块； } 运行宿主源程序； if(不关机) goto A； 关机； } * 病毒结构 病毒可以放置在可执行文件的前端，也可以放置在该文件的后端，还可以以其它形式嵌入到可执行文件中。 病毒执行的关键是在调用被感染的程序时，将首先执行病毒代码，之后才执行程序的源代码。 * 病毒结构 图 10.2是对病毒结构的一个非常通用的描述 [COHE94]。在这个例子中，病毒代码V设置在感染程序的前端。 它还被作为程序的入口，当调用程序时，首先执行病毒程序。 * * 病毒结构 像前面所描述的这种病毒很容易被检测到， 因为感染后的程序比感染前的程序长。 防止这种检测方法的手段是对可执行文件进行压缩，使得无论该程序是否被感染，它的长度都是相同的。 * 病毒结构 图 10.3 (p331, in book) [COHE94] 表示了一般情况下这种方法所要求的逻辑。 这个病毒中的关键部分已经用数字标出。 另外， 图10.4 [COHE94] 说明了这一操作过程。 * * * 病毒结构 假设程序 P1 被病毒 CV感染。当调用程序的时候，控制权由病毒掌管，并按以下步骤操作： 1，对发现的每个未被感染的文件 P2 ，病毒首先压缩该文件，生成比原始文件小的 P2’ ， P2’与P2在文件大小上的差异刚好是一个病毒的大小。 2，病毒将其副本放置在该压缩程序前端。 * 病毒结构 3，将最初被感染的文件的压缩版 P1’ 解压缩。 4，执行解压缩后的原始程序。 梅丽莎病毒特点 计算机病毒与防治课程小组 “梅丽莎”病毒于1999年3月爆发