操作系统原理教学课件作者周苏第13章操作系统安全课件.pptVIP

13.7.2 反病毒技术 病毒与反病毒技术的发展是相互促进的。早期的病毒是相对简单的代码片段，并可以被相对简单的反病毒软件包所识别和清除。随着病毒的演化，不论是病毒还是反病毒软件都变得更加复杂和成熟。更加成熟的反病毒方法和产品不断地出现。两种最重要的技术是类属解密和数字免疫系统。 13.7.2 反病毒技术 （1）类属解密技术 类属解密（GD）技术使得反病毒软件可以在保持快速扫描速度的同时，轻易地检测出甚至最复杂的变形病毒。我们知道，当一个含有变形病毒的文件被执行时，病毒必须将自身解密以激活。为了检测到这种结构，可执行文件运行时要通过一个类属解密扫描器，其包含如下元素： CPU模拟器：一个基于软件的虚拟计算机。可执行文件中的指令通过模拟器解释，而非直接由处理器执行。模拟器包括所有寄存器和其他处理器硬件的软件版本，因此真实处理器并不被模拟器所解释的程序影响。 13.7.2 反病毒技术 病毒签名扫描器：一个扫描目标代码以查找已知病毒签名的模块。 模拟控制模块：控制目标代码的执行。 在每次模拟的开始，模拟器开始逐条解释目标代码的指令。这样，如果代码包含一个解密程序，解密并暴露出病毒，则此代码被解释出。事实上，病毒自己通过暴露病毒来帮助反病毒程序完成了这个工作。控制模块周期性地中断解释作并在目标代码中扫描病毒签名。 在解释过程中，目标代码不会对实际的个人计算机环境产生任何危害，因为指令