计算机病毒防治技术.pptVIP

计算机病毒防治技术 本章的学习目标 了解计算机病毒防治的现状 掌握常用病毒防治技术 了解病毒防治技术的缺陷 掌握典型病毒防治方法 防治技术概括成四个方面： 检测 清除 预防 被动防治 免疫 主动防治 本章内容 病毒防治技术现状 目前的流行技术 病毒防治技术的缺陷 数据备份与数据恢复 驱动程序设计 病毒防治技术现状 防病毒产品的历史 一对一的防病毒产品 防病毒卡 自身不被感染 但不能清楚磁盘病毒 90年代中期，查杀防合一 90年代末期开始，推出了实时防病毒产品 新时期的防病毒产品趋势 反黑客技术与反病毒技术相结合 从入口拦截病毒（网络入口、系统入口） 全面解决方案 个性化定制（后期服务） 区域化到国际化 病毒防治技术的几个阶段 第一代反病毒技术采取单纯的病毒特征诊断，但是对加密、变形的新一代病毒无能为力。 第二代反病毒技术采用静态广谱特征扫描技术，可以检测变形病毒，但是误报率高，杀毒风险大。 第三代反病毒技术将静态扫描技术和动态仿真跟踪技术相结合。 第四代反病毒技术基于多位CRC校验和扫描机理、启发式智能代码分析模块、动态数据还原模块（能查出隐蔽性极强的压缩加密文件中的病毒）、内存解毒模块、自身免疫模块等先进解毒技术，能够较好地完成查解毒的任务。 第五代反病毒技术主要体现在反蠕虫病毒、恶意代码、邮件病毒等技术。这一代反病毒技术作为一种整体解决方案出现，形成了包括漏洞扫描、病毒查杀、实时监控、数据备份、个人防火墙等技术的立体病毒防治体系。 目前的流行技术 虚拟机技术 宏指纹识别技术 驱动程序技术 计算机监控技术 数字免疫系统 网络病毒防御技术 立体防毒技术 …… 虚拟机技术 接近于人工分析的过程 原理 用程序代码虚拟出一个CPU来，同样也虚拟CPU的各个寄存器，甚至将硬件端口也虚拟出来，用调试程序调入“病毒样本”并将每一个语句放到虚拟环境中执行，这样我们就可以通过内存和寄存器以及端口的变化来了解程序的执行，从而判断是否中毒。 加密、变形等病毒 主要执行过程： 在查杀病毒时，在机器虚拟内存中模拟出一个“指令执行虚拟机器”； 在虚拟机环境中虚拟执行（不会被实际执行）可疑带毒文件； 在执行过程中，从虚拟机环境内截获文件数据，如果含有可疑病毒代码，则说明发现了病毒。 杀毒过程是在虚拟环境下摘除可疑代码，然后将其还原到原文件中，从而实现对各类可执行文件内病毒的杀除。 宏指纹识别技术 宏指纹识别技术（Macro Finger）是基于Office复合文档BIFF格式精确查杀各类宏病毒的技术。 其特点是： 1、能够查杀Word、Excel、PowerPoint等各类Office文档中的宏病毒； 2、能够查出Word、Excel、PowerPoint加密文件中的宏病毒； 3、能够清除文档中未知名的宏，因此，从理论上来说可以查杀所有的未知宏病毒； 4、可以修复部分宏病毒或其他不合格杀毒产品破坏过的Office文档。 驱动程序技术 DOS设备驱动程序 VxD（虚拟设备驱动）是微软专门为Windows制定的设备驱动程序接口规范。 NT核心驱动程序 WDM（Windows Driver Model）是Windows驱动程序模型的简称。 作用：开发监控程序、接近系统内核的程序 32位内核技术 首先，32位较16位大大扩展了内存寻址空间，这是显而易见的，但就反病毒技术而言，这一问题以前并没有引起我们足够的重视。 其次，16位应用程序无法实现多任务、多线程调度。 系统支持问题。 计算机监控技术 计算机监控技术（实时监控技术）： 注册表监控 脚本监控 内存监控 邮件监控 文件监控等 优点： 解决了用户对病毒的“未知性”，或者说是“不确定性”问题。 实时监控是先前性的，而不是滞后性的。 监控病毒源技术 邮件跟踪体系 例如，消息跟踪查寻协议（MTQP-Message Tracking Query Protocol） 网络入口监控防病毒体系 例如，TVCS-Trend Virus Control System 无缝连接技术 嵌入式杀毒技术 无缝连接是在充分掌握系统的底层协议和接口规范的基础上，开发出与之完全兼容的产品的技术。 应用实例 右键快捷方式 硬盘格式的支持 Office套件的支持等 主动内核技术 在操作系统和网络的内核中加入反病毒功能，使反病毒成为系统本身的底层模块，而不是一个系统外部的应用软件是主动内核技术。 应用难度大 开源 非开源 检查压缩文件技术 压缩文件是病毒的重要藏身地之一。 杀毒思路： 第一种：压缩病毒码 第二种：先解压后查毒（需要虚拟执行技术） 启发式代码扫描技术 启发式指的“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能。” 一个运用启发式扫描技术的病毒检测软件，实际上就是以特定方式实现的动态跟踪器或反编译器，通过对有关