《反病毒技术》讲义.docVIP

《反病毒技术》讲义 一、复习 1、计算机病毒定义（提问） 回答：“计算机病毒”最早是由美国计算机病毒研究专家F.Cohen博士提出的。 “计算机病毒”有很多种定义，国外最流行的定义为：计算机病毒，是一段附着在其他程序上的可以实现自我繁殖的程序代码。在《中华人民共和国计算机信息系统安全保护条例》中的定义为：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 2、计算机病毒的发展历史 回答：世界上第一例被证实的计算机病毒是在1983年，出现了计算机病毒传播的研究报告。同时有人提出了蠕虫病毒程序的设计思想；1984年，美国人Thompson开发出了针对UNIX操作系统的病毒程序。 1988年11月2日晚，美国康尔大学研究生罗特·莫里斯将计算机病毒蠕虫投放到网络中。该病毒程序迅速扩展，造成了大批计算机瘫痪，甚至欧洲联网的计算机都受到影响，直接经济损失近亿美元。 计算机病毒在中国的发展情况：在我国，80年代末，有关计算机病毒问题的研究和防范已成为计算机安全方面的重大课题。 3、计算机病毒的分类 1．按传染方式分为引导型、文件型和混合型病毒 2．按连接方式分为源码型、入侵型、操作系统型和外壳型病毒 3．按破坏性可分为良性病毒和恶性病毒 4．网络病毒 4、计算机病毒的特点（提问） （1）刻意编写，人为破坏 （2）自我复制能力 （3）隐蔽性 （4）潜伏性 （5）不可预见性 5、网络计算机病毒的特点 （1）传染方式多 （2）传染速度快 （3）清除难度大 （4）破坏性强 二、新课导入： 解说病毒和反病毒日益尖锐的斗争，让学生认识到反病毒技术的重要性和严峻性，从而引入新课。 近年来，互联网安全环境日益严峻。科技在发展，病毒也在不断演变，病毒的破坏力不仅给业界和用户带来无尽的烦恼，而且对国家信息安全构成了严重威胁。今年上半年，计算机病毒异常活跃，木马、蠕虫、黑客后门等轮番攻击互联网，从熊猫烧香、灰鸽子到艾妮、AV终结者，重大恶性病毒频繁发作，危害程度也在逐步加大，而此时的杀毒软件却显得应对乏力。如何准确地把握反计算机病毒的发展趋势，在与计算机病毒的斗争中占得上风，为信息安全保驾护航？业界专家及杀毒软件厂商在思索、在行动。???? 在近日举办的赛门铁克VISION 2007用户大会上，来自Yankee Group研究机构的安全专家Andrew Jaquith语出惊人。他认为杀毒软件将无法有效地处理日益增多的恶意程序，并预言未来杀毒软件将走向末路。对于这一说法，业界颇有微词，甚至认为是无稽之谈。 ????业界众多人士分析认为，无论是从计算机病毒的发展历史和趋势来看，还是从目前奋战在一线的国内外杀毒软件厂商的战果及战略布局来看，这一场反计算机病毒的持久战仍未分出胜负，并且他们相信，“正义”终将战胜“邪恶”。 二、新课讲授： （一）计算机病毒的检查 检查磁盘主引导扇区 （程序代码是否发生改变） 引导型病毒：修改硬盘主引导扇区。硬盘或软盘的BOOT扇区。为保存原主引导扇区、BOOT扇区，病毒可能随意地将它们写入其他扇区，而毁坏这些扇区。 检查FAT表 文件分配表，文件目录区 修复被CIH破坏的硬盘分区表。 检查中断向量 （中断向量表是否改变）有许多DOS下的病毒就喜欢修改13H号中断来破坏系统, 例如,修改13H号中断服务程序,将其改成自己的代码。 （4）检查可执行文件 （其长度是否改变） （5）检查内存空间 病毒进入内存后会产生两个线程，记录键盘，监视系统运行，伺机等待复制和破坏。 说明：以上前五种方法都是检查现有的文件是否和原有文件发生变化，若没有可判断没有病毒，若有肯定是为病毒所修改。最后一种方法的使用要有一个前提就是所判断的病毒要有其特征定义。 （二） 检测的主要方法 比较法 用原始备份与被检测的引导扇区或检测的文件进行比较。如文件长度的变化，或程序代码的变化等。 该该方法的优点是简单，方便，不需专用软件；缺点是无法确定病毒类型。 扫描法 扫描法是用每一种病毒体含有的特定字符串对被检测的对象进行扫描。 扫描程序由两部分组成：病毒代码库和对该代码进行扫描的程序。 病毒扫描程序可识别的病毒数目取决于病毒代码库中所含病毒的种类。 特征字识别法 计算机病毒特征字的识别法只需从病毒体内抽取很少几个关键的特征字来组成特征字库。 该方法由于要处理的字节很少，所以工作起来速度更快、误报警更少 分析法 本方法是运用相应技术分析被检测对象，确认是否为病毒的。 静态分析是指利用反汇编工具将计算机病毒代码打印成反汇编指令程序清单后进行分析，以便了解计算机病毒分成哪些模块，使用了那些系统调用，采用了那些技巧等等。 动态分