PresentationforRisingSoftware.pdfVIP

反病毒技术交流及 MS08-067病毒处理 主要部分介绍 病毒 传播 方式 病毒 检测 技术 五种 方法 病毒 分类 及 命名 病毒 的 加载 方式 MS08-067 病毒 （conficker） 病毒程序 获取病毒样 本文件 分析病毒病 增加至病毒 库 用户获取升 级文件进行 升级 病毒制造者 发现样本可 以查杀了， 编写新的病 毒 病毒传播方式 ? 计算机病毒传播途径： ? 通过网络传播 ?通过电子邮件传播 ?通过浏览网页和下载软件传播 ?通过即时通讯软件传播 ?通过网络游戏传播 ?通过局域网共享及后门传播 ? 通过硬件设备传播 ?通过移动存储设备传播 ?移动通信设备传播 病毒检测技术五种方法介绍 特征码检测 校验和计算 行为检测 启发式扫描以 虚拟机技术 病毒检测技术五方法剖析 ----特征码检测 ?特征码扫描是杀毒软件的主要利器，用来区 分一个文件是否为病毒。与此相对的技术是 主动防御。 ?特征码扫描主要是提取病毒文件的特征，注 意：这并不一定是病毒所独有的，所以有的 时候杀毒软件会误报。提取特征码的过程往 往是通过需要反病毒专家人工干预和自动处 理产生的。 病毒检测技术五方法剖析 ----校验和计算 ? 校验和法： – 计算文件的校验和并写入文件中或写入别的文件中保存。 在文件使用过程中，定时检查文件内容算出校验和与原保 存的校验和比对，可以发现文件是否感染。 ? 优点： – 方法简单能发现未知病毒、被查文件的细微变化也能发现。 ? 缺点： – 对文件内容的变化过于敏感、会误报警、不能识别病毒名 称、不能对付隐蔽型病毒。 病毒检测技术五方法剖析 ----行为检测 ? 通过对病毒多年的观察、研究，研究者发现病毒 有一些行为，是病毒的共同行为，而且比较特殊。 在正常程序中，这些行为比较罕见。在程序运行 时监视其行为，当发现匹配的特征行为后报警。 ? 用于检测病毒的行为特征主要有以下几点：盗用 截流系统中断、修改内存总量和内存控制块、对 可执行文件做写入操作、写引导扇区或执行格式 化磁盘等可疑动作、病毒程序与宿主程序切换、 搜索API函数地址。 ? 源于人工智能技术，是基于给定的判断规则和定义的扫描 技术，若发现被扫描程序中存在可疑的程序功能指令，则 作出存在病毒的预警或判断。 ? 在特征码扫描技术的基础上，利用对病毒代码的分析，获 得一些统计的、静态的启发知识，形成一种静态的启发式 扫描分析技术。 ? 病毒检测程序要能够识别并探测许多可疑程序代码指令序 列，按照安全和可疑的等级进行排序，根据病毒可能使用 和具备的特点而授以不同的加权值。病毒检测程序常把多 种可疑操作同时并发的情况定为发现病毒的报警标准。 病毒检测技术五方法剖析 ----启发式扫描 ? 虚拟机：指通过软件模拟的具有完整硬件系统 功能的、运行在一个完全隔离环境中的完整计 算机系统。 ? 杀毒虚拟机是一个软件模拟的CPU，可以进行 取指令、编译、执行，可以模拟一段代码在 CPU上的运行结果。 ? 从文件中确定并读取病毒入口代码，然后解释 执行病毒头部的解密段，最后在执行完的机构 中查找病毒的特征码 病毒检测技术五方法剖析 ----虚拟机技术 病毒分类及命名 病毒名称 病毒中文名称 病毒介绍 Backdoor 后门 指在用户不知道也不允许的情况下，在被感染的系统上以隐蔽的方式运行可 以对被感染的系统进行远程控制，而且用户无法通过正常的方法禁止其运行。 “后门”其实是木马的一种特例，它们之间的区别在于“后门”可以对被感 染的系统进行远程控制（如：文件管理、进程控制等）。 Worm 蠕虫 指利用系统的漏洞、外发邮件、共享目录、可传输文件的软件（如：MSN、 OICQ、IRC等）、可移动存储介质（如：U盘、软盘），这些方式传播自己的 病毒。这种类型的病毒其子型行为类型用于表示病毒所使用的传播方式。 Trojan 木马 特洛伊木马（简称木马）是以盗取用户个人信息，甚至是远程控制用户计算 机为主要目的的恶意代码。由于它像间谍一样潜入用户的电脑，与战争中的 “木马”战术十分相似，因而得名木马。按照功能，木马程序可进一步分为： 盗号木马 、网银木马 、窃密木马 、远程控制木马 、流量劫持木马 和其它 木马六类。 Virus 感染型病毒 指将病毒代码附加到被感染的宿主文件（如：PE文件、DOS下的COM文件、 VBS文件、具有可运行宏的文件）中，使病毒代码在被感染宿主文件运行时 取得运行权的病毒。 Harm 破坏性程序 指那些不会传播也不感染，运行后直接破坏本地计算机（如：格式化硬盘、 大量删除文件等）导致本地计算机无法正常使用的程序。 病毒分类及命名 病毒名称 病毒中文名称 病毒介绍 Dropper 释放病毒的程序 指不属于正常的安装或自解压程序，并且运行后释放病毒并将它们运