计算机病毒防治 课件PPT精要.pptVIP

* * * * * * * 病毒也可以利用SSDT HOOK技术来对抗主动防御技术。但是提前得绕过杀毒软件进入ring0层，还原杀毒软件的SSDT HOOK。现在的病毒编写者和反病毒软件的一个功防重点就是对如何进入ring0层的方法的发现和控制。 * 简单的讲解一下病毒的行为分析技术，这个是我在腾讯电脑管家实习学习到的知识。 / 迅速多渠道检测文件是否为病毒或者感染病毒。 / 国内病毒样本在线分析 * （2）病毒文件的花指令 一个没有任何防护措施的程序，很容易被完整地静态反汇编出来。为了达到迷惑破解者的目的，病毒作者往往在程序中加入花指令。这不仅仅用在计算机病毒中以防止被轻易分析出其病毒结构和原理，它也常常用在很多正常的软件中，以防止遭到非法破解。 所谓花指令就是在我们的程序之间加入一些似乎没有什么意义的代码，这些代码不会妨碍程序的正常低运行，但是在静态反汇编时，去会让原本正常的代码解释成难以读懂甚至有些怪异的汇编代码。 5 计算机病毒的对抗技术 （3）病毒文件的加密 尽管有些病毒采用了花指令，但是还是比较容易地被正确地反汇编出来。为了加大静态反汇编的难度，提高病毒的生存能力，病毒制造者采用了病毒的加密技术，该技术目前已经得到很大的发展，进而演变出病毒的多态技术和病毒的变形技术。 5 计算机病毒的对抗技术 一个简单的加密病毒一般有如下几个部分： 解密算法（解开被加密的代码，一遍病毒执行） 病毒主体代码（被加密的病毒代码） 跳转（病毒解密完毕后，跳转到解密代码部分执行病毒语句） 病毒代码 密文 解密代码 EIP 病毒代码 明文 解密代码 EIP 解密 （4）加壳技术 壳是一种专用的加密软件，现在越来越多的软件都是用加壳保护。在一些计算机软件里有一段专门负责保护软件不被非法修改或反编译的程序，它们附加在原程序上通过Windows加载器载入内存后，先于原始程序执行，得到控制权，执行过程中对原始程序进行解密、还原，还原完成后再把控制权还给原始程序，执行原来的代码部分。这段程序就是“壳”。病毒同样运用了这个技术来防止程序被静态反编译。 5 计算机病毒的对抗技术 （5）特征码定位 特征码识别是杀毒软件查杀病毒的重要手段之一。病毒在特征码就是从病毒体内不同位置提取的一系列字节，杀毒软件就是通过这些字节及位置信息来检验某个文件是否病毒。 特征码定位的原理就是使用特定的字符，每次修改原文件部分内容，然后将新生成的所有文件交给杀毒软件扫描，如果原文件的特征码部分被修改了，这个新生成的文件就无法被杀毒软件扫描出来。因此就可以找到原文件的特征码在哪个位置，然后病毒的编写者针对相应位置进行修改。 5 计算机病毒的对抗技术 （6）反调试技术 反虚拟分析环境 反调试 抗动态启发式扫描 5 计算机病毒的对抗技术 5.2计算机病毒对抗技术 （1）病毒的检测技术（多用于杀毒软件） （2）病毒发现与清除（多用于手动查杀） 5 计算机病毒的对抗技术 （1）病毒的检测技术（多用于杀毒软件） 特征值检测技术 校验和检测技术 启发式扫描技术 虚拟机技术 主动防御技术 5 计算机病毒的对抗技术 （1）病毒的检测技术（多用于杀毒软件） 特征值检测技术 计算机病毒的特征值是指计算机病毒本身在特定的寄生环境中确认自身是否存在的标记符号，是指病毒在传染宿主程序时，首先判断该病毒欲传染的宿主是否已染有该病毒，按照特定的偏移量从文件中提出的特征值。 校验和检测技术 校验和技术是冗余校验的一种形式，一般在数据通信和数据处理时用来校验一组数据的完整性。其原理就是当等校验的数据发生改变是，重新生成的校验和就会发生变化。 5 计算机病毒的对抗技术 （1）病毒的检测技术（多用于杀毒软件） 启发式扫描技术 启发式扫描技术是通过分析指令出现的顺序，或特定组合情况等常见病毒的标准特征来决定文件是否感染病。病毒要达到感染和破坏的目的，通常的行为都会有一定的特征，例如：非常规读写文件，终结自身，非常规切入等。所以可以根据扫描特定的行为或多种行为的组合来判断一个程序是否是病毒。 虚拟机技术 很多杀毒软件厂商引入了虚拟机的概念，让病毒程序虚拟执行解密出的病毒体并暴露病毒的行为，反病毒虚拟机控制着病毒的每条指令的执行，等到病毒执行到特定的位置进行查毒和清毒的操作。 5 计算机病毒的对抗技术 （1）病毒的检测技术（多用于杀毒软件） 主动防御技术 主动防御技术是近几年反病毒厂商所采用的新技术之一，