812 校验和检测技术.ppt

《计算机病毒分析与对抗》第八讲病毒对抗技术 武汉大学计算机学院 彭国军 guojpeng@ 引言 自第一个病毒出现后，人们通过与病毒长期的斗争，积累了大量反病毒的经验，掌握了很多实用的反病毒技术，并开发出了一些优秀的抗病毒产品。 病毒对抗主要研究病毒的检测、病毒的清除和病毒的预防。 病毒的检测技术主要有特征值检测技术、校验和检测技术、行为监测技术、启发式扫描技术、虚拟机技术等。 本讲的内容提纲 8.1 病毒检测技术 8.2 病毒发现和反病毒软件 8.3 病毒常见清除手段 8.4 良好的安全意识 8.1病毒检测技术 常规计算机病毒的检测是将检测目标与病毒特征串进行对比分析，寻找病毒感染后留下的痕迹。 检测目标主要包括： 主引导区 可能带毒的文件 内存空间 检查磁盘的主引导扇区 引导病毒主要攻击磁盘上的引导扇区。 硬盘主引导扇区 软盘引导扇区 病毒侵犯引导扇区的重点是前面的几十个字节的引导程序代码。 检查可能带毒的文件 可执行程序 .exe;.dll;.com;.scr… 数据文件 .doc;.xls;.ppt;.mp3;.avi… 脚本文件 .js;.vbs;.php;.pl… 网页文件 .html;.htm;.asp… … 检查内存空间 计算机病毒在传染或执行时，必然要占有一定的内存空间，并驻留在内存中，等待时机进行攻击或传染。 DOS工作在CPU的实模式下，没有采用虚存技术也没有提供内存的保护机制，只要实实在在的扫描完所有的物理内存便可。早期有一些防毒软件就是用了这样的办法。 为提高效率，我们并不用扫描所有的内存区域，因为有些空间是没有被用到的 Windows工作于CPU的保护模式下，引入了虚存技术。每个进程拥有独立的4GB的地址空间。 对于每个进程来讲其虚拟的地址空间是连续的，实际上它们是以页面为单位离散的存在于物理内存中，一些可能被交换到硬盘上的页面文件中，而且还有大部分的空间是未提交（Uncommitted）的。 因此需要对进程的用户空间进行扫描必须依次对每个进程的空间进行扫描。 要实现对系统空间的扫描，必须通过工作于核心模式的程序—驱动程序来实现。 8.1.1 特征值检测技术 计算机病毒的特征值是用户或反病毒工作者鉴别特定计算机病毒的一种标志。通常是从病毒样本中提取的一段字符串或二进制串。 具体思路： 获取样本-〉提取特征码-〉更新病毒库-〉查杀病毒 特征值的提取选择 当计算机病毒表现模块或破坏模块被触发时，把病毒在计算机屏幕上出现的信息作为病毒的特征串。 例如大麻病毒的提示为：“Your PC is now stoned”等。 病毒为提高传播效率而使用的感染标记，即用病毒标识作为病毒的特征字串。 如黑色星期五的“suMs DOS”。 从病毒代码的特定地方开始取出连续的、不大于64且不含空格(ASCII值为32)的字节串都可以作为计算机病毒的特征串。 优缺点 优点：检测速度快、误报率低、检测准确等优点，为广大反病毒厂商所采用，技术也比较成熟。 缺点：只能检测已知恶意代码，对未知病毒无能为力。 各杀毒公司对病毒的平均反应时间 8.1.2 校验和检测技术 计算正常文件的内容和正常的系统扇区的校验和，将该校验和写入数据库中保存。 在文件使用/系统启动过程中，检查文件现在内容的校验和与原来保存的校验和是否一致，因而可以发现文件/引导区是否感染，这种方法叫校验和检测技术。 目前的可信计算机对主引导扇区和一些系统关键程序进行了校验，从而保证系统启动之后的初始安全。 使用方式 运用校验和检测技术查病毒采用三种方式： 使用专门的检测工具：在检测病毒工具中纳入校验和检测技术，对被查的对象文件计算其正常状态的校验和，将校验和值写入被查文件中或检测工具中，而后进行比较。 自我检测：在应用程序中，放入校验和检测技术自我检查功能，将文件正常状态的校验和写入文件本身中，每当应用程序启动时，比较现行校验和与原校验和值。实现应用程序的自检测。 系统自动监测：将校验和检查程序常驻内存，每当应用程序开始运行时，自动比较检查应用程序内部或别的文件中预先保存的校验和。 校验和检测常见方法 有的把校验和检测方法称之为比较检测法。比较的对象可分为系统数据、文件的头部、文件的属性和文件的内容。 （一）系统数据 病毒一般要修改和攻击系统的重要数据，在磁盘上一般要攻击硬盘主引导扇区、DOS引导扇区，在内存中要攻击中断向量表、设备驱动程序头(主要是块设备驱动程序头)。 （二）文件头部 一般比较整个文件效率较低，有的检测仅比较文件的头部。 实际上现有大多数寄生病毒是通过改变宿主程序的头部，来达到先于宿主程序执行的目的。 （三）文件基本属性 文件的基本属性包括文件长度、文件创建日期和时间、文件属性(一般属性、只读属性、隐含属