计算机安全-23 病毒防御技术.ppt

网络与信息安全 病毒防御技术 第三节 病毒防御技术 一、概述 二、杀毒技术 三、清除病毒 四、未来趋势 1反病毒技术概述 反病毒技术的发展历程 第一代反病毒技术 采用单纯的病毒特征代码分析，清除染毒文件中的病毒 第二代反病毒技术 采用静态广谱特征扫描技术检测病毒，可以检测变形病毒，但是误报率高 第三代反病毒技术 将静态扫描技术和动态仿真跟踪技术结合起来，将查找病毒和清除病毒合二为一 第四代反病毒技术 主动防御技术 反病毒技术的发展阶段 计算机反病毒发展史以1998年为界分为前十年和后十年两个重要阶段。 前十年历史主要是查杀感染文件型和引导区病毒的历史，后十年主要是针对蠕虫和木马的历史。 病毒技术也从以前以感染文件和复制自身，给电脑用户带来麻烦和恶作剧为目的，变成了以隐藏和对抗杀毒软件并最终实施盗号窃秘为目的。 2008年以来，病毒逃避杀毒软件追杀的能力在不断提升，内核级驱动、映像劫持、ROOTKIT、注册表关联、插入进程／线程、加壳加密等 计算机反病毒技术在与计算机病毒的较量中也得到了升华，与20年前相比已经已经有了质的飞跃。 计算机病毒防范的概念 计算机病毒防范，是指通过建立合理的计算机病毒防范体系和制度，及时发现计算机病毒侵入，并采取有效的手段阻止计算机病毒的传播和破坏，恢复受影响的计算机系统和数据 计算机病毒能利用读写文件进行感染，利用驻留内存、截取中断向量等方式能进行传染和破坏。预防计算机病毒就是要监视、跟踪系统内类似的操作，提供对系统的保护，最大限度地避免各种计算机病毒的传染破坏。 必须具有的安全意识 对计算机病毒应持有如下态度： 承认计算机病毒的客观存在 应该具有安全意识，积极采取预防措施，堵塞计算机病毒的传染途径 不惧怕病毒，树立必胜的信念；发现病毒，冷静处理 预防计算机病毒的一般措施 计算机病毒的预防措施可概括为两点 勤备份 严防守 2 病毒检测方法综述 检测计算机病毒的方法有两种 手工检测 利用Debug、PCTools、SysInfo、WinHex等工具软件进行病毒的检测 这种方法比较复杂，费时费力 可以剖析病毒、可以检测一些自动检测工具不能识别的新病毒 自动检测 利用一些专业诊断软件来判断引导扇区、磁盘文件是否有毒的方法 自动检测比较简单，一般用户都可以进行，但需要较好的诊断软件 可方便地检测大量的病毒，自动检测工具的发展总是滞后于病毒的发展 手工检测 使用分析法的人一般不是普通用户，而是反病毒技术人员 使用分析法的目的在于： 确认被观察的引导扇区和程序中是否含有病毒 确认病毒的类型和种类，判定其是否是一种新病毒 搞清楚病毒体的大致结构，提取特征识别用的字符串或特征字，并增添到病毒代码库供病毒扫描和识别程序使用 详细分析病毒代码，为制定相应的反病毒措施制定方案 上述四个目的按顺序排列起来，正好大致是使用分析法的工作顺序 使用分析法要求具有比较全面的计算机体系结构、操作系统以及有关病毒技术的各种知识 2 自动检测关键技术 比较法 基于多位CRC校验 基于病毒特征码扫描分析 启发式智能代码分析 动态数据还原 内存扫描 人工免疫 2.1 比较法诊断的原理 比较法是用原始的正常备份与被检测的内容(引导扇区或被检测的文件)进行比较 长度比较法 内容比较法 内存比较法 中断比较法 2.1 校验和法诊断的原理 根据正常文件的信息(包括文件名称、大小、时间、日期及内容)，计算其校验和，将该校验和写入文件中或写入其他文件(资料库)中保存 在文件使用过程中，定期地或每次使用文件前，检查文件现有信息算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否已被感染 运用校验和法查病毒一般采用三种方式 在检测病毒工具中纳入校验和法，对被查的对象文件计算其正常状态的校验和，将校验和值写入被查文件中或检测工具中，而后进行比较 在应用程序中，放入校验和法自我检查功能，将文件正常状态的校验和写入文件本身中，每当应用程序启动时，比较现行校验和与原校验和值，实现应用程序的自检测 将校验和检查程序常驻内存，每当应用程序开始运行时，自动比较检查应用程序内部或其他文件中预先保存的校验和 2.2 扫描法诊断的原理 扫描法是用每一种病毒体含有的特定病毒码(Virus Pattern)对被检测的对象进行扫描。如果在被检测对象内部发现了某一种特定病毒码，就表明发现了该病毒码所代表的病毒 特征代码扫描法 特征字扫描法 2.2 基于特征的分析方法 主要分为三种方法 第一代扫描器：字符串特征 第二代扫描器：近似精确扫描方法 算法扫描方法：特定病毒的专用扫描检测方法 基于特征的分析方法改进 随着病毒数目的增多，病毒特征码数量也在增多，为了解决搜索效率，对病毒特征进行分类。 过滤技术背后的思想是：病毒通常只感染一部分已知对象类型。 引导型病毒只感染引导扇区