反病毒技术概.ppt

* * * * 引擎的邮件、邮箱、压缩包对象在引擎中统称为复合文件对象，在最新的引擎的复合文件对象中采取了虚拟文件系统技术及将复合文件对象看成一个文件系统（也可以理解为一个目录），采用这种方式可以便捷地对邮件、邮箱、压缩包进行管理，处理方式更加灵活。 反病毒引擎的技术特征 邮件、邮箱、压缩包拆分技术 利用虚拟机对程序进行虚拟执行，通过返回结果判定文件是否被加壳。 真实脱壳是对加壳算法进行分析后生成脱壳算法。 反病毒引擎的技术特征 虚拟与真实相结合的脱壳技术 利用智能代码分析技术（即基于对典型病毒的代码特征和执行流程进行分析，提取经典病毒的典型代码特征和逻辑特征并作为查杀病毒的特征串）可对木马程序提取指纹信息。通过指纹，引擎可以快速地排除正常文件。 反病毒引擎的技术特征 木马指纹特征技术 查杀病毒时在机器虚拟内存中模拟出一个“指令执行虚拟机”； 在虚拟机环境中虚拟执行（不会被实际执行）带毒文件； 在执行过程中，从虚拟机环境内截获文件数据，如果含有可疑的病毒代码，则杀毒后将其还原到文件中，从而实现对各类可执行文件内病毒的查杀。 采用这种方法可以对付加密型、变形型、程序自压缩文件内的病毒。 反病毒引擎的技术特征 利用可执行引擎执行特征提取技术 病毒更新换代，向多元化发展 依赖网络进行传播 攻击方式多样 利用系统漏洞成为病毒有力的传播方式 病毒与黑客技术相融合 隐蔽性增强 0环和3环的构挂技术运用的越来越多。 更新速度加快 病毒的发展趋势 引擎的发展趋势 多层面立体防护体系 进一步发展未知病毒的检测技术 主动修复技术 更可靠的数据备份和灾难恢复技术 与其它安全产品的联动 完善的应急相应系统 * * * * * * * * * 病毒扫描程序能识别的计算机病毒的数目完全取决于病毒代码库内所含病毒的种类有多少。 * * * * * * * * * * * * * * 反病毒技术概述 －反病毒技术剖析 反病毒技术剖析 反病毒技术概述 病毒诊断技术 反病毒引擎技术剖析 反病毒技术概述 病毒疫苗举例： “美丽莎”病毒修改Windows注册表项：HKEY_CURRENT_RSER\Software\Microsoft\Office,增加表项：Melissa并赋值为byKwyjibo 反病毒技术剖析 反病毒技术概述 病毒诊断技术 反病毒引擎技术剖析 病毒诊断技术 计算机病毒比较法诊断原理 计算机病毒校验法诊断原理 计算机病毒扫描法诊断原理 计算机病毒行为监测法诊断原理 计算机病毒行为感染试验法诊断原理 计算机病毒行为软件模拟法诊断原理 计算机病毒分析法诊断的原理 病毒诊断技术－计算机病毒比较法 病毒诊断技术－计算机病毒比较法 病毒诊断技术－计算机病毒比较法 病毒诊断技术－计算机病毒比较法 病毒诊断技术－计算机病毒比较法 病毒诊断技术 计算机病毒比较法诊断原理 计算机病毒校验法诊断原理 计算机病毒扫描法诊断原理 计算机病毒行为监测法诊断原理 计算机病毒行为感染试验法诊断原理 计算机病毒行为软件模拟法诊断原理 计算机病毒分析法诊断的原理 病毒诊断技术－计算机病毒扫描法 扫描法是用每一种病毒体含有的特定字符串对被检测的对象进行扫描。 如果在被检测对象内部发现了某一种特定字符串，就表明发现了该字符串所代表的病毒。 特征代码扫描法 特征字扫描法 病毒诊断技术－计算机病毒扫描法 特征代码扫描法 病毒扫描软件由两部分组成：一部分是病毒代码库，含有经过特别选定的各种计算机病毒的代码串； 另一部分是利用该代码库进行扫描的扫描程序。 病毒诊断技术－计算机病毒扫描法 选择代码串的规则是： 代表性 避开数据区。 尽量使特征代码长度简短 区别于其它病毒及其变种 将病毒与正常的非病毒程序区分开 病毒诊断技术－计算机病毒扫描法 例如给定特征串： “E9 7C 00 10 ? 37 CB” “E9 7C 00 10 27 37 CB” “E9 7C 00 10 9C 37 CB” 又例如： “E9 7C 37 CB” “E9 7C 00 37 CB” “E9 7C 00 11 37 CB” “E9 7C 00 11 22 37 CB” “E9 7C 00 11 22 33 44 37 CB”（不匹配） 病毒诊断技术－计算机病毒扫描法 病毒诊断技术－计算机病毒扫描法 特征字扫描法 速度更快、误报警更少，但仍然存在特征代码扫描法所具有的一些缺点。 只需从病毒体内抽取很少几个关键的特征字组成特征字库。 需要处理的字节很少，而又不必进行串匹配，加快了识别速度。 病毒诊断技术－行为监测法诊断原理 检测的行为包括 占用INT 13H 修改DOS系统数据区的内存总量 以COM和EXE文件做写入动作 病毒程序与宿主程序的切换 病毒诊断技术－行为感染