第16讲病毒检测.pptVIP

7. 行为监测法（实时监控法） 原理：病毒有些行为是病毒的共同行为，且比较特殊，甚至罕见。程序运行时，监视其行为，若发现病毒行为，立即报警 检测病毒的行为特征 占用INT 13H 修改DOS系统数据区的内存总量 对.COM和.EXE文件做写入操作 计算机病毒与宿主程序的邦定和切换 格式化磁盘或某些磁道等破坏行为 扫描、试探特定网络端口 发送网络广播 修改文件、文件夹属性，添加共享等 病毒防火墙 计算机病毒防火墙：基于实时反计算机病毒技术之上提出的，其宗旨是对系统实施实时监控，对流入、流出系统的数据中可能含有的计算机病毒代码进行过滤。 对计算机病毒的过滤有良好的实时性 病毒防火墙的“双向过滤”功能保证本地系统不会外传播病毒 病毒防火墙操作更简单、更透明 优缺点 优点：可可发现已知病毒，也可较准确地预报未知多数病毒 缺点：可能误报警；不能识别病毒的名称；实现有一定难度 8. 软件模拟法 软件模拟法：专门用来检测变形病毒，即多态性病毒 变形病毒特征：病毒传播到目标后，病毒自身代码和结构在空间上、时间上具有不同的变化。 变形病毒类型： 第一类：一维变形计算机病毒 当病毒传播到一个目标后，其自身代码与前一目标中的病毒代码几乎没有3个连续字节是相同的，但其相对空间的排列位置是不变的 个别病毒遇到检测时能进行自我加密或解密，或自我消失 有的病毒能在列目录时能消失增加的字节数，或在加载跟踪时能破坏跟踪或逃之夭夭 变形病毒类型： 第二类：二维变形计算机病毒 除了具备一维变形病毒的特征外，而且变化的代码相互间的排列距离（相对空间位置）也是变化的 第三类：三维变形计算机病毒 除了具备二维变形病毒的特征外，而且能分裂后分别潜藏几处，当病毒引擎激活后能自我恢复成一个完整的计算机病毒 计算机病毒在附着体上的空间位置是变化的，即潜藏位置不定 第四类：四维变形计算机病毒 具备三维变形病毒的特征，而且这些特性随时间动态变化 四维变形病毒大部分具备网络自动传播功能，能在网络的不同角落到处隐藏 检测：一般而言，多态计算机病毒的变换方式： 采用等价代码对原有代码进行替换； 改变与执行次序无关的指令的次序； 增加许多垃圾指令； 对原有病毒代码进行压缩或加密。 软件模拟技术：又称为解密引擎、虚拟机技术、虚拟执行技术或软件仿真技术 软件模拟技术是一种软件分析器，用软件方法模拟一个程序运行环境，将可疑程序载入其中运行，在执行过程中，待计算机病毒对自身进行解码后，再运用特征代码法来识别病毒的种类，并进行清除，从而实现对各类多态病毒的查杀。 9. 启发式代码扫描技术 1. 计算机病毒扫描技术：当前最主要的查杀方式 主要通过检查文件、扇区和系统内存来搜索计算机病毒，用“标记”查找已知病毒。病毒标记就是病毒常用代码的特征 按杀毒方式分类： 通用扫描：不依赖操作系统，可查找各种病毒 专用扫描：专查某种计算机病毒 按用户操作方式分类： 实时扫描：若出现计算机病毒，能够立即发现 请求扫描：只在运行时才能检测计算机病毒 检测病毒的主要依据：病毒和正常程序之间存在很多区别 2．启发式代码扫描：又称启发式职能代码分析 将人工智能的知识和原理运用到计算机病毒检测中 运用启发式扫描技术的计算机病毒检测软件，实际上就是以人工智能的方式实现的动态反编译代码分析、比较器，通过对程序有关指令序列进行反编译，逐步分析、比较，根据其动机判断是否为计算机病毒。 3．启发式扫描通常应设立的标志： 为了对程序可能的操作进行加权统计和描述，计算机病毒检测程序会对被检测程序作疑似计算机病毒的标记。 如：TBScan定义的常用标志 4．误报/漏报 误报：将一个本无计算机病毒的程序指证为染毒程序 漏报：将一个计算机病毒程序作为正常程序处理 产生原因：被检测程序中含有病毒所使用或含有的可疑功能 减少或避免误报/漏报： 准确把握病毒的行为和可疑功能调用集合的精确定义； 对于常规程序代码的识别能力； 对于特定程序代码的识别能力； 类似“无罪假定”的功能。 5．其他扫描技术 CRC扫描：磁盘中的实际文件或系统扇区的CRC值（检验和），这些CRC值被杀毒软件保存在自己的数据库中，在运行杀毒软件时，用备份的CRC值与当前计算的值比较，可知文件是否已被修改或被计算机病毒感染。 10. 主动内核技术 Active K（主动内核）技术的要点在于能够在计算机病毒突破计算机系统软、硬件的瞬间发生作用。一方面不会伤及计算机系统本身；另一方面对企图入侵系统的计算机病毒具有彻底拦截并杀除的作用。 主动内核技术：从操作系统内核的深度，给操作系统和网络系统打一“主动”的补丁，从安全角度对系统进行管理和检查，对系统的漏洞进行修