计算机病毒的检测清除与免疫-read.ppt

计算机病毒与反病毒技术 主要内容 计算机病毒的防范措施 计算机病毒的检测技术与原理 启发式查毒技术 虚拟机查毒技术 实时监控技术 引导型病毒的清除 文件型病毒的清除 计算机病毒的免疫方法 9.1.1 反病毒技术的产生与发展简介 反病毒技术应运而生，并在与病毒对抗的过程中不断发展 从“消毒软件”到“防毒卡” “查杀防三合一”实时反病毒软件的诞生 反病毒技术的发展历程 第一代反病毒技术 采用单纯的病毒特征代码分析，清除染毒文件中的病毒 第二代反病毒技术 采用静态广谱特征扫描技术检测病毒，可以检测变形病毒，但是误报率高 第三代反病毒技术 将静态扫描技术和动态仿真跟踪技术结合起来，将查找病毒和清除病毒合二为一 第四代反病毒技术 9.1.1 反病毒技术的产生与发展简介 基于病毒家族体系的命名规则、基于多位CRC校验和扫描机理、启发式智能代码分析模块、动态数据还原模块(能查出隐蔽性极强的压缩加密文件中的病毒)、内存解毒模块、自身免疫模块等先进的解毒技术，较好的解决了以前防毒技术顾此失彼、此消彼长的状态，能够较好地完成查毒、解毒的任务 9.1.2 计算机病毒防治技术的划分 计算机病毒的防治技术分成四个方面 病毒预防技术 病毒检测技术 病毒消除技术 病毒免疫技术 除了免疫技术因目前找不到通用的免疫方法而进展不大之外，其他三项技术都有相当的进展 9.2.1 计算机病毒防范的概念 计算机病毒防范，是指通过建立合理的计算机病毒防范体系和制度，及时发现计算机病毒侵入，并采取有效的手段阻止计算机病毒的传播和破坏，恢复受影响的计算机系统和数据 计算机病毒能利用读写文件进行感染，利用驻留内存、截取中断向量等方式能进行传染和破坏。预防计算机病毒就是要监视、跟踪系统内类似的操作，提供对系统的保护，最大限度地避免各种计算机病毒的传染破坏 9.2.2 必须具有的安全意识 对计算机病毒应持有如下态度： 承认计算机病毒的客观存在 应该具有安全意识，积极采取预防措施，堵塞计算机病毒的传染途径 不惧怕病毒，树立必胜的信念；发现病毒，冷静处理 9.2.3 预防计算机病毒的一般措施 计算机病毒的预防措施可概括为两点 勤备份 严防守 9.3.1 病毒检测方法综述 检测计算机病毒的方法有两种 手工检测 利用Debug、PCTools、SysInfo、WinHex等工具软件进行病毒的检测 这种方法比较复杂，费时费力 可以剖析病毒、可以检测一些自动检测工具不能识别的新病毒 自动检测 利用一些专业诊断软件来判断引导扇区、磁盘文件是否有毒的方法 自动检测比较简单，一般用户都可以进行，但需要较好的诊断软件 可方便地检测大量的病毒，自动检测工具的发展总是滞后于病毒的发展 9.3.2 比较法诊断的原理 比较法是用原始的正常备份与被检测的内容(引导扇区或被检测的文件)进行比较 长度比较法 内容比较法 内存比较法 中断比较法 9.3.3 校验和法诊断的原理 根据正常文件的信息(包括文件名称、大小、时间、日期及内容)，计算其校验和，将该校验和写入文件中或写入其他文件(资料库)中保存 在文件使用过程中，定期地或每次使用文件前，检查文件现有信息算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否已被感染 运用校验和法查病毒一般采用三种方式 在检测病毒工具中纳入校验和法，对被查的对象文件计算其正常状态的校验和，将校验和值写入被查文件中或检测工具中，而后进行比较 在应用程序中，放入校验和法自我检查功能，将文件正常状态的校验和写入文件本身中，每当应用程序启动时，比较现行校验和与原校验和值，实现应用程序的自检测 将校验和检查程序常驻内存，每当应用程序开始运行时，自动比较检查应用程序内部或其他文件中预先保存的校验和 9.3.4 扫描法诊断的原理 扫描法是用每一种病毒体含有的特定病毒码(Virus Pattern)对被检测的对象进行扫描。如果在被检测对象内部发现了某一种特定病毒码，就表明发现了该病毒码所代表的病毒 特征代码扫描法 特征代码模糊扫描法 9.3.5 行为监测法诊断的原理 利用病毒的特有行为特性监测病毒的方法，称为行为监测法，也称为人工智能陷阱法 通过对病毒多年的观察、研究，人们发现病毒有一些行为，是病毒的共同行为，而且比较特殊，在正常程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警 盗用截流系统中断 修改内存总量和内存控制块(MCB) 对可执行文件做写入动作 病毒程序与宿主程序的切换 搜索API函数地址 9.3.6 感染实验法诊断的原理 这种方法的原理是利用了病毒的最重要的基本特征：感染特性 检测未知引导型病毒的感染实验法 检测未知文件型病毒的感染实验法 9.3.7 软件模拟法诊断的原理 软件模拟(Software Emulation)