第5章 商业安全软件的常用技术知识 恶意代码防范课件.pptVIP

1896 1920 1987 2006 信息安全工程学院 School of Information Security Engineering 信息安全工程学院 College of Information Security Engineering 商业安全软件的常用技术 刘功申 上海交通大学信息安全工程学院 本章学习目标 了解恶意代码防治的现状 掌握常用病毒防治技术 了解病毒防治技术的缺陷 本章内容 恶意代码防治技术的进展 商业软件采用的防治技术 现有防治技术的缺陷 1 恶意代码防治技术的进展 检测: 单特征代码 多特征代码 清除： 具体案例具体分析 加壳 防治技术历史总结 第一代防治技术采取单纯的特征代码诊断，但是对加密、变形的新一代恶意代码无能为力。 第二代防治技术采用静态广谱特征扫描技术，可以检测变形恶意代码，但是误报率高，清除风险大。 第三代防治技术将静态扫描技术和动态仿真跟踪技术相结合。 （1）内存检测技术 恶意代码一旦被装入内存并成为活跃进程后，它就可以用隐藏技术（很多恶意代码都采用隐藏技术）来躲避扫描器。 内存扫描 DOS 非常简单 Windows 用户模式 ReadProcessMemory，OpenProcess，TerminateProcess等 实模式 （2）广谱特征码 从本质上讲，广谱特征码仍旧是特征码，只是在其基础上稍加变通而已。 为了对付多态性恶意代码 广谱特征码的获取采用分段的，中间可以包含任意的内容(例如掩码字节)的特征码。 （3）虚拟机技术 接近于人工分析的过程 原理 用程序代码虚拟出一个CPU来，同样也虚拟CPU的各个寄存器，甚至将硬件端口也虚拟出来，用调试程序调入“病毒样本”并将每一个语句放到虚拟环境中执行，这样我们就可以通过内存和寄存器以及端口的变化来了解程序的执行，从而判断是否中毒。 加密、变形等病毒 主要执行过程： 在查杀病毒时，在机器虚拟内存中模拟出一个“指令执行虚拟机器”； 在虚拟机环境中虚拟执行（不会被实际执行）可疑带毒文件； 在执行过程中，从虚拟机环境内截获文件数据，如果含有可疑病毒代码，则说明发现了病毒。 杀毒过程是在虚拟环境下摘除可疑代码，然后将其还原到原文件中，从而实现对各类可执行文件内病毒的杀除。 （4）驱动程序技术 DOS设备驱动程序 VxD（虚拟设备驱动）是微软专门为Windows制定的设备驱动程序接口规范。 NT核心驱动程序 WDM（Windows Driver Model）是Windows驱动程序模型的简称。 作用：开发监控程序、接近系统内核的程序 （5）云查杀技术 云计算（cloud computing），一种分布式计算技术，其最基本的概念，是透过网络将庞大的计算处理程序自动分拆成无数个较小的子程序，再交由多部服务器所组成的庞大系统经搜寻、计算分析之后将处理结果回传给用户。 旧的依赖客户个人计算机的杀毒模式可能已经走到了尽头。现在提出的所谓“云安全”其实就是把原来放在客户端的分析计算能力转移到了服务器端，从而使得客户端变轻了。 （6）无缝连接技术 嵌入式杀毒技术 无缝连接是在充分掌握系统的底层协议和接口规范的基础上，开发出与之完全兼容的产品的技术。 应用实例 右键快捷方式 硬盘格式的支持 Office套件的支持等 （7）检查压缩文件技术 压缩文件是病毒的重要藏身地之一。 杀毒思路： 第一种：压缩病毒码 第二种：先解压后查毒（需要虚拟执行技术） （8）沙盘技术 让可执行文件都在沙盘程序中运行，当这个程序发生改变，它只是在这个沙盘中改变，对真实的系统不会造成任何改变。 沙盘和虚拟机的区别： 沙盘：利用现有操作系统，只是监控并改写恶意程序的读写途径 虚拟机：虚拟出一个软件系统 （9）启发式扫描技术 启发式指的“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能。” 一个运用启发式扫描技术的病毒检测软件，实际上就是以特定方式实现的动态跟踪器或反编译器，通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。 例如，一段程序以如下序列开始： MOV AH, 5 INT 13h 该程序实现调用格式化盘操作的BIOS指令功能，那么这段程序就高度可疑值得引起警觉， 尤其是假如这段指令之前不存在取得命令行关于执行的参数选项，又没有要求用户交互地输入继续进行的操作指令时，可以有把握地认为这是一个病毒或恶意破坏的程序。 可疑的功能： 格式化磁盘类操作 搜索和定位各种可执行程序的操作 实现驻留内存的操作 发现非常的或未公开的系统功能调用的操作等等。 不同的操作赋予不同的权值 1896 1920 1987 2006 信息安全工程学院 School of Information Security Engineering 信息安全工程学院 College of