网络信息安全第2122讲6164.pptVIP

6.3 常用的反病毒技术 　 1．特征码技术 　　特征码技术是基于对已知病毒分析、查解的反病毒技术。目前的大多数杀病毒软件采用的方法主要是特征码查毒方案与人工解毒并行，亦即在查病毒时采用特征码查毒，在杀病毒时采用人工编制解毒代码。特征码查毒方案实际上是人工查毒经验的简单表述，它再现了人工辨识病毒的一般方法，采用了“同一病毒或同类病毒的某一部分代码相同”的原理，也就是说，如果病毒及其变种、变形病毒具有同一性，则可以对这种同一性进行描述，并通过对程序体与描述结果(亦即“特征码”)进行比较来查找病毒。 6.3 常用的反病毒技术 　 2．实时监视技术 　　实时监视技术为计算机构筑起一道动态、实时的反病毒防线，通过修改操作系统，使操作系统本身具备反病毒功能，拒病毒于计算机系统之门外。时刻监视系统当中的病毒活动，时刻监视系统状况，时刻监视软盘、光盘、因特网、电子邮件上的病毒传染，将病毒阻止在操作系统外部。且优秀的反病毒软件由于采用了与操作系统的底层无缝连接技术，实时监视器占用的系统资源极小，用户一方面完全感觉不到反病毒软件对机器性能的影响，另一方面根本不用考虑病毒的问题。只要反病毒软件实时地在系统中工作，病毒就无法侵入我们的计算机系统。可以保证反病毒软件只需一次安装，今后计算机运行的每一秒钟都会执行严格的反病毒检查，使通过因特网、光盘、软盘等途径进入计算机的每一个文件都安全无毒，如有毒则自动进行杀除。 6.3 常用的反病毒技术 　 3．虚拟机技术 　　虚拟机技术是启发式探测未知病毒的反病毒技术。 所谓虚拟机技术，就是用软件先虚拟一套运行环境，让病毒先在该虚拟环境下运行，从而观察病毒的执行过程。这个技术主要用来应对加壳和加密的病毒，因为这两类病毒在执行时最终还是要自身脱壳和解密的，这样，杀毒软件就可以在其“现出原形”之后对其进行查杀。 虚拟机在反病毒软件中应用范围广，并成为目前反病毒软件的一个趋势。一个比较完整的虚拟机，不仅能够识别新的未知病毒，而且能够清除未知病毒。 6.4 计算机病毒技术新动向 　 1．抗分析病毒技术 　　顾名思义，这种病毒技术是针对病毒分析者的。为了使病毒的分析者难以分析清楚病毒的原理，这种病毒综合采用了以下两种技术：其一是加密技术，这是一种防止静态分析的技术，使得分析者无法在不执行病毒的情况下，阅读加密过的病毒程序。其二是反跟踪技术，其目的是使分析者无法动态跟踪病毒程序的运行。 6.4 计算机病毒技术新动向 　 2．多态性病毒技术 　　多态性病毒是指采用特殊加密技术编写的病毒，这种病毒在每感染一个对象时，采用随机方法对病毒主体进行加密。这种病毒在每次感染时，放入宿主程序的代码互不相同，不断变化，几乎就没有稳定的代码。所有采用特征代码法的检测工具都不能识别它们。多态性病毒主要是针对查毒软件而设计的，所以随着这类病毒的增多，使得查毒软件的编写变得更加困难，并还会带来许多的误报。1990年的Tequila 病毒是第一个比较严重的多态病毒攻击。从该病毒的出现到编制出能够完全查出该病毒的软件，研究人员花费了九个月的时间。 1992 年，出现了第一个多态病毒引擎和病毒编写工具包。 6.4 计算机病毒技术新动向 　 3．插入性病毒技术 　　一般病毒感染文件时，是将病毒代码放在文件头部，或者放在尾部，虽然可能对宿主代码作某些改变，但从总体上说，病毒与宿主程序有明显的界限。插入性病毒在不了解宿主程序的功能及结构的前提下，能够将宿主程序在适当处拦腰截断，在宿主程序的中部插入病毒程序，并且能做到：病毒首先获得运行权；病毒不能被卡死；宿主程序不会因为插入病毒而卡死。很久以前，曾有文献介绍了此种病毒，直到1991年在保加利亚才发现了首例实战型病毒。这是最为简单的插入性病毒，感染的是简单的COM型文件。由于病毒是插入到文件的中部，因此如果不对病毒作剖析，仅仅采用一般的杀毒工具很难消除此类病毒。此类病毒给自动杀毒工具提出了新的难题。 6.4 计算机病毒技术新动向 　 4．超级病毒技术 　　超级病毒技术就是在计算机病毒进行感染、破坏时，使得病毒预防工具无法获得运行机会的技术。一般病毒攻击计算机时，往往窃取某些中断功能，要借助于DoS的帮助，才能完成操作。例如，在PC机中病毒要写盘，必须借助于原DoS的INT 13H，病毒作者知道，反病毒工具(软件的或硬件的)都是在DoS中设置许多陷阱，等待病毒来碰。一碰陷阱，病毒便被抓获。超级病毒作者以更高的技术编写了完全不借助于DoS系统而能攻击计算机的病毒，此类病毒攻击计算机时，完全依靠病毒内部代码来进行操作，避免碰触DoS系统，不会掉入反病毒陷阱，极难捕获。一般的软件或反病毒工具遇到此类病毒都会失效。 6.4 计算机病毒技术新动向 　 5．破坏性感染病毒技术 　　破坏性感染病