IDS14计算机病毒-3幻灯片.pptVIP

Henric Johnson 概述 病毒防范公理 重要的反病毒技术 病毒解决方案和策略 防病毒策略 病毒防范公理 1. 不存在这样一种反病毒软硬件，能够防治未来产生的所有病毒。 2. 不存在这样一种病毒程序，能够让未来的所有反病毒软硬件都无法检测。 病毒防范公理 3. 目前的反病毒软件和硬件以及安全产品是都易耗品，必须经常进行更新、升级。 4. 病毒产生在前，反病毒手段滞后的现状，将是一个长期的过程。 对待计算机病毒应持有的态度 1. 客观承认计算机病毒的存在，但不要惧怕病毒。 2. 树立计算机病毒意识，积极采取预防（备份等）措施。 3. 掌握必要的计算机病毒知识和病毒防治技术，对用户至关重要。 4. 发现病毒，冷静处理。 反病毒的方法 理想的解决病毒威胁的方法是预防：首先就是不允许病毒进入系统。这个目标通常不可能实现，尽管必要的防护措施可以在一定程度上降低病毒成功攻击的次数。其次就是能够执行如下操作： 反病毒的方法 检测（Detection）: 一旦病毒感染系统，系统就应该 确定这一事实并对病毒进行定位。 识别（Identification）：检测到病毒后， 应该能够识别被感染的程序中的病毒类型 反病毒的方法 清除（Removal）: 病毒被识别后，对病毒所感染的程序中所有可能发生的变化进行检查，清除病毒并使程序还原到感染前的状态， 并清除所有被感染系统中的病毒从而使其无法继续传播。 反病毒的方法 随着病毒的演化，病毒和相应的反病毒软件都变得愈发复杂和高级。 将反病毒软件划分为四代： 第一代: 简单扫描器； 第二代:启发式扫描器； 第三代: 活动陷阱； 第四代: 全功能防护。 反病毒的方法 第一代扫描器 需要病毒特征码作为识别病毒的依据。病毒可能包含一些 “通配符” 。但是在该病毒的所有副本中，通配符具有本质上相同的结构和特征模式。这些指定特征码的扫描器只能检测到已知类型的病毒。 特征码扫描技术 分析出病毒的特征病毒码并集中存放于病毒代码库文件中，在扫描时将扫描对象与特征代码库比较，如有吻合则判断为染上病毒。 查杀病毒滞后，并且庞大的特征码库会造成查毒速度下降； 但是对加密、变形的新病毒无能为力。 反病毒的方法 第二代反病毒技术采用静态广谱特征扫描技术，可以检测变形病毒，但是误报率高，杀毒风险大。 第二代扫描器 不再依赖特定的病毒特征码，而是，利用启发式规则搜索可能的病毒感染。 这类扫描器之一就通过搜寻经常与病毒相关联的代码段确定病毒。 反病毒的方法 第二代扫描器采用的另一种方法是完整性校验。 这种方法对每一个程序计算校验和，并将校验和添加到程序中。 如果某个病毒感染程序而没有改变校验和，那么完整性校验将会捕获这个变化。 反病毒的方法 第三代反病毒程序是内存驻留型程序，它通过病毒在感染程序中的行为而不是结构进行识别。 第四代 产品综合运用了多种不同的反病毒技术软件包其中包括扫描、活动陷阱等组件。另外，这种软件包还包含访问控制功能，它限制病毒渗透系统的能力，也由此限制病毒为不断感染而改写文件的能力。 目前的流行技术 虚拟机技术 计算机监控技术 数字免疫系统 压缩智能还原技术 启发式代码扫描技术 文件时事监控技术 启发式代码扫描技术 启发式指的“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能。” 一个运用此技术的病毒检测软件，实际上就是以特定方式实现的动态跟踪器或反编译器，通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。 启发式代码扫描技术 例如，一段程序以如下序列开始： MOV AH, 5 INT 13h 实现调用格式化盘操作的BIOS指令功能，那么这段程序就高度可疑值得引起警觉， 尤其是假如这段指令之前不存在取得命令行关于执行的参数选项，又没有要求用户交互地输入继续进行的操作指令时，可以有把握地认为这是一个病毒或恶意破坏的程序。 启发式代码扫描技术 可疑的功能： 格式化磁盘类操作 搜索和定位各种可执行程序的操作 实现驻留内存的操作 发现非常的或未公开的系统功能调用的操作 文件时事监控技术 通过利用操作系统底层接口技术，对系统中的所有类型文件或指定类型的文件进行实时的行为监控。从而实现了对病毒的实时、永久、自动监控。这种技术能够有效控制病毒的传播途径，但是这种技术的实现难度较大，系统资源的占用率也会有所降低。 计算机监控技术 文件实时监控 内存实时监控 脚本实时监控 邮件实时监控 注册表实时监控 未知病毒查杀技术 未知病毒技术是继虚拟执行技术后的又一大技术突破，它结合了虚拟技术和人工智能技术，实现了对未知病毒的准确查杀。 压缩智能还原技术 世界上的压缩工具、打包工具、加“壳”工具多不胜数，病毒如果被这样的工具处理后，对于防病毒软件来说，就是一个噩梦。 为了使用统一的方法来解决这