病毒防御机制总结.docVIP

病毒防御机制总结 　　摘 要 病毒的多样性，病毒入侵手段的多样性使得病毒防御已经不是单一技术手段可以实现的目标，本文讨论了基于主机和网络的多种病毒防御机制。 　　关键词 病毒 病毒防御 　　1 基于主机的病毒防御机制 　　（1）基于特征的扫描技术 　　基于特征扫描技术是目前最常用的病毒检测技术，首先需要建立病毒特征库，通过分析已经发现的病毒，提取出每一种病毒有别于正常代码或文本的病毒特征，然后根据病毒特征库在扫描的文件中进行匹配操作，整个检测过程如图1所示。目前病毒主要分为嵌入在可执行文件中的病毒和嵌入在文本或字处理文件中的脚本病毒，因此，首先需要对文件进行分类，当然，如果是压缩文件，解压后再进行分类。解压后的文件主要分为两大类：二进制代码形式的可执行文件，包括类似DLL的库函数，和用脚本语言编写的文本文件，由于Office文件中可以嵌入脚本语言编写的宏代码，因此，将这样的Office文件归入文本文件类型。对可执行文件，由二进制检测引擎根据二进制特征库进行匹配操作，如果这些二进制代码文件经过类似ASPACK、UPX工具软件进行加壳处理，在匹配操作前，必须进行脱壳处理。对文本文件，由脚本检测引擎根据脚本特征库进行匹配操作，由于存在多种脚本语言，如VBScript、JavaScript、PHP和Perl。在匹配操作前，必须先对文本文件进行语法分析，然后根据分析结果再进行匹配操作。同样，必须从类似字处理文件这样的Office文件中提取出宏代码，然后对宏代码进行语法分析，再根据分析结果进行匹配操作。基于特征的扫描技术主要存在以下问题： 　　由于通过特征匹配来检测病毒，因此无法检测出变形、加密和未知病毒； 　　必须及时更新病毒特征库，由于病毒总是在造成危害后才被发现，因此，它是一种事后补救措施。 　　（2）基于线索的扫描技术 　　基于特征的扫描技术由于需要精确匹配病毒特征，因此，很难检测出变形病毒。但病毒总有一些规律性特征，如有些变形病毒通过随机产生密钥和加密作为病毒的代码来改变自己，这样，如果检测到某个可执行文件的入口处存在实现解密过程的代码，且解密密钥包含在可执行文件中，这样的可执行文件可能就是感染了变形病毒的文件。基于线索扫描技术通常不是精确匹配特定二进制位流模式或文本模式，而是通过分析可执行文件入口处代码的功能来确定该文件是否感染病毒。 　　（3）基于完整性检测的扫描技术 　　完整性检测是一种用于确定任意长度信息在传输和存储过程中是否改变的技术，它的基本思想是在传输或存储任意长度信息P时，添加附加信息C，C是对P进行报文摘要运算后的结果，具有如下特性： 　　给定任意长度信息P，能够很容易地计算出固定长度的C（C=MD（P），MD是报文摘要算法），且C的位数远小于P的位数； 　　知道C，不能反推出P； 　　从计算可行性讲，对于任何P，无法找出另一任意长度信息P，P≠P，但MD（P）=MD（P）； 　　即使只改变P中一位二进制位，也使得重新计算后的C变化很大。 　　这样，可以对系统中的所有文件计算出对应的C，将C存储在某个列表文件中，扫描软件定期地重新计算系统中文件对应的C，并将计算结果和列表中存储的结果进行比较，如果相等，表明文件没有改变，如果不相等，表明文件自计算出列表中存储的C以后已经发生改变。为了防止一些精致的病毒能够在感染文件的同时，修改文件的原始报文摘要，可以采用图2所示的检测过程，在计算出某个文件对应的原始报文摘要后，用扫描软件自带的密钥K对报文摘要进行加密运算，然后将密文存储在原始检测码列表中，在定期检测文件时，对每一个文件同样计算出加密后的报文摘要，并和存储在原始检测码列表中的密文进行比较。 　　基于完整性检测的扫描技术只能检测出文件是否发生改变，并不能确定文件是否被病毒感染，另外，必须在正常修改文件后，重新计算该文件对应的原始检测码，并将其存储在原始检测码列表中，否则，在定期检测过程中扫描软件会对该文件示警。由于系统中文件经常发生改变（复制和删除），而且有的文件经常修改，需要用户经常干预，以此保持原始检测码列表中内容的完整性和一致性，这可能使用户感到不便。如果文件在计算初始检测码前已经感染病毒，这种检测技术是无法检测出的，但如果该病毒在系统内感染其他文件，则可以检测出被感染的其他文件。 　　（4）基于行为的检测技术 　　病毒为了激活、感染其他文件、对系统实施破坏操作，需要对系统中的文件、注册表、引导扇区及内存等系统资源进行操作，这些操作通常由操作系统内核中的服务模块完成，因此，当某个用户进程发出修改注册表中自动启动项列表、格式化文件系统、删除某个系统文件的操作请求时，可以认为该用户进程在实施病毒代码要求完成的操作。为了检测某个用户进程是否正在执行病毒代码，可以为不同安全等级