《第5章计算机病毒检测技术》-课件设计（公开）.pptVIP

5.3.11 病毒分析法 使用病毒分析法的人——反计算机病毒技术人员 使用病毒分析法的目的：即使用病毒分析法的工作顺序 确认被观察的磁盘引导扇区和程序中是否有病毒 确认病毒的类型和种类，判断其是否是一种新病毒 分析病毒的大致结构，提取特征字符串或特征字 详细分析病毒代码，为制定相应的反病毒措施制定方案 5.3.11 病毒分析法 使用病毒分析法的要求： 具有比较全面的有关计算机、DOS结构和功能调用以及关于计算机病毒方面的各种知识。此外，还需要Debug、Provie等分析用工具软件和专用的试验用计算机。 静态分析：利用Debug等反汇编程序将计算机病毒反汇编后进行分析，分析病毒的组成模块、病毒使用的系统调用，病毒采用的技巧、清除病毒的方法，特征码的选取 动态分析：利用Debug等调试工具在内存带毒情况下，对病毒作动态跟踪，观察病毒的具体工作过程，在静态分析基础上理解病毒的工作原理 5.3.12 病毒感染法 感染实验法： 用于检测病毒检测工具不认识的新计算机病毒，可摆脱对计算机病毒检测工具的依赖，自主地检测可疑的新计算机病毒 原理： 利用计算机病毒的最重要的基本特征——感染特性 检测未知引导型计算机病毒的感染实验法 检测未知文件型计算机病毒的感染实验法 第5章 计算机病毒检测技术 5.1 反病毒技术的发展历程 5.2 计算机病毒检测技术原理 5.3 病毒主要检测技术和特点 本 章 结 束 谢谢！ 计算机病毒原理与防范 任课教师：乔奎贤 E-mail：cren616@126.com 第5章 计算机病毒检测技术 5.1 反病毒技术的发展历程 5.2 计算机病毒检测技术原理 5.3 病毒主要检测技术和特点 5.1 反病毒技术的发展历程 第一代反病毒技术：采取单纯的计算机病毒特征判断 可以准确地清除计算机病毒，可靠性很高 随着病毒技术的发展，特别是加密和变形技术的应用，这种简单的静态扫描方式逐渐失去了作用 第二代反病毒技术：采用静态广谱特征扫描方法检测病毒 可更多地检测出变形病毒，但是误报率也有所提高 容易造成文件和数据的破坏 5.1 反病毒技术的发展历程 第三代反病毒技术：静态扫描技术和动态仿真技术相结合 查找病毒和清除病毒合二为一，形成一个整体解决方案 能全面实现预防、检测和清除等反病毒所必备的各种手段 以驻留内存方式防止病毒的入侵，凡是检测到的计算机病毒都能清除，不会破坏文件和数据 第四代反计算机病毒技术： 基于计算机病毒家族体系的命名规则、基于多位CRC校验和扫描机理、启发式智能代码分析模块、动态数据还原模块、内存解毒模块和自身免疫模块等先进的解毒技术 5.2 计算机病毒检测技术原理 计算机病毒检测技术：通过一定的技术手段判定出病毒的技术 计算机病毒检测技术种类： 根据病毒在特征分类基础上的检测技术 根据病毒程序中的关键字、特征程序段内容、病毒特征及感染方式、危机程度的变化 对文件或数据段的检验和进行检测 不针对具体病毒程序自身检验技术，即对某个文件或数据段进行检验和计算并保存其结果，以后定期或不定期地根据保存的结果对该文件或数据段进行检验，若出现差异，即表示该文件或数据段的完整性已遭到破坏，从而检测到病毒的存在 5.2.1 病毒检测技术的基本原理 反病毒程序计算各个可执行程序的校验和 某些反病毒程序是常驻内存程序 反病毒程序常驻内存中，搜索可能进入系统的计算机病毒，其目的是阻止任何病毒感染系统。 少数工具可以从感染病毒的程序中清除病毒 少数工具反病毒工具虽可将染毒程序修复好，但有些修复效果不能保证。某些反病毒工具还可能产生虚假报警。 反病毒技术的主要分类： 病毒诊断技术、病毒治疗技术、病毒预防技术 5.2.2 检测病毒的基本方法 1．借助简单工具检测——指DEBUG等常规软件工具 要求检测者必须具备的知识： 分析工具的性能 磁盘内部结构（如BOOT区、主引导区、FAT表和文件目录等有关知识） 磁盘文件结构（EXE文件头部结构，重定位方法、EXE和COM文件加载文件的不同等） 中断矢量表 内存管理（内存控制块、环境参数和文件的PSP结构等） 阅读汇编程序的能力 有关病毒的信息 5.2.2 检测病毒的基本方法 2．借助专用工具检测 ——指专门的计算机病毒检测工具，如Norton等 一般来说，专用工具具备自动扫描磁盘的功能，可检测磁盘的染毒情况。 病毒检测工具只能识别已知计算机病毒，其发展总是滞后于计算机病毒的发展，从而对相当数量的未知计算机病毒无法识别。 5.3 病毒主要检测技术和特点 5.3.1 外观检测法 5.3.2 系统数据对比法 5.3.3 病毒签名检测法 5.3.4 特征代码法 5.3.5 检查常