计算机病毒电子5-1-2杀毒技术解析和反病毒软件的构成.pptVIP

Virus 计算机病毒与防治 重庆电子工程职业学院 计算机病毒与防治课程小组 教学单元5-1分析反病毒软件的编制技术 启发式扫描技术 虚拟机技术 病毒疫苗 第2讲 杀毒技术解析和反病毒软件的构成 计算机病毒与防治课程小组 反病毒软件的构成 反病毒引擎的体系构架 反病毒引擎的发展方向 杀毒技术解析——虚拟机技术 在杀毒技术中，有一种自始至终都在用的方法——特征值法。但是随着病毒技术的发展，加密技术渐渐成熟起来，很多病毒的特征不再那么容易提取了，因此出现了虚拟机杀毒技术。 所谓虚拟机技术，就是用软件先虚拟一套运行环境，让病毒先在该虚拟环境下运行，看看它的执行效果。由于加密的病毒在执行时最终还是要解密的，这样，在其解密之后我们可以通过特征值查毒法对其进行查杀。 虚拟机技术 杀毒技术解析——虚拟机技术 虚拟机在反病毒软件中应用范围广，并成为目前反病毒软件的一个趋势。一个比较完整的虚拟机，不仅能够识别新的未知病毒，而且能够清除未知病毒，我们会发现这个反病毒工具不再是一个程序，而成为可以和卡斯帕罗夫抗衡的ibm深蓝超级计算机。 首先，虚拟机必须提供足够的虚拟，以完成或将近完成病毒的 “虚拟传染”； 杀毒技术解析——虚拟机技术 其次，尽管根据病毒定义而确立的“传染”标准是明确的，但是，这个标准假如能够实施，它在判定病毒的标准上仍然会有问题； 第三，假如上一步能够通过，那么，我们必须检测并确认所谓“感染”的文件确实感染的就是这个病毒或其变形。 杀毒技术解析——虚拟机技术 目前虚拟机的处理对象主要是文件型病毒。对于引导型病毒、word／excel宏病毒、木马程序在理论上都是可以通过虚拟机来处理的，但目前的实现水平仍相距甚远。就像病毒编码变形使得传统特征值方法失效一样，针对虚拟机的新病毒可以轻易使得虚拟机失效。虽然虚拟机也会在实践中不断得到发展。但是，pc的计算能力有限，反病毒软件的制造成本也有限，而病毒的发展可以说是无限的。让虚拟技术获得更加实际的功效，甚至要以此为基础来清除未知病毒，其难度相当大。 计算机病毒与防治课程小组 杀毒技术解析 由于新病毒不断出现，而传统的特征值查毒法不可能完全查出新出现的病毒，于是启发式扫描技术产生了。何谓启发式扫描呢？ 我们知道，任何一个病毒总存在与普通程序不一样的地方，譬如格式化硬盘、重定位、改回文件时间、修改文件大小、传染等。这样，我们就可以对每一类病毒特征进行加权，譬如重定位得3分，格式化硬盘得15分，传染得10分，这样，如果一个程序拥有这3个功能，它就得到了28分。如果我们设定判断一个病毒的标准是20分，那么这个程序在遇到采用了启发式扫描技术的杀毒软件时，杀毒软件就会报警发现了新病毒。这就是启发式扫描技术。 启发式扫描技术 病毒疫苗 还有一种技术叫病毒疫苗，这种疫苗程序（比如美丽莎病毒）会修改Windows注册表项：HKEY_CURRENT_USER\Software\Microsoft\Office，它将增加表项：Melissa，并给赋值为：by Kwyjibo，这是病毒避免进行重复感染的标志。如果一台没有感染美丽莎病毒的机器上事先设立这项注册表值，那么当美丽莎病毒准备感染者抬机器时，由于发现存在该键值会认为该机器已经被感染而不对它进行再次感染。这样就达到了对这台机器进行免疫的目的，当然有些病毒的免疫机制比较复杂。 病毒疫苗技术 总结 受病毒在理论上就是不可判定的这一根本前提的制约，事实上，无论是启发式，亦或是虚拟机，都只能是一种工程学的努力，其成功的概率永远不可达到100％。这是惟一的却又是无可奈何的缺憾。 6.4 反病毒软件构成分析 计算机病毒与防治课程小组 由于引导型病毒从结构到原理上都想对简单，目前，反病毒软件与病毒的对抗主要体现在与文件型病毒的对抗上，我们主要就针对文件型病毒的反病毒软件的结构进行探讨。 反病毒软件由应用程序、反病毒引擎和病毒库三部分构成。 反病毒软件的构成 反病毒软件构成分析 应用程序的主要功能就是把扫描对象提供给引擎进行病毒扫描、提供反病毒软件与用户的交互接口。应用程序主要包括搜索文件部分和匹配病毒特征串部分，其中搜索文件部分负责进行全盘搜索或按用户指定路径搜索文件；匹配病毒特征串部分负责在每一个搜索出来的文件中，匹配病毒特征串，判断文件是否染毒。 应用程序 反病毒软件构成分析 计算机病毒与防治课程小组 反病毒引擎是决定一款杀毒软件技术是否成熟可靠的关键，什么是反病毒引擎呢？简言之，它就是一套判断特定程序行为是否为病毒程序或可疑程序的技术机制，引擎不仅需要具备判断病毒的能力，还必须拥有足够的病毒清理技术和环境恢复技术，如果一款杀毒产品能查出病毒但是却无法清除、或者无法将被病毒破坏的系统环境成功恢复，那它就不能成为一款