计算机病毒查杀方法共87页资料.ppt

Outlook 漏洞病毒的查杀 ? Outlook 漏洞病毒的查杀原理很简单，只要在附件 或邮件体中搜索特定代码就可以。 ? 但邮件病毒查杀的关键是时效性，即实时拦截邮 件并处理。 ? 病毒引擎的位置： – 服务器端（ SMTP Server ） ? 反垃圾邮件系统 – 客户端（ Outlook, FoxMail ）绑定 ? Add-in – 客户端独立程序 ? 各种杀毒软件、其他客户端反垃圾软件 ( 邮件狗 ) ? 利用原始备份和被检测程序相比较的方法适合于 不需专用软件，可以发现异常情况的场合，是一 种简单的基本的病毒检测方法； ? 扫描特征串和识别特征字的方法适用于制作成查 病毒软件的方式供广大 PC 机用户使用，方便而又 迅速，但对新出现的病毒会出现漏检的情况，需 要与分析和比较法相结合； ? 分析病毒的方法主要是由专业人员识别病毒，研 制反病毒系统时使用，要求较多的专业知识，是 反病毒研究不可缺少的方法。 计算机病毒的诊断方法 ? 手工检测 – 工具软件（ Debug 、 UltraEdit 、 EditPlus 、 SoftICE 、 TRW 、 Ollydbg 等） – 优点： Aver 发现并分析新病毒 – 缺点：不可能普及 ? 自动检测 – 自动检测是指通过一些自动诊断软件来判断系统是否 有毒的方法。 – 优点：易于普及 – 缺点：滞后性 高速模式匹配 ? 查找的速度是评价一个查毒引擎的关键因素之一。 ? 算法种类： – 单模式匹配算法： KMP\QS\BM 等 – 多模式匹配算法： DFSA\ 基于二叉树的算法 ? 问题描述 – 设待处理（ 动态 ）文本为 – 单模式匹配是从文本中查找一个模式串 – 多模式匹配就是通过一次查找从文本中发现多个 P1,P2,...,Pq n t t t T ? 2 1 ? n 2 1 t t t T ? ? m p p p P ? 2 1 ? 最简单的查找算法 —— BF 算法 Brute-Force 算法匹配过程 单模式匹配 —— BM 算法 bad-character 位移，字符 a 在 P 中出现 bad-character 位移，字符 a 在 P 中不出现 ? 计算公式 P a } ] 1 [ 1 0 | min{ bm_bc[a] ? ? ? ? ? ? ? ? ? ? 否则 中出 在模式 如果 且 m a j m P m j j good-suffix 位移，只有 u 的前缀 v 在 P 中重现 good-suffix 位移， u 的一次重现且其前一个字符与 b 不同 ? 首先定义两个条件： cond1( j ,s): 对每个 k, j km, s ? k 或者 P[k-s]=P[k] cond2( j ,s): 如果 s j 那么， 然后对于 最后，取两者最大值作为右移值 ] [ ] [ j P s j P ? ? m j ? ? 0 } ) , ( 2 ) , ( 1 | 0 min{ ] 1 [ _ 成 且 s j cond s j cond s j gs bm ? ? ? 经典多模式匹配 DFSA 算法 ? 1. DFSA 算法的预处理过程 – (1) 转向函数 g （ state1, char ） - state2 – 模式集合｛ he ， she ， his ， hers ｝ s h e s i s r e h {h,s} 0 9 8 7 6 5 4 3 2 1 ? (2) 失效函数 f – 当发生字符失配时，失效函数指明下一个应处理的状 态。规定： ? 所有第一层状态的失效函数 ； ? 对于非第一层的状态 s ，若其父状态为 r （存在某个字符 a, g(r,a)=s ），其失效函数为 ，状态 为追溯状态 s 的祖 先状态所得到的最近一个使 存在的状态。 0 ) ( ? s f 0 ) ( ? s f ) ), ( ( ) ( * a s f g s f ? * s ) ) , ( ( * a s f g s 1 2 3 4 5 6