软件安全课件-PPT-C10 恶意软件的检测技术2020.pptx

软件安全 C10 恶意代码的检测技术 武汉大学国家网络安全学院 彭国军 本讲提纲 10.1 恶意代码检测对象与策略 10.2 特征值检测技术 10.3 校验和检测技术 10.4 启发式扫描技术 10.5 虚拟机检测技术 10.6 主动防御技术 10.7 安全软件评测 10.1 恶意代码检测对象与策略 恶意代码的检测是将检测对象与恶意代码特征（检测标准）进 行对比分析，定位病毒程序或代码，或检测恶意行为。 检测对象主要包括： 引导扇区 文件系统中可能带毒的文件 内存空间 主板BIOS等 (网络流量、系统行为等) 检测对象1:引导扇区 具有控制权的引导扇区： 硬盘主引导扇区、 硬盘操作系统引导扇区 可移动磁盘引导扇区 检测目标： 引导区病毒、MBR木马等 检测对象2:可能带毒的文件 可执行程序 .exe;.dll;.com;.scr… 数据文件 .doc;.xls;.ppt;.pdf; .mp3;.avi… 脚本文件 .js;.vbs;.php;.pl… 网页文件 .html;.htm;.asp…  … 检测对象3:内存空间 恶意代码在传染或执行时，必然要占有一定的内存 空间，部分功能代码驻留在内存中。 部分恶意代码仅存在于内存之中 无文件存在，或已自行删除 或被外部动态按需注入 部分恶意代码仅在内存中被还原 病毒的检测策略 专用检查技术：针对某个或某些特定已知恶意代码。 反病毒软件必须随着新病毒的不断出现而频繁更新病毒 库版本。 如文件特征值检测技术； 通用检测技术：针对已知和未知恶意代码。 广义特性描述或一般行为特征作为判定依据。 如启发式扫描技术、主动防御技术等 本讲提纲 10.1 恶意代码检测对象与策略 10.2 特征值检测技术 10.3 校验和检测技术 10.4 启发式扫描技术 10.5 虚拟机检测技术 10.6 主动防御技术 10.7 安全软件评测 10.2 特征值检测技术 病毒特征值是反病毒软件鉴别特定计算 机病毒的一种标志。通常是从病毒样本中 提取的一段或多段字符串或二进制串。 具体思路： 获取样本-〉提取样本特征-〉更新病毒库-〉 查杀病毒 特征值的提取选择 特定字串：从计算机病毒体内提取、为病毒所特有的特 征串。如特定提示信息，特定签名信息等。 例如大麻病毒的提示为：“Your PC is now stoned”等。 感染标记：病毒为避免重复感染而使用的感染标记。 如黑色星期五的“suMs DOS”。 从病毒代码的特定地方开始取出连续的、不大于64且不 含空格(ASCII值为32)的字节串。 提取方法 人工提取 反病毒工程师对病毒样本进行分析后，人工确定 病毒特征 自动提取 通过软件系统自动提取特定范围内特定长度具有 一定特征的数据。 处理不利则可能被别有用心者利用，形成误杀。 优缺点 优点：检测速度快、误报率低等优点，为广 大反病毒厂商所采用，技术也比较成熟。 缺点：只能检测已知恶意代码。容易被免杀 绕过。 针对特征值检测技术，恶意软件如何对抗？ 手工修改自身特征 首先，利用反病毒软件定位 然后，进行针对性修改 自动修改自身特征 加密、多态、变形等 本讲提纲 10.1 恶意代码检测对象与策略 10.2 特征值检测技术 10.3 校验和检测技术 10.4 启发式扫描技术 10.5 虚拟机检测技术 10.6 主动防御技术 10.7 安全软件评测 10.3 校验和检测技术－预期符合性 校验和检测技术：在文件使用/系统启动过程中， 检查检测对象的实际校验和与预期是否一致，因而 可以发现文件/引导区是否感染。 预期：正常文件内容和正常引导扇区数据 静态可信：可信计算机对主引导扇区和一些系统关键程 序进行了校验，从而保障系统启动之后的初始安全。 使用方式 运用校验和检测技术查病毒采用三种方式： 系统自动监测：将校验和检查程序常驻内存，每当应用程序开始 运行时，自动核验当前与预先保存的校验和是否一致。 专用检测工具：对被查的对象文件计算其正常状态的校验和，将 校验和值写入被查文件中或检测工具中，而后进行比较。如 MD5Checker。 自我检测：在应用程序中，放入校验和检测技术自我检查功能， 将文件正常状态的校验和写入文件自身，应用程序启动比较现行 校验和与原校验和值，实现应用程序的自检测。 如QQ软件。 校验和检测对象 文件头部 文件属性 文件内容 系统数据等 （一）文件头部 一般比较整个文件效率较低，有的检测仅比较 文件的头部。 现有大多数寄生病毒需要改变宿主程序的头部。 （二）文件基本属性  文件的基本属性包括文件长度、文件创建日期 和时间、文件属性(一般属性、只读属性、隐含 属性、系统属性)、文件的首簇号等。 （三）文件内容-校验和 对文件内容（可含文件的属性）的全部字节进行某种函 数运算，这种运算所产生的适