- 1、本文档共60页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
软件安全
C10 恶意代码的检测技术
武汉大学国家网络安全学院 彭国军
本讲提纲
10.1 恶意代码检测对象与策略
10.2 特征值检测技术
10.3 校验和检测技术
10.4 启发式扫描技术
10.5 虚拟机检测技术
10.6 主动防御技术
10.7 安全软件评测
10.1 恶意代码检测对象与策略
恶意代码的检测是将检测对象与恶意代码特征(检测标准)进 行对比分析,定位病毒程序或代码,或检测恶意行为。
检测对象主要包括:
引导扇区
文件系统中可能带毒的文件
内存空间
主板BIOS等
(网络流量、系统行为等)
检测对象1:引导扇区
具有控制权的引导扇区:
硬盘主引导扇区、
硬盘操作系统引导扇区
可移动磁盘引导扇区
检测目标:
引导区病毒、MBR木马等
检测对象2:可能带毒的文件
可执行程序
.exe;.dll;.com;.scr…
数据文件
.doc;.xls;.ppt;.pdf; .mp3;.avi…
脚本文件
.js;.vbs;.php;.pl…
网页文件
.html;.htm;.asp…
…
检测对象3:内存空间
恶意代码在传染或执行时,必然要占有一定的内存 空间,部分功能代码驻留在内存中。
部分恶意代码仅存在于内存之中
无文件存在,或已自行删除
或被外部动态按需注入
部分恶意代码仅在内存中被还原
病毒的检测策略
专用检查技术:针对某个或某些特定已知恶意代码。
反病毒软件必须随着新病毒的不断出现而频繁更新病毒 库版本。
如文件特征值检测技术;
通用检测技术:针对已知和未知恶意代码。
广义特性描述或一般行为特征作为判定依据。
如启发式扫描技术、主动防御技术等
本讲提纲
10.1 恶意代码检测对象与策略
10.2 特征值检测技术
10.3 校验和检测技术
10.4 启发式扫描技术
10.5 虚拟机检测技术
10.6 主动防御技术
10.7 安全软件评测
10.2 特征值检测技术
病毒特征值是反病毒软件鉴别特定计算 机病毒的一种标志。通常是从病毒样本中 提取的一段或多段字符串或二进制串。
具体思路:
获取样本-〉提取样本特征-〉更新病毒库-〉
查杀病毒
特征值的提取选择
特定字串:从计算机病毒体内提取、为病毒所特有的特
征串。如特定提示信息,特定签名信息等。
例如大麻病毒的提示为:“Your PC is now stoned”等。
感染标记:病毒为避免重复感染而使用的感染标记。
如黑色星期五的“suMs DOS”。
从病毒代码的特定地方开始取出连续的、不大于64且不
含空格(ASCII值为32)的字节串。
提取方法
人工提取
反病毒工程师对病毒样本进行分析后,人工确定 病毒特征
自动提取
通过软件系统自动提取特定范围内特定长度具有 一定特征的数据。
处理不利则可能被别有用心者利用,形成误杀。
优缺点
优点:检测速度快、误报率低等优点,为广 大反病毒厂商所采用,技术也比较成熟。
缺点:只能检测已知恶意代码。容易被免杀 绕过。
针对特征值检测技术,恶意软件如何对抗?
手工修改自身特征
首先,利用反病毒软件定位
然后,进行针对性修改
自动修改自身特征
加密、多态、变形等
本讲提纲
10.1 恶意代码检测对象与策略
10.2 特征值检测技术
10.3 校验和检测技术
10.4 启发式扫描技术
10.5 虚拟机检测技术
10.6 主动防御技术
10.7 安全软件评测
10.3 校验和检测技术-预期符合性
校验和检测技术:在文件使用/系统启动过程中, 检查检测对象的实际校验和与预期是否一致,因而 可以发现文件/引导区是否感染。
预期:正常文件内容和正常引导扇区数据
静态可信:可信计算机对主引导扇区和一些系统关键程 序进行了校验,从而保障系统启动之后的初始安全。
使用方式
运用校验和检测技术查病毒采用三种方式:
系统自动监测:将校验和检查程序常驻内存,每当应用程序开始 运行时,自动核验当前与预先保存的校验和是否一致。
专用检测工具:对被查的对象文件计算其正常状态的校验和,将 校验和值写入被查文件中或检测工具中,而后进行比较。如 MD5Checker。
自我检测:在应用程序中,放入校验和检测技术自我检查功能, 将文件正常状态的校验和写入文件自身,应用程序启动比较现行 校验和与原校验和值,实现应用程序的自检测。 如QQ软件。
校验和检测对象
文件头部
文件属性
文件内容
系统数据等
(一)文件头部
一般比较整个文件效率较低,有的检测仅比较 文件的头部。
现有大多数寄生病毒需要改变宿主程序的头部。
(二)文件基本属性
文件的基本属性包括文件长度、文件创建日期 和时间、文件属性(一般属性、只读属性、隐含 属性、系统属性)、文件的首簇号等。
(三)文件内容-校验和
对文件内容(可含文件的属性)的全部字节进行某种函 数运算,这种运算所产生的适
您可能关注的文档
最近下载
- ISO 13849-1-2015 控制系统的安全相关零部件 中文版.pdf
- 国家中小学智慧教育平台使用案例.pptx
- 大疆 DJI Mavic 3 Classic - 用户手册 v1.0.pdf
- 八项硬措施考试题含答案.doc
- 高警示药品分类目录2019(2020年九月整理).doc.pdf
- 《焊线站焊线量产工艺规格书.doc VIP
- 2.2 做更好的自己(课件)- 七年级道德与法治上册 新教材(统编版2024).pptx VIP
- (完整版)典型地铁事故案例汇编.pptx
- 2024年秋新人教版一年级上册数学教学课件 1 准备课 第1课时 数一数.pptx
- (人教版)数学五年级上册计算题“天天练”习题卡,含100份题组.doc
文档评论(0)