第六章恶意程序及防范技术.pptx

第6章恶意程序及防范技术;本章简介;6.1恶意程序;6.1恶意程序;;;恶意代码的主要功能;恶意代码的危害;6.1恶意程序;6.1恶意程序;6.2病毒;6.2病毒;计算机病毒的产生原因

1．软件产品的脆弱性是产生计算机病毒根本的技术原因

2．社会因素是产生计算机病毒的土壤;计算机病毒的发展

1949年冯·诺伊曼，在论文《TheoryandOrganizationofComplicatedAutomata》里给出了计算机病毒的雏形。

1983年第一个病毒产生（FredCohen）

1986年Pakistan病毒（Basit和Amjad）

1988年蠕虫病毒（Morris）

1989年引导型病毒;1990年，复合病毒，可以感染Com和EXE文件

1995年，病毒生成器产生，幽灵病毒肆虐。

1997年宏病毒

1998年CIH病毒（Windows病毒）

2003年蠕虫病毒泛滥

2007年熊猫烧香病毒

2009年“死牛”病毒，网络盗号

2012年“火焰”病毒（一种后门程序和木马病毒，又具有蠕虫病毒的特点）;6.2病毒;6.2病毒;6.2病毒;6.2病毒;6.2病毒;6.2病毒;6.2病毒---计算机病毒原理

;6.2病毒;6.2病毒;6.2病毒;6.2病毒;6.2病毒;6.2病毒;6.2病毒;6.2病毒;;;宏病毒;;;手机骷髅;手机病毒;6.2病毒;6.2病毒;计算机杀毒软件的制作技术

1．特征代码法

从病毒程序中抽取一段独一无二、足以代表该病毒特征的二进制程序代码，并将这段代码作为判断该病毒的依据，这就是所谓的病毒特征代码。

从各种病毒样本中抽取特征代码，就构成了病毒资料库。

显然，病毒资料库中病毒特征代码种类越多，杀毒软件能查出的病毒就越多。;;选择病毒特征码要能够反映出该病毒典型特征，如它的破坏、传播和隐藏性代码。由于病毒数据区会经常变化，因此病毒特征代码不要含有病毒的数据区。在保持病毒典型特征唯一性的前提下，抽取的病毒特征代码要长度适当，应尽量使特征代码长度短些，以减少空间与时间开销，使误报警率最低。

在检查文件是否含有病毒时，可以先打开被检测文件，在文件中搜索，检查文件中是否含有与病毒数据库中相同的病毒特征代码。;如果发现文件中含有病毒特征代码，便可以断定被查文件中患有何种病毒。

采用病毒特征代码法的检测工具，必须不断更新病毒资料库，否则检测工具便会过期老化，逐渐失去实用价值。

特征代码法的优点是检测准确、快速、可识别病毒的名称，是检测已知病毒的最简单、开销最小的方法。缺点是不能检测未知病毒、变种病毒和隐蔽性病毒（隐蔽性病毒进驻内存后，会自动剥去染毒程序中的病毒代码），需定期更新病毒资料库，具有滞后性。;2．校验和法

校验和法是根据文件的内容，计算其校验和，并将所有文件的校验和放在资料库中。检测时将文件现有内容的校验和与资料库中的校验和做比较，若不同则判断为被感染病毒。运用校验和法查病毒可以采用三种方式：

（1）在检测病毒工具中加入校验和法。

（2）在应用程序中加入校验和法自我检查功能。

（3）将校验和检查程序常驻内存。;3．启发式扫描技术

启发式扫描技术是一种将病毒的代码特征和病毒的行为特点总结成规则，并建立一个病毒规则库。检测病毒时，主动判断符合条件的程序是否为病毒的技术，对查杀病毒变种具有很好的效果。

启发式扫描包括静态启发式扫描和动态启发式扫描。

静态启发式扫描仅检测程序的代码，分析程序中是否有病毒的文件格式和静态指令流的特征。

动态启发式扫描是将病毒中的共同行为归纳起来，例如，对EXE、DLL文件做写入动作，格式化硬盘动作、修改网页等。将病毒的共同行为定义到“非法”规则中。;4．虚拟机技术

用程序代码虚拟一个CPU、各个寄存器、硬件端口也虚拟出来，调入被调的“样本”，通过内存和寄存器以及端口的变化来了解程序的执行情况。将病毒放到虚拟机中执行，则病毒的传染和破坏等动作一定会被反映出来。

5．主动内核技术

是主动给操作系统和网络系统打了“补丁”，这些补丁将从安全的角度对系统或网络进行管理和检查，对系统的漏洞进行修补，任何文件在进入系统之前，反病毒模块都将首先使用各种手段对文件进行检测处理。

;6．实时反病毒技术

实时反病毒是对任何程序在调用之前都被先过滤一遍，一有病毒侵入，