《恶意代码基础与防范（微课版）》 课件 第10章 恶意代码防范技术.ppt

//查找CIH病毒SetFilePointer(hFile,pCodeBytes,NULL,FILE_BEGIN);ReadFile(hFile,pBytes,sizeof(CihSignature),ReadBytes,NULL);for(i=0;isizeof(CihSignature);i++){ if(CihSignature[i]!=pBytes[i]) break;}演示程序计算机病毒查找实验(实验十五)【实验目的】掌握计算机病毒查找基本原理【实验平台】WindowsXP操作系统VisualStudio6.0应用程序【实验步骤】(1)从下载文件中复制实验文件到实验计算机上(源码位置：附书资源目录\Experiment\Chiklez)。(2)该目录下的DontAllow是防删除功能的动态链接库，事先编译该程序。(3)编译根目录下的程序，生成病毒查找应用程序。(4)运行VirRemv.exe，根据按钮指示操作，体验病毒查找功能。四、计算机病毒的清除清除病毒：将感染病毒的文件中的病毒模块摘除，并使之恢复为可以正常使用的文件的过程称为病毒清除.杀毒的不安全因素：清除过程可能破坏文件有的需要格式化才能清除清除的方法分类引导型病毒的清除原理文件型病毒的清除原理特殊病毒的清除原理引导型病毒的清除原理引导型病毒感染时的破坏行为有：（1）硬盘主引导扇区。（2）硬盘或软盘的BOOT扇区。（3）为保存原主引导扇区、BOOT扇区，病毒可能随意地将它们写入其他扇区，而毁坏这些扇区。（4）引导型病毒发做，执行破坏行为造成种种损坏。根据感染和破坏部位的不同，可以分以下方法进行修复：第一种：硬盘主引导扇区染毒，是可以修复的。（1）用无毒软盘启动系统。（2）寻找一台同类型、硬盘分区相同的无毒机器，将其硬盘主引导扇区写入一张软盘中。将此软盘插入染毒机器，将其中采集的主引导扇区数据写入染毒硬盘，即可修复。第二种：硬盘、软盘BOOT扇区染毒也可以修复。寻找与染毒盘相同版本的无毒系统软盘，执行SYS命令，即可修复。第三种：引导型病毒如果将原主引导扇区或BOOT扇区覆盖式写入根目录区，被覆盖的根目录区完全损坏，不可能修复。?第四种：如果引导型病毒将原主引导扇区或BOOT扇区覆盖式写入第一FAT表时，第二FAT表未破坏，则可以修复。可将第二FAT表复制到第一FAT表中。?第五种：引导型病毒占用的其他部分存储空间，一般都采用“坏簇”技术和“文件结束簇”技术占用。这些被空间也是可以收回的。文件型病毒的消毒原理覆盖型文件病毒清除该型病毒是一种破坏型病毒，由于该病毒硬性地覆盖掉了一部分宿主程序，使宿主程序被破坏，即使把病毒杀掉，程序也已经不能修复。覆盖型外的文件病毒原则上都可以被清除干净根据感染的逆过程来清除清除交叉感染病毒交叉感染：有时一台计算机内同时潜伏着几种病毒，当一个健康程序在这个计算机上运行时，会感染多种病毒，引起交叉感染。清除的关键：搞清楚多种病毒的感染顺序按感染先后次序的逆序清楚病毒3病毒2病毒1头部宿主文件尾部头部宿主文件尾部病毒1病毒2病毒3感染顺序：病毒1--〉病毒2-–〉病毒3在杀毒时：病毒3--〉病毒2-–〉病毒1计算机病毒的清除方法手工清除病毒的方法使用Debug、Regedit、SoftICE和反汇编语言等简单工具进行跟踪，清除的方法。优点：可以处理新病毒或疑难病毒（Worm等）缺点：需要高技术，复杂自动清除病毒方法使用杀毒软件自动清除染毒文件中的病毒代码，使之复原。优点：方便，易于普及缺点：滞后、不能完全奏效五、预防技术（被动）计算机监控技术计算机监控技术（实时监控技术）：注册表监控脚本监控内存监控邮件监控文件监控等优点：解决了用户对病毒的“未知性”，或者说是“不确定性”问题。实时监控是先前性的，而不是滞后性的。监控病毒源技术邮件跟踪体系例如，消息跟踪查寻协议（MTQP-MessageTrackingQueryProtocol）网络入口监控防病毒体系通用个人防火墙例如，TVCS-TrendVirusControlSystem个人防火墙技术个人防火墙以软件形式安装在最终用户计算机上，阻止由外到内和由内到外的威胁。个人防火墙不仅可以监测和控制网络级数据流，而且可以监测和控制应用级数据流，弥补边际防火墙和防病毒软件等传统防御手段的不足个人防火墙和边际防火墙的区别：个人可以监测和控制应用级数据流。云查杀技术云计算（cloudcomputing），一种