《病毒防治技术前沿地带-医学资料》由会员分享,可在线阅读,更多相关《病毒防治技术前沿地带-医学资料(32页珍藏版)》请在金锄头文库上搜索。
1、病毒防治技术的前沿地带 瑞星公司:谈文明 计算机病毒的历史渊源 病毒防治技术的现状 病毒防治技术的趋势前瞻 国内外病毒防治技术的发展态势 1.计算机病毒的历史渊源 (1)计算机病毒的定义 所谓计算机病毒,是指隐藏在计算机系统的 数 据资源中的、利用系统数据资源进行繁殖并生存 、能影响计算机系统正常运行并通过系统数据共 享途径进行感染的程序。 (2)计算机病毒的特征 破坏性 传染性 隐蔽性 寄生性 触发性 (3)计算机病毒的历史渊源 DOS时代的AIDS病毒 Windows95/98时代大名鼎鼎的CIH病毒 CIH作者陈盈豪 Windows NT时代的白雪公主病毒 巨大的黑白螺旋占 据了屏幕位置
2、,使 计算机使用者无法 进行任何操作! 席卷全球的NIMDA病毒 (4)人类为防治病毒所做出的努力及结论 网络安全 网络版 单机版 防病毒卡 结论:人类将与病毒长期共存。 2.病毒防治技术的现状 (1)目前广泛应用的3种技术: 特征码扫描法 特征码扫描法是分析出病毒的特征病毒码并集 中存放于病毒代码库文件中,在扫描时将扫描 对象与特征代码库比较,如有吻合则判断为染 上病毒。该技术实现简单有效,安全彻底;但 查杀病毒滞后,并且庞大的特征码库会造成查 毒速度下降; 虚拟执行技术 该技术通过虚拟执行方法查杀病毒,可以对付加密、 变形、异型及病毒生产机生产的病毒,具有如下特点 : 在查杀病毒时在机器虚
3、拟内存中模拟出一个“指令 执行虚拟机器” 在虚拟机环境中虚拟执行(不会被实际执行)可疑 带毒文件 在执行过程中,从虚拟机环境内截获文件数据,如 果含有可疑病毒代码,则杀毒后将其还原到原文件中 ,从而实现对各类可执行文件内病毒的查杀 文件实时监控技术 通过利用操作系统底层接口技术,对系统中的所 有类型文件或指定类型的文件进行实时的行为 监控,一旦有病毒传染或发作时就及时报警。 从而实现了对病毒的实时、永久、自动监控。 这种技术能够有效控制病毒的传播途径,但是 这种技术的实现难度较大,系统资源的占用率 也会有所降低。 (2)病毒的新特点 病毒与其他技术相融合 某些病毒及普通病毒、蠕虫、木马和黑客等
4、 技术于一身,具有混合型特征,破坏性极强 ; 传播途径多,扩散速度快 很多病毒与internet和intranet紧密结合,通过 系统漏洞、局域网、网页、邮件等方式进行 传播,扩散速度极快。目前此类病毒已有 2000种之多; 欺骗性强 很多病毒利用人们的好奇心理,往往具有很强的 诱惑性和欺骗性,使得它更容易传染,如“库尔尼 科娃”病毒即是利用网坛美女库尔尼科娃的魅力; 大量消耗系统与网络资源 计算机感染了REDCODE等病毒后,病毒会不断 遍历磁盘、分配内存,导致系统资源很快被消耗 殆尽,最终使得计算机速度越来越慢或网络阻塞 ; 病毒出现频度高,病毒生成工具多 早期的计算机病毒都是编程高手制作
5、的,编写病 毒是为了显示自己的技术,但库尔尼科娃病毒的 设计者只是修改了下载的VBS蠕虫孵化器变生成 了该病毒。这种工具在网络上很容易就可以获得 ,因此新病毒的出现频度超出以往的任何时候。 智能引擎技术 智能引擎技术发展了特征码扫描法的优点,改进 了其弊端,使得病毒扫描速度不随病毒库的增大 而减慢。刚刚面世的瑞星杀毒软件2003版即采 用了此项技术,使病毒扫描速度比2002版提高 了一倍之多; 1. (3)魔高一尺,道高一丈,反病毒技 术也 随着病毒的发展而发展,新技术包 括: 计算机监控技术 文件实时监控 内存实时监控 脚本实时监控 邮件实时监控 注册表实时监控 嵌入式杀毒技术 嵌入式杀毒技
6、术是对病毒经常攻击的应用程序 或对象提供重点保护的技术,它利用操作系统或 应用程序提供的内部接口来实现。它对使用频度 高、使用范围广的主要的应用软件提供被动式的 防护。如对MS-Office、Outlook、IE、Winzip、 NetAnt等应用软件进行被动式杀毒。 未知病毒查杀技术 未知病毒技术是继虚拟执行技术后的又一大技 术突破,它结合了虚拟技术和人工智能技术, 实现了对未知病毒的准确查杀。 压缩智能还原技术 世界上的压缩工具、打包工具、加“壳”工具多 不胜数,病毒如果被这样的工具处理后被层层包 裹起来,对于防病毒软件来说,就是一个噩梦。 为了使用统一的方法来解决这个问题,反病毒专 家们
7、发明了未知解压技术,它可以对所有的这类 文件在内存中还原,从而使得病毒完全暴露出来 。 多层防御,集中管理技术 反病毒要以网为本,从网络系统的角度设计反病毒解 决方案,只有这样才能有效地查杀网络上的计算机 病毒。 在网络上,软件的安装和管理方式是十分关键的,它 不仅关系到网络维护和管理的效率和质量,而且涉 及到网络的安全性。好的杀毒软件需要能在几分钟 之内便可轻松地安装到组织里的每一个NT服务器 上,并可下载和散布到所有的目的机器上,由网络 管理员集中设置和管理,它会与操作系统及其它安 全措施紧密地结合在一起,成为网络安全管理的一 部分,并且自动提供最佳的网络病毒防御措施。 病毒免疫技术 病毒
8、免疫技术一直是反病毒专家研究的热点,它 通过加强自主访问控制和设置磁盘禁写保护区来 实现病毒免疫的基本构想。实际上,最近出现的 软件安全认证技术也应属于此技术的范畴,由于 用户应用软件的多样性和环境的复杂性,病毒免 疫技术到广泛使用还有一段距离。 3.病毒防治技术的趋势前瞻 加强对未知病毒的查杀能力 加强对未知病毒的查杀能力是反病毒行业的持久课 题,目前国内外多家公司都宣布自己的产品可以对 未知病毒进行查杀,但据我们研究,国内外的产品 只有少数可以对同一家族的病毒进行预警,不能清 除。 目前瑞星公司已经在这一领域取得了突破性的进展 ,可以对未知DOS病毒、未知PE 病毒、未知宏病毒 进行防范,
9、其中对未知DOS病毒能查到90%以上, 并能准确清除其中的80%,未知PE 病毒能查到 70%以上、未知宏病毒能实现查杀90%. 防杀针对掌上型移动通讯工具和PDA的病毒 随着掌上型移动通讯工具和PDA的广泛使 用,针对这类系统的病毒已经开始出现, 并且威胁将会越来越大,反病毒公司将投 入更多的力量来加强此类病毒的防范。 介绍六种面向手机电话等便携式信息设备的 “EPOC” 上运行的病毒: EPOC-ALARM,持续发出警告声音,虽无大害,但 很烦人; EPOC-BANDINFO.A,发作时将用户信息并为 “Somefoolownthis”; EPOC-FAKE.A,会在手机的屏幕上显示格式化
10、内置硬盘 的画面,但实际上并不会执行格式化操作; EPOC-GHOST.A,会在画面上显示“Everyone hates you”; EPOC-ALIGHT.A,会使背景灯持续闪烁; EPOC-ALONE.A,可使键盘操作功能丧失,可及时输入 “Leave me alone”来解除病毒常驻; 兼容性病毒的防杀兼容性病毒的防杀 目前已经发现可以同时在微软 WINDOWS和日益 普及的LINUX两种不同操作系统内运作的病毒, 此类病毒将会给人们带来更多的麻烦,促使反病 毒公司加强防杀此类病毒。 蠕虫病毒和脚本病毒的防杀不容忽视 蠕虫病毒是一种能自我复制的程序,驻留内存并 通过计算机网络复制自己,它
11、通过大量消耗系统 资源,最后导致系统瘫痪。给人们带来了巨大的 危害,脚本病毒因为其编写相对容易正成为另一 种趋势,这两类病毒的危害性使人们丝毫不能忽 视对其的防杀。 网络病毒将大肆传播 互联网为广大用户打开了神奇万千的世界,同时 也打开了潘多拉的盒子,因其通过网络进行传播 而具有传播速度快、危害性极大而给人们造成了 巨大损失。 早期的“美丽杀”曾使美国300多家大型公司的 服务器瘫痪;近期的NIMDA在美国出现之初就有 15万台PC受感染,造成5.3亿美元的损失。 我们将加强网络病毒的防杀能力。 4.目前国内外防病毒技术的发展态势 国内外反病毒公司在反病毒领域各有所长 国内外产品竞争激烈国内外
12、产品竞争激烈 随着中国加入WTO,多家国际反病毒公司均加 大了对中国市场的力度; 国内以瑞星为首的反病毒公司不仅在积极拓展巩 固国内市场,而且正逐步推向国际市场。 国内反病毒企业发展势头强劲 单机版市场国内产品占有绝对优势; 网络版市场国内企业也丝毫不逊色,去年瑞星 公司的网络版销售额即已超过多家外国厂商在 中国的企业级产品销售额; 瑞星公司积极推行“新安全运动” 瑞星公司旨在全面普及新安全理念、推动企业 信息安全建设、从根本上改变国内信息安全现 状的“新安全运动”近日在全国巡展。 我们相信人类受到病毒侵害及由此带来的损失 将逐步减少,国内反病毒行业在政府的规范和 用户的支持下将取得更好的成绩! 谢谢大家!
