计算机病毒与防范技术 第7章

《计算机病毒与防范技术 第7章》由会员分享，可在线阅读，更多相关《计算机病毒与防范技术 第7章（69页珍藏版）》请在金锄头文库上搜索。

1、计算机病毒与防范技术,第7章 病毒对抗技术,反病毒技术综述 病毒的检测技术与原理 启发式代码扫描技术 虚拟机查毒技术 病毒实时监控技术 计算机病毒的免疫技术 反病毒引擎技术剖析,反病毒技术综述,反病毒技术的产生与发展简介 从“消毒软件”到“防毒卡” 早期的消毒程序是一对一的，即一个程序清除一种病毒 90年我国最早的一个防病毒卡诞生在深圳的“华星”公司 93-94年防病毒卡迪销售达到了一个顶峰 “查杀防三合一”实时反病毒软件的诞生 20世纪90年代末期，出现了具有实时防病毒功能的反病毒软件,反病毒技术综述,反病毒技术的发展历程 第一代反病毒技术 采用单纯的病毒特征代码分析，清除染毒文件中的病毒

2、第二代反病毒技术 采用静态广谱特征扫描技术检测病毒，可以检测变形病毒，但是误报率高,反病毒技术综述,第三代反病毒技术 将静态扫描技术和动态仿真跟踪技术结合起来，将查找病毒和清除病毒合二为一 全面实现防、查、杀等反病毒所必备的各种手段，以驻留内存方式防止病毒的入侵，能清除检测到的病毒，不会破坏文件和数据,反病毒技术综述,第四代反病毒技术 基于病毒家族体系的命名规则、基于多位CRC校验和扫描机理、启发式智能代码分析模块、动态数据还原模块(能查出隐蔽性极强的压缩加密文件中的病毒)、内存解毒模块、自身免疫模块等先进的解毒技术,反病毒技术综述,启发式扫描，源于人工智能技术，是基于给定的判断规则和定义的扫

3、描技术，若发现被扫描程序中存在可疑的程序功能指令，则作出存在病毒的预警或判断 如今杀毒软件仍然是以特征检测杀毒为住，行为启发式扫描检测技术为辅,反病毒技术综述,主动内核(Active K)技术与实时监视 传统的反病毒技术，基于被动式的防御理念 这种理念最大的缺点在于将防治病毒的基础建立在病毒侵入操作系统或网络系统以后，作为上层应用软件的反病毒产品，才能借助于操作系统或网络系统所提供的功能来被动地防治病毒,反病毒技术综述,主动内核(Active K)技术，是在操作系统和网络的内核中嵌入反病毒功能，使反病毒成为系统本身的底层模块，实现各种反毒模块与操作系统和网络无缝连接，而不是一个系统外部的应用软

4、件 主动内核技术能够在病毒突破计算机系统软、硬件的瞬间发生作用,反病毒技术综述,计算机病毒的防治技术分成四个方面 病毒预防技术 病毒检测技术 病毒消除技术 病毒免疫技术,计算机病毒的检测技术与原理,检测计算机病毒的方法有两种 手工检测 利用Debug、PCTools、SysInfo、WinHex等工具软件进行病毒的检测 这种方法比较复杂，费时费力 可以剖析病毒、可以检测一些自动检测工具不能识别的新病毒,计算机病毒的检测技术与原理,自动检测 利用一些专业诊断软件来判断引导扇区、磁盘文件是否有毒的方法 自动检测比较简单，一般用户都可以进行，但需要较好的诊断软件 可方便地检测大量的病毒，自动检测工具

5、的发展总是滞后于病毒的发展,计算机病毒的检测技术与原理,特征值检测技术 一些常见的病毒具有很明显的特征，即病毒中含有特殊的字符串。用抗病毒软件检查文件中是否存在这些特征，从而判定是否发生感染 计算机病毒的特征值有别于病毒标识，特征值是指一种病毒有别于另一种病毒的字符串，有时简称特征串,计算机病毒的检测技术与原理,其局限性在于只能诊断已知的计算机病毒，而优越性在于能确诊计算机病毒的类型 特征值数据库可以定义如下： 如果行头第一个字符为空格，则视为注释行 每行中用一个或多个链接的空格分隔病毒特征值、病毒名、备注三个部分，每一部分中不能有空格，病毒名中可以用下横线连接多个单词,计算机病毒的检测技术与

6、原理,传统的特征值搜索技术实现步骤 ： 采集已知的病毒样本 在病毒样本中，抽取特征值 抽取的特征值应比较特殊，不要与普通正常程序代码吻合 抽取的特征值要有适当长度,计算机病毒的检测技术与原理,获取病毒特征值的方法 把病毒在计算机屏幕上出现的信息作为病毒的特征串 用病毒标识作为病毒的特征值 从病毒代码的任何地方开始取出连续的、不大于64字节且不含空格（ASCII值为32）的字符串都可以作为计算机病毒的特征串 将特征串纳入病毒特征数据库 在实际应用中，使用扫描引擎实现病毒特征的匹配,FA 7A 2C 00H,计算机病毒的检测技术与原理,传统的病毒特征串搜索技术只能诊断已知的计算机病毒 病毒特征值检

7、测方法对从未见过的新病毒，因无法事先知道其特征值，因而无法检测这些新病毒,计算机病毒的检测技术与原理,传统的病毒特征串搜索技术的缺陷源于以下两个方面： （1）抽取特征串时未对特征串进行分析，没有对同种病毒的多个同种染毒宿主上相同位置处的特征串进行比较，找出共同点，再以此为特征串 （2）搜索病毒时只是单纯地依次比较特征串，没有智能化处理,计算机病毒的检测技术与原理,广谱特征串过滤技术，该技术在一定程度上可以弥补以上缺陷 广谱特征串建立的方法如下： （1）提取变形病毒的多个感染样本，最好是对同一宿主的多次单独感染样本，不是多次重复感染,计算机病毒的检测技术与原理,（2）在每个样本的相同位置抽取适当

8、长度的病毒代码，这是传统意义的病毒特征串 （3）比较这些病毒特征串，依次记下各个样本完全相同的代码，如果一定位置上的代码各个样本不是完全相同或根本不同，那么把这些常变换的代码用两个问号“?”来代替，每一个双问号代表一个字节,计算机病毒的检测技术与原理,广谱特征串例子 B8 ? 42 ? ? ? ? % B4 40 % % B8 ? 57建立病毒广谱特征串有以下几个注意事项： 上述病毒广谱特征串后面的汉字串中不得使用西文双引号 双问号“?”和百分号“%”可交叉使用,计算机病毒的检测技术与原理,当两组病毒特征代码之间的距离大于32个字节时，大于部分可增加一些双问号来接续，或多用几个双百分号。每一个

9、双百分号最多可代表32个字节特征值中至少要有三组不变的病毒代码,计算机病毒的检测技术与原理,特征值检测方法的优点是： 检测准确快速、可识别病毒的名称、误报警率低、并且依据检测结果可做解毒处理 其缺点是： 速度慢 不能检查未知病毒和多态性病毒 不能对付隐蔽性病毒,计算机病毒的检测技术与原理,校验和检测技术 根据正常文件的信息(包括文件名称、大小、时间、日期及内容)，计算其校验和 定期地或每次使用文件前，检查文件现有信息算出的校验和与原来保存的校验和是否一致,计算机病毒的检测技术与原理,运用校验和法查病毒一般采用三种方式 在检测病毒工具中纳入校验和法 在应用程序中，放入校验和法自我检查功能 将校验

10、和检查程序常驻内存,计算机病毒的检测技术与原理,比较的对象可分为 系统数据 文件的头部 文件的属性 文件的内容,计算机病毒的检测技术与原理,校验和检测技术的优点是：方法简单，能发现未知病毒，被查文件的细微变化也能发现 其缺点是：必须预先记录正常文件的校验和，会误报警，不能识别病毒名称，不能对付隐蔽型病毒，并且效率低,计算机病毒的检测技术与原理,行为监测技术 利用病毒的特有行为特性监测病毒的方法，称为行为监测法，也称为人工智能陷阱法 通过对病毒多年的观察、研究，人们发现病毒有一些行为，是病毒的共同行为，而且比较特殊，在正常程序中，这些行为比较罕见,计算机病毒的检测技术与原理,常见的病毒行为特性

11、占用INT 13H 修改DOS系统数据区的内存总量 对可执行文件做写入动作 病毒程序与宿主程序的切换 搜索API函数地址,计算机病毒的检测技术与原理,极少数正常程序也有类似的病毒行为，称为类病毒行为： 杀病毒工具去写有毒的可执行程序 某些安装程序动态修改可执行程序 加密程序对被加密程序的写入行为,计算机病毒的检测技术与原理,感染实验法诊断的原理 这种方法的原理是利用了病毒的最重要的基本特征：感染特性 检测未知引导型病毒的感染实验法 检测未知文件型病毒的感染实验法,计算机病毒的检测技术与原理,分析法诊断的原理 使用分析法的人一般不是普通用户，而是反病毒技术人员 使用分析法要求具有比较全面的计算机

12、体系结构、操作系统以及有关病毒技术的各种知识 分析法是反病毒工作中不可或缺的重要技术,计算机病毒的检测技术与原理,使用分析法的目的在于： 确认被观察的引导扇区和程序中是否含有病毒 确认病毒的类型和种类，判定其是否是一种新病毒 搞清楚病毒体的大致结构，提取特征识别用的字符串或特征字，并增添到病毒代码库供病毒扫描和识别程序使用 详细分析病毒代码，为制定相应的反病毒措施制定方案,启发式代码扫描技术,启发式代码扫描技术源于人工智能技术，是基于给定的判断规则和定义的扫描技术 若发现被扫描程序中存在可疑的程序功能指令，则作出存在病毒的预警或判断,启发式代码扫描技术,启发式代码分析扫描技术是对传统的特征代码

13、扫描法查毒技术的改进 在特征代码扫描技术的基础上，利用对病毒代码的分析，获得一些统计的、静态的启发式知识，形成一种静态的启发式代码扫描分析技术,启发式代码扫描技术,病毒和正常程序的区别 在windows下，一般正常的应用程序不会往系统目录中释放可执行程序然后进行自删除，或者直接搜索其他可执行程序进行修改 病毒程序通常最初的指令是重定位、直接写盘操作、解码指令，或搜索某路径下的可执行程序等相关操作指令序列,启发式代码扫描技术,一个运用启发式扫描技术的病毒检测软件，实际上就是以特定方式实现的动态解释器或反编译器，通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机,启发式代码扫描技术,早期的启

14、发式扫描软件采用代码反编译技术，反编译出被检测文件代码 在软件内部保存病毒行为的必用代码 使用“静态代码分析法”和“代码相似比较法”判定是否含有病毒,启发式代码扫描技术,可疑程序功能的权值与报警标准 对可疑的程序代码指令序列按照安全和可疑的等级进行排序，根据病毒可能使用和具备的特点而授以不同的加权值 例如，格式化磁盘的功能操作很少出现在正常的应用程序中，而在病毒程序中出现的几率极高，于是这类操作指令序列可获得较高的加权值,启发式代码扫描技术,如果一个程序的加权值的总和超过一个事先定义的阀值，那么，病毒检测程序就可以声称“发现病毒” 仅仅一项可疑的功能操作远不足以触发“病毒报警”的装置,启发式代

15、码扫描技术,为了避免“狼来了”的谎报和虚报，病毒检测程序常把多种可疑功能操作同时并发的情况定为发现病毒的报警标准 启发式扫描技术有时也会把一个本无病毒的程序判断为染毒程序，这就是所谓的查毒程序虚警或谎报现象,启发式代码扫描技术,减少和避免误报(谎报) ，必须努力做好以下几点 准确把握病毒行为，精确定义可疑功能调用集合，除非满足两个以上的病毒重要特征，否则不予报警 增强对常规正常程序的识别能力 增强对特定程序的识别能力 类似“无罪假定”的功能,启发式代码扫描技术,启发式扫描主要分为两类静态启发式扫描和动态启发式扫描 静态启发式扫描程序有一个巨大的代码数据库，数据库把每一个代码串(称为特征码)与它

16、所代表的行为特征联系在一起，并给每一个行为特征赋一个加权值 动态启发式扫描技术主要增加了对CPU的模拟。模拟了一个基本运行环境的计算机，对可能是病毒的文件先进行模拟运行，等加密病毒自解密后再进行静态启发式扫描,启发式代码扫描技术,启发式代码扫描技术中的几个关键问题 代码数据库的建立 对病毒行为特征的提取是启发式扫描技术效果好坏的关键 病毒特征权值的设定 对各个特征码进行统计分析，根据具有这种特征码的文件是病毒的可能性的大小来分配权值 权值底线的设置 针对不同的情况对安全性的要求不同，权值底线的设置可以根据具体情况来进行,启发式代码扫描技术,传统扫描技术与启发式扫描技术的结合 传统的扫描技术基于

17、对已知病毒的分析和研究，在检测时能够更准确、减少误报 对待此前根本没有出现过的新病毒，有可能产生漏报的严重后果,启发式代码扫描技术,基于规则和定义的启发式代码分析技术则可以检测新病毒 传统扫描技术与启发式扫描技术的结合，可以使病毒检测软件的检出率提高到前所未有的水平，而另一方面，又大大降低了总的误报率,启发式代码扫描技术,启发式代码扫描技术,启发式反毒技术的未来展望 在相当长的时间里虚报和漏报的概率不可能达到0%，因为病毒在本质上也是程序，某些正常程序可能使用具有病毒特征的功能(可疑功能调用) 反毒技术的进步也会从另一方面激发和促使病毒制作者不断研制出更新的病毒，具有某种反启发式扫描技术的功能，从而可以逃避这类检测技术的检测,