《计算机病毒原理及防范技术》-王路群-电子教案 第10章 病毒对抗技术

《《计算机病毒原理及防范技术》-王路群-电子教案 第10章 病毒对抗技术》由会员分享，可在线阅读，更多相关《《计算机病毒原理及防范技术》-王路群-电子教案 第10章 病毒对抗技术（55页珍藏版）》请在金锄头文库上搜索。

1、计算机病毒原理及理论,第十章 病毒对抗技术,第十章 病毒对抗技术,10.3 病毒防御技术,10.2 病毒的清除,10.1 病毒的检测技术,本章学习导读,10.4 病毒样本的获取方法,本章小结,本章学习导读,本章主要讲解如何对抗病毒。首先介绍如何检测找到病毒，然后讲解如何将找到的病毒清除，接着讲解在发现病毒之前如何去防御病毒，最后讲解如何去获取病毒样本。,10. 1 病毒的检测技术,10.1.4 校验检测技术,10.1.3 行为监测技术,10.1.2 特征值检测技术,10.1.1 危险信号,10.1.5 启发式扫描,10.1.6 虚拟机技术,10.1.1 危险信号,1.磁盘的主引导扇区的信号 检

2、查硬盘主引导扇区是否被感染，可用DEBUG编写一段程序，读出0面，0柱面，1扇区的内容。或者使用软件，在二级菜单中选物理扇区（Absolute sector），在提示下输入0面（side），0柱面（cylinder），1扇区（sector），读出主引导扇区。,10.1.1 危险信号,2.可执行文件的信号 对于寄生在可执行文件中的病毒来说，病毒程序一般通过修改原有可执行文件，使该文件执行首先转入病毒程序引导模块，该引导模块也完成把病毒程序的其它两个模块驻留及初始化的工作，然后把执行权交给执行文件，使系统及执行文件在带毒的状态下运行。,10.1.1 危险信号,3.内存空间的信号 计算机病毒在传染或

3、执行时，必然要占有一定的内存空间，并驻留在内存中，等待时机进行攻击或传染。,10.1.1 危险信号,4.特征的信号 一些常见的病毒具有很明显的特征，即病毒中含有特殊的字符串。用抗病毒软件检查文件中是否存在这些特征，从而判定是否发生感染。特征搜索法可以确诊病毒类型。,10.1.2 特征值检测技术,计算机病毒的特征值是指计算机病毒本身在特定的寄生环境中确认自身是否存在的标记符号，即指病毒在传染宿主程序时，首先判断该病毒欲传染的宿主是否已染有病毒时，按特定的偏移量从文件中提出的特征值。,10.1.2 特征值检测技术,1.传统的特征值搜索技术 （1）采集已知的病毒样本。 （2）在病毒样本中，抽取特征值

4、。 （3）获取病毒特征值 （4）将特征串纳入病毒特征数据库,10.1.2 特征值检测技术,2.传统的病毒特征串搜索技术的缺陷 （1）当被扫描的文件很长时，扫描所花时间也越多。 （2）不容易选出合适的特征串，很多时候会发出假警报。 （3）在新病毒的特征串还未加入病毒代码库时，老版本的扫毒程序无法识别出新病毒。 （4）怀有恶意的计算机病毒制造者得到代码库后，会很容易地改变病毒体内的代码，生成一个新的变种，使扫描程序失去检测它的能力。 （5）容易产生误警报。 （6）不易识别Mutation Engine类病毒。 （7）搜集已知病毒的特征代码，费用开销大。 （8）在网络上使用效率低。,10.1.2 特

5、征值检测技术,3.广谱特征串选取 （1）提取变形病毒的多个感染样本。 （2）在每个样本的相同位置抽取适当长度的病毒代码。 （3）比较这些病毒特征串，依次记下各个样本完全相同的代码。 （4）如果在各个样本的病毒特征串中，从第一组（有1个字节以上含1个字节）相同的特征串到第二组相同的特征串之间的代码，不仅常变换，而且在每一个样本中，它们之间的间距也不相同。如果是在32个字节内变化，可以用双“%”百分号来过滤这些变化的代码。 （5）按以上方法处理完病毒特征串，最后得到的就是病毒的广谱特征串。,10.1.2 特征值检测技术,4.建立病毒广谱特征串选取注意事项 （1）病毒广谱特征串后面的汉字串中不得使用

6、西文双引号。 （2）双问号“？”和百分号“%”可交叉使用。 （3）当两组病毒特征代码之间的距离大于32个字节时，大于部分可增加一些双问号“？”来接续，或多用几个“%”双百分号。 （4）特征值中至少要有三组不变的病毒代码。,10.1.2 特征值检测技术,特征值检测的优点 1）当特征串选择得很好时，病毒检测软件让计算机用户使用起来方便快速，对病毒了解不多的人也能用它来发现病毒。 2）不用专门软件，用编辑软件也能用特征串扫描法去检测特定病毒。 3）可识别病毒的名称。 4）误报警率低。 5）依据检测结果，可做杀毒处理。,10.1.3 行为监测技术,利用病毒的特有行为特征性来监测病毒的方法，称为行为监测

7、法。 通过对病毒多年的观察、研究，发现病毒有一些共同行为。在正常应用程序中，这些行为比较罕见，这就是病毒的行为特性。,10.1.3 行为监测技术,监测病毒的行为特征： （1）写注册表 （2）自动联网请求 （3）占用INT 13H （4）修改DOS系统数据区的内存总量 （5）对COM和EXE文件做写入动作 （6）病毒程序与宿主程序的切换,10.1.4 校验检测技术,将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，从而可以发现文件是否感染，这种方法叫校验和法，它既可发现已知病

8、毒又可发现未知病毒。,10.1.4 校验检测技术,1.长度比较法及内容比较法 病毒感染系统或文件，必然引起系统或文件的变化，既包括长度的变化，又包括内容的变化。因此，将无毒的系统或文件与被检测的系统或文件的长度和内容进行比较，即可发现病毒。长度比较法和内容比较法就是从长度和内容两方面进行比较而得名。,10.1.4 校验检测技术,2.内存比较法 这是一种对内存驻留病毒进行检测的方法。由于病毒驻留于内存，必须在内存中申请一定的空间，并对该空间进行占用、保护。因此，通过对内存的检测，观察其空间变化，与正常系统内存的占用和空间进行比较，可以判定是否，有病毒驻留其间。,10.1.4 校验检测技术,3.中

9、断比较法 病毒为实现其隐蔽和传染破坏之目的，常采用“截留盗用”技术，更改、接管中断向量，让系统中断向量转向执行病毒控制部分。因此，将正常系统的中断向量与有毒系统的中断向量进行比较，可以发现是否有病毒修改和盗用中断向量。,10.1.4 校验检测技术,4.文件校验和 对文件内容（可含文件的属性）的全部字节进行某种函数运算，这种运算所产生的适当字节长度的结果就叫做校验和。 这种校验和在很大程度上代表了原文件的特征，一般文件的任何变化都可以反映在校验和中。,10.1.5 启发式扫描,1.人工智能 一个运用启发式扫描技术的病毒检测软件，实际上就是以特定方式实现的动态调试器或反编译器，通过对有关指令序列的

10、反编译逐步理解和确定其蕴藏的真正动机。,10.1.5 启发式扫描,2.扫描信号标志 对于某个文件来说，被设置的标志越多，染毒的可能性就愈大。 常规干净程序极少会设置一个标志，但如果要作为可疑病毒报警的话，则至少要设置两个以上标志。,10.1.5 启发式扫描,3.虚报 正如任何其他的通用检测技术一样，启发式扫描技术有时也会把一个本无病毒的程序指证为染毒程序，这就是所谓的查毒程序虚报谎报现象。 虚报的原因很简单被检测程序中含有属于病毒所使用或含有的可疑功能。,10.1.6 虚拟机技术,虚拟机技术，该技术也称为软件模拟法，它是一种软件分析器，用软件方法来模拟和分析程序的运行，而且程序的运行不会对系统

11、起实际的作用（仅是模拟），因而不会对系统造成危害。 其实质都是让病毒在虚拟的环境下执行。,10.2 病毒的清除,10.2.4病毒的去激活,10.2.3 宏病毒的清除,10.2.2 文件型病毒的清除,10.2.1 引导型病毒的清除,10.2 病毒的清除,将染毒文件的病毒代码摘除，使之恢复为可正常运行的健康文件，称为病毒的清除，有时称为对象恢复。 清除可分为手工清除和自动清除两种方法。,10.2.1 引导型病毒的清除,引导型病毒感染时的攻击部位有： （1）硬盘主引导扇区。 （2）硬盘或软盘的Boot扇区。,10.2.1 引导型病毒的清除,1.消除引导扇区型病毒 提取引导区 覆盖引导区 Cdebug

12、 Cdebug -L100 盘号 0 1 -N Dosboot.21s -N Dosboot.21s -L -RCX -W100 盘号 0 1 CX 0000 -Q ：200 -W -Q,10.2.1 引导型病毒的清除,2. 消除硬盘主引导扇区型病毒 （1）用无毒软盘启动系统。 （2）寻找一台同类型、硬盘分区相同的无毒机器，将其硬盘主引导扇区写入一张软盘中。 （3）将此软盘插入染毒机器，将其中采集的主引导扇区数据写入染毒硬盘，即可修复。,10.2.2 文件型病毒的清除,文件型病毒也称为外壳型病毒。文件型病毒一般攻击*.EXE或*.COM可执行文件。 清除文件型病毒一般需要做： 恢复原文件的数据

13、； 删除病毒的有关数据及程序段。,10.2.3 宏病毒的清除,（1）打开宏菜单，在通用模板中删除认为是病毒的宏。 （2）打开带有病毒宏的文档（模板），然后打开宏菜单，在通用模板和病毒文件名模板中删除认为是病毒的宏。 （3）保存清洁文档。,10.2.4 病毒的去激活,清除内存中的病毒，是指使RAM中的病毒进入非激活状态，跟文件恢复一样，需要OS和汇编语言知识。 清除内存中的病毒，需要检测病毒的执行过程，然后改变其执行方式，使病毒失去传染能力。,10.3 病毒防御技术,10.3.4 防火墙和防毒软件,10.3.3 数字免疫,10.3.2 病毒的预防措施及方法,10.3.1 病毒入侵途径分析,10.

14、3.1 病毒入侵途径分析,（1）系统启动盘要专用，而且要加上写保护，以防病毒侵入。 （2）不要乱用其它来历不明的程序或软件，也不要使用非法复制或解密的软件。 （3）对于外来的机器或软件要进行病毒的检测，在确认无毒的情况下方可使用。 （4）对于带有硬盘的机器最好专机专用或专人专机，以防病毒侵入硬盘。 （5）对于重要的系统盘，数据盘以及硬盘上的重要信息要经常备份，以使系统或数据遭到破坏后能及时得到恢复。 （6）网络上的计算机用户要遵守网络软件的使用规定，不能在网络上随意使用外来的软件。,10.3.2 病毒的预防措施及方法,通过采取技术上和管理上的措施，计算机病毒是完全可以防范的。 最重要的是思想上

15、要重视计算机病毒可能会给计算机安全运行带来的危害。 同样是对于计算机病毒，有病毒防护意识的人和没有病毒防护意识的人会采取完全不同的态度。,10.3.3 数字免疫,数字免疫系统（Digital Immune System）是IBM公司和赛门铁克（Symantec）公司提出的新概念。 数字免疫系统主要是为企业级的信息系统服务的，它所“预防治疗”的病症很广泛，既包括计算机病毒，也包括影响企业信息系统正常运行的诸多因素，如磁盘碎片引起的运行处理速度缓慢，经常性的系统死机多，并且提供修复更新系统的工具。,10.3.3 数字免疫,1.管理职能 2.智能化的反病毒工具 3.整理磁盘碎片 4.事故防范与灾难恢

16、复 5.远程支持,10.3.4 防火墙和防毒软件,1.防火墙 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。,10.3.4 防火墙和防毒软件,防火墙的功能主要表现在以下几个方面： （1）防火墙是网络安全的屏障 （2）防火墙可以强化网络安全策略 （3）对网络存取和访问进行监控审计 （4）防止内部信息的外泄,10.3.4 防火墙和防毒软件,2.防毒软件 杀毒软件是用于消除电脑病毒、特洛伊木马和恶意软件、保护电脑安全的一类软件的总称。 防毒软件国内也称杀毒软件 防毒软件通常集成监控识别、病毒扫描和清除和自动升级等功能，有的防毒软件还带有数据恢复等功能。,10.3.4 防火墙和防毒软件,一些国内外比较知名的防毒软件 （1）BitDefender （2）Kaspersky （3）F-Secure Anti-Virus （4）PC-cillin （5）ESET Nod32 （6）McA