计算机病毒原理与防范-计算机病毒检测技术.ppt
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_05.gif)
《计算机病毒原理与防范-计算机病毒检测技术.ppt》由会员分享,可在线阅读,更多相关《计算机病毒原理与防范-计算机病毒检测技术.ppt(35页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、计算机病毒原理与防范任课教师:乔奎贤任课教师:乔奎贤第5章 计算机病毒检测技术5.1 5.1 反病毒技术的发展历程反病毒技术的发展历程5.2 5.2 计算机病毒检测技术原理计算机病毒检测技术原理5.3 5.3 病毒主要检测技术和特点病毒主要检测技术和特点5.1 5.1 反病毒技术的发展历程反病毒技术的发展历程第一代反病毒技术:第一代反病毒技术:采取单纯的计算机病毒特征判断采取单纯的计算机病毒特征判断u可以准确地清除计算机病毒,可靠性很高可以准确地清除计算机病毒,可靠性很高u随着病毒技术的发展,特别是加密和变形技术的应用,这随着病毒技术的发展,特别是加密和变形技术的应用,这种简单的静态扫描方式逐
2、渐失去了作用种简单的静态扫描方式逐渐失去了作用第二代反病毒技术:第二代反病毒技术:采用静态广谱特征扫描方法检测病毒采用静态广谱特征扫描方法检测病毒u可更多地检测出变形病毒,但是误报率也有所提高可更多地检测出变形病毒,但是误报率也有所提高u容易造成文件和数据的破坏容易造成文件和数据的破坏5.1 5.1 反病毒技术的发展历程反病毒技术的发展历程第三代反病毒技术:第三代反病毒技术:静态扫描技术和动态仿真技术相结合静态扫描技术和动态仿真技术相结合查找病毒和清除病毒合二为一,形成一个整体解决方案查找病毒和清除病毒合二为一,形成一个整体解决方案能全面实现预防、检测和清除等反病毒所必备的各种手段能全面实现预
3、防、检测和清除等反病毒所必备的各种手段以驻留内存方式防止病毒的入侵,凡是检测到的计算机病以驻留内存方式防止病毒的入侵,凡是检测到的计算机病毒都能清除,不会破坏文件和数据毒都能清除,不会破坏文件和数据第四代反计算机病毒技术:第四代反计算机病毒技术:基于计算机病毒家族体系的命名规则、基于多位基于计算机病毒家族体系的命名规则、基于多位CRC校验和校验和扫描机理、启发式智能代码分析模块、动态数据还原模块、内扫描机理、启发式智能代码分析模块、动态数据还原模块、内存解毒模块和自身免疫模块等先进的解毒技术存解毒模块和自身免疫模块等先进的解毒技术5.2 5.2 计算机病毒检测技术原理计算机病毒检测技术原理计算
4、机病毒检测技术:计算机病毒检测技术:通过一定的技术手段判定出病毒的技术通过一定的技术手段判定出病毒的技术计算机病毒检测技术种类:计算机病毒检测技术种类:根据病毒在特征分类基础上的检测技术根据病毒在特征分类基础上的检测技术 根据病毒程序中的关键字、特征程序段内容、病毒特征及感根据病毒程序中的关键字、特征程序段内容、病毒特征及感染方式、危机程度的变化染方式、危机程度的变化对文件或数据段的检验和进行检测对文件或数据段的检验和进行检测 不针对具体病毒程序自身检验技术,即对某个文件或数据段不针对具体病毒程序自身检验技术,即对某个文件或数据段进行检验和计算并保存其结果,以后定期或不定期地根据保存进行检验和
5、计算并保存其结果,以后定期或不定期地根据保存的结果对该文件或数据段进行检验,若出现差异,即表示该文的结果对该文件或数据段进行检验,若出现差异,即表示该文件或数据段的完整性已遭到破坏,从而检测到病毒的存在件或数据段的完整性已遭到破坏,从而检测到病毒的存在5.2.1 5.2.1 病毒检测技术的基本原理病毒检测技术的基本原理反病毒程序计算各个可执行程序的校验和反病毒程序计算各个可执行程序的校验和某些反病毒程序是常驻内存程序某些反病毒程序是常驻内存程序 反病毒程序常驻内存中,搜索可能进入系统的计算机病毒,反病毒程序常驻内存中,搜索可能进入系统的计算机病毒,其目的是阻止任何病毒感染系统。其目的是阻止任何
6、病毒感染系统。少数工具可以从感染病毒的程序中清除病毒少数工具可以从感染病毒的程序中清除病毒 少数工具反病毒工具虽可将染毒程序修复好,但有些修复效少数工具反病毒工具虽可将染毒程序修复好,但有些修复效果不能保证。某些反病毒工具还可能产生虚假报警。果不能保证。某些反病毒工具还可能产生虚假报警。反病毒技术的主要分类:反病毒技术的主要分类:病毒诊断技术、病毒治疗技术、病毒预防技术病毒诊断技术、病毒治疗技术、病毒预防技术 5.2.2 5.2.2 检测病毒的基本方法检测病毒的基本方法1借助简单工具检测借助简单工具检测指指DEBUG等常规软件工具等常规软件工具要求检测者必须具备的知识:要求检测者必须具备的知识
7、:分析工具的性能分析工具的性能磁盘内部结构(如磁盘内部结构(如BOOT区、主引导区、区、主引导区、FAT表和文件目录等有表和文件目录等有关知识)关知识)磁盘文件结构(磁盘文件结构(EXE文件头部结构,重定位方法、文件头部结构,重定位方法、EXE和和COM文文件加载文件的不同等)件加载文件的不同等)中断矢量表中断矢量表内存管理(内存控制块、环境参数和文件的内存管理(内存控制块、环境参数和文件的PSP结构等)结构等)阅读汇编程序的能力阅读汇编程序的能力有关病毒的信息有关病毒的信息 5.2.2 5.2.2 检测病毒的基本方法检测病毒的基本方法2借助专用工具检测借助专用工具检测指专门的计算机病毒检测工
8、具,如指专门的计算机病毒检测工具,如Norton等等 一般来说,专用工具具备自动扫描磁盘的功能,可检测磁盘一般来说,专用工具具备自动扫描磁盘的功能,可检测磁盘的染毒情况。的染毒情况。病毒检测工具只能识别已知计算机病毒,其发展总是滞后于病毒检测工具只能识别已知计算机病毒,其发展总是滞后于计算机病毒的发展,从而对相当数量的未知计算机病毒无法识计算机病毒的发展,从而对相当数量的未知计算机病毒无法识别。别。5.3 5.3 病毒主要检测技术和特点病毒主要检测技术和特点5.3.1 外观检测法外观检测法5.3.2 系统数据对比法系统数据对比法5.3.3 病毒签名检测法病毒签名检测法5.3.4 特征代码法特征
9、代码法5.3.5 检查常规内存数检查常规内存数5.3.6 校验和法校验和法5.3.7 行为监测法(实时监控法)行为监测法(实时监控法)5.3.8 软件模拟法软件模拟法5.3.9 启发式代码扫描技术启发式代码扫描技术5.3.10 主动内核技术主动内核技术5.3.11 病毒分析法病毒分析法5.3.12 病毒感染法病毒感染法5.3.1 5.3.1 外观检测法外观检测法 虽不能准确判断系统感染了何种病毒,但可通过异常现象来虽不能准确判断系统感染了何种病毒,但可通过异常现象来判断病毒的存在判断病毒的存在 外观检测法是计算机病毒防治阶段起重要作用的一个环节外观检测法是计算机病毒防治阶段起重要作用的一个环节
10、1屏幕显示异常屏幕显示异常2声音异常声音异常3文件系统异常文件系统异常4程序异常程序异常5系统异常系统异常6打印机、软驱等外部设备异常打印机、软驱等外部设备异常5.3.2 5.3.2 系统数据对比法系统数据对比法计算机系统的重要数据:计算机系统的重要数据:主引导扇区、主引导扇区、DOS分区引导扇区、软盘的引分区引导扇区、软盘的引导扇区、导扇区、FAT表、中断向量表和设备驱动程序头等表、中断向量表和设备驱动程序头等长度比较法及内容比较法长度比较法及内容比较法依据:计算机病毒感染系统或文件,必然引起系统或文件的变依据:计算机病毒感染系统或文件,必然引起系统或文件的变化(长度的变化和内容的变化)化(
11、长度的变化和内容的变化)注意:只靠检测长度和内容是不充分的,只能将其作为检测病注意:只靠检测长度和内容是不充分的,只能将其作为检测病毒的手段之一毒的手段之一5.3.2 5.3.2 系统数据对比法系统数据对比法内存比较法内存比较法 依据:通常病毒要驻留内存,造成可用内存空间的减少依据:通常病毒要驻留内存,造成可用内存空间的减少 内存比较法是针对内存驻留计算机病毒进行检测的方法内存比较法是针对内存驻留计算机病毒进行检测的方法中断比较法中断比较法 依据:计算机病毒为实现其隐藏和传染破坏的目的,常采用依据:计算机病毒为实现其隐藏和传染破坏的目的,常采用“截留盗用截留盗用”技术,更改、接管中断向量,使系
12、统中断向量转技术,更改、接管中断向量,使系统中断向量转向执行计算机病毒控制部分。向执行计算机病毒控制部分。方法:将正常系统的中断向量与染毒系统的中断向量进行比方法:将正常系统的中断向量与染毒系统的中断向量进行比较,可发现是否有计算机病毒修改或盗用中断向量较,可发现是否有计算机病毒修改或盗用中断向量5.3.3 5.3.3 病毒签名检测法病毒签名检测法计算机病毒签名:计算机病毒签名:即计算机病毒感染标记即计算机病毒感染标记不同计算机病毒的签名内容不同,位置也不同。不同计算机病毒的签名内容不同,位置也不同。并非所有计算机病毒都具备计算机病毒签名。并非所有计算机病毒都具备计算机病毒签名。计算机病毒签名
13、检测法的特点:计算机病毒签名检测法的特点:必须预先知道计算机病毒签名的内容和位置必须预先知道计算机病毒签名的内容和位置 每一种计算机病毒签名的获得都要耗费大量劳力,因此用计每一种计算机病毒签名的获得都要耗费大量劳力,因此用计算机病毒签名的方法检测计算机病毒,常常是低效、不适用的算机病毒签名的方法检测计算机病毒,常常是低效、不适用的方法方法可能造成虚假报警可能造成虚假报警5.3.4 5.3.4 特征代码法特征代码法原理:原理:计算机病毒程序通常具有明显的特征代码计算机病毒程序通常具有明显的特征代码u特征代码可能是病毒的感染标记,由字母和数字组成串特征代码可能是病毒的感染标记,由字母和数字组成串u
14、可能是一小段程序由若干指令组成,特征代码不一定连续可能是一小段程序由若干指令组成,特征代码不一定连续方法:方法:通过搜索、比较计算机系统中是否含有与特征代码数据通过搜索、比较计算机系统中是否含有与特征代码数据库中特征代码匹配的特征代码,从而确定系统是否染毒,感染库中特征代码匹配的特征代码,从而确定系统是否染毒,感染了何种病毒。了何种病毒。特点:特点:u依赖于对病毒精确特征的了解,必须事先对病毒样本做大量剖析依赖于对病毒精确特征的了解,必须事先对病毒样本做大量剖析u分析计算机病毒需要很多时间,有时间滞后分析计算机病毒需要很多时间,有时间滞后u若病毒特殊代码段的位置或代码改动,则原检测方法失败若病
15、毒特殊代码段的位置或代码改动,则原检测方法失败5.3.4 5.3.4 特征代码法特征代码法选择代码串规则选择代码串规则u不能随意选择病毒体内的一段作为特征代码串不能随意选择病毒体内的一段作为特征代码串u代码串不应含有病毒的数据区代码串不应含有病毒的数据区u保持唯一性的前提下,代码串应尽量短保持唯一性的前提下,代码串应尽量短u特征代码串应最具代表性,足以区别于其他病毒程序特征代码串应最具代表性,足以区别于其他病毒程序u特征代码串应能区别于其他正常的非病毒程序特征代码串应能区别于其他正常的非病毒程序实现步骤实现步骤u采集已知计算机病毒样本采集已知计算机病毒样本u从计算机病毒样本中,抽取计算机病毒特
16、征代码从计算机病毒样本中,抽取计算机病毒特征代码u将特征代码纳入计算机病毒数据库将特征代码纳入计算机病毒数据库u检测文件检测文件5.3.4 5.3.4 特征代码法特征代码法优缺点优缺点特征代码法的优点:特征代码法的优点:u检测准确,快速检测准确,快速u可识别计算机病毒的具体类型可识别计算机病毒的具体类型u误报率低误报率低u依据检测结果,针对病毒类型可做杀毒处理依据检测结果,针对病毒类型可做杀毒处理特征代码法的缺点:特征代码法的缺点:u对于新计算机病毒,发现特征代码的时间滞后对于新计算机病毒,发现特征代码的时间滞后u搜集已知计算机病毒的特征代码的研发开销大搜集已知计算机病毒的特征代码的研发开销大
17、u在网络上效率低,影响整个网络性能在网络上效率低,影响整个网络性能5.3.4 5.3.4 特征代码法特征代码法高品质计算机病毒检测工具应具有的属性高品质计算机病毒检测工具应具有的属性u高速性:高速性:随着计算机病毒数量的不断增加,检测计算机随着计算机病毒数量的不断增加,检测计算机病毒的时间开销就不断增加病毒的时间开销就不断增加u误报率低:误报率低:u具有检测多态性计算机病毒的能力:具有检测多态性计算机病毒的能力:多态形计算机病毒多态形计算机病毒能够变换自己的外观,如插入一些无害的指令随机分散到能够变换自己的外观,如插入一些无害的指令随机分散到代码中,也可通过使用不同的密钥进行加密来产生变种代码
18、中,也可通过使用不同的密钥进行加密来产生变种u能对付隐蔽性计算机病毒:能对付隐蔽性计算机病毒:隐蔽性计算机病毒若先于病隐蔽性计算机病毒若先于病毒检测工具进入内存,事先剥去病毒代码,从而躲避检测毒检测工具进入内存,事先剥去病毒代码,从而躲避检测工具的检测工具的检测5.3.5 5.3.5 检查常规内存数检查常规内存数原理:原理:病毒在发作、执行时必将占用一定的系统资源。大多数病毒在发作、执行时必将占用一定的系统资源。大多数病毒都常驻内存,并修改系统数据区记录的系统内存数或内存病毒都常驻内存,并修改系统数据区记录的系统内存数或内存控制块中的数据控制块中的数据方法:方法:利用一些工具软件,通过检查内存
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机病毒 原理 防范 检测 技术
![提示](https://www.deliwenku.com/images/bang_tan.gif)
限制150内