计算机病毒的检测清除与免疫ppt课件

张仁斌 李钢 侯整风 编著 计算机病毒与反病毒技术 清华大学出版社清华大学出版社 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 2 主要内容 u 计算机病毒的防范措施 u 计算机病毒的检测技术与原理 u 启发式查毒技术 u 虚拟机查毒技术 u 实时监控技术 u 引导型病毒的清除 u 文件型病毒的清除 u 计算机病毒的免疫方法 第第 9章章 计算机病毒的检测、清除与免疫计算机病毒的检测、清除与免疫 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 3 9.1.1 反病毒技术的产生与发展简介 u 反病毒技术应运而生，并在与病毒对抗的过程中不断发展 8 从 “消毒软件 ”到 “防毒卡 ” 8 “查杀防三合一 ”实时反病毒软件的诞生 u 反病毒技术的发展历程 8 简单特征码 采用单纯的病毒特征代码分析，清除染毒文件中 的病毒 8 广谱特征 采用静态广谱特征扫描技术检测病毒，可以检测 变形病毒，但是误报率高 8 启发式扫描 将静态扫描技术和动态仿真跟踪技术结合起来 ，将查找病毒和清除病毒合二为一 8 虚拟机 9.1 反病毒技术综述反病毒技术综述 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 4 9.1.2 计算机病毒防治技术的划分 u 计算机病毒的防治技术分成四个方面 8 病毒预防技术 8 病毒检测技术 8 病毒消除技术 8 病毒免疫技术 u 除了免疫技术因目前找不到通用的免疫方法而进展 不大之外，其他三项技术都有相当的进展 9.1 反病毒技术综述反病毒技术综述 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 5 9.1.3 主动内核 (Active K)技术与实时监视 u 传统的反病毒技术，基于被动式的防御理念 8 这种理念最大的缺点在于将防治病毒的基础 建立在病毒侵入操作系统或网络系统以后，作为 上层应用软件的反病毒产品，才能借助于操作系 统或网络系统所提供的功能来被动地防治病毒 u 主动内核 (Active K)技术，是在操作系统和网络的 内核中嵌入反病毒功能，使反病毒成为系统本身的 底层模块，实现各种反毒模块与操作系统和网络无 缝连接，而不是一个系统外部的应用软件 u 主动内核技术能够在病毒突破计算机系统软、硬件 的瞬间发生作用 9.1 反病毒技术综述反病毒技术综述 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 6 9.1.4 自动解压缩技术 u 检查压缩文件中的病毒，首先必须搞清压缩文件的 压缩算法，尔后根据压缩算法将病毒码压缩成病毒 压缩码，最后根据病毒压缩码在压缩文件中查找 u 还有另一种检查压缩文件中病毒的方法，是在搞清 压缩文件的压缩算法和解压缩算法的基础上，先解 压缩文件，尔后检查病毒码，最后将文件还原压缩 9.1 反病毒技术综述反病毒技术综述 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 7 9.2.1 计算机病毒防范的概念 u 计算机病毒防范，是指通过建立合理的计算机病毒 防范体系和制度，及时发现计算机病毒侵入，并采 取有效的手段阻止计算机病毒的传播和破坏，恢复 受影响的计算机系统和数据 u 计算机病毒能利用读写文件进行感染，利用驻留内 存、截取中断向量等方式能进行传染和破坏。预防 计算机病毒就是要监视、跟踪系统内类似的操作， 提供对系统的保护，最大限度地避免各种计算机病 毒的传染破坏 9.2 计算机病毒的防范策略计算机病毒的防范策略 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 8 9.2.2 必须具有的安全意识 u 对计算机病毒应持有如下态度： 8 承认计算机病毒的客观存在 8 应该具有安全意识，积极采取预防措施，堵 塞计算机病毒的传染途径 8 不惧怕病毒，树立必胜的信念；发现病毒， 冷静处理 9.2 计算机病毒的防范策略计算机病毒的防范策略 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 9 9.2.3 预防计算机病毒的一般措施 u 计算机病毒的预防措施可概括为两点 8 勤备份 8 严防守 9.2 计算机病毒的防范策略计算机病毒的防范策略 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 10 9.3.1 病毒检测方法综述 u 检测计算机病毒的方法有两种 8 手工检测 利用 Debug、 PCTools、 SysInfo、 WinHex等工 具软件进行病毒的检测 这种方法比较复杂，费时费力 可以剖析病毒、可以检测一些自动检测工具不能 识别的新病毒 8 自动检测 利用一些专业诊断软件来判断引导扇区、磁盘文 件是否有毒的方法 自动检测比较简单，一般用户都可以进行，但需 要较好的诊断软件 可方便地检测大量的病毒，自动检测工具的发展 总是滞后于病毒的发展 9.3 计算机病毒的诊断方法及其原理计算机病毒的诊断方法及其原理 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 11 9.3.2 比较法诊断的原理 u 比较法是用原始的正常备份与被检测的内容 (引导 扇区或被检测的文件 )进行比较 8 长度比较法 8 内容比较法 8 内存比较法 8 中断比较法 9.3 计算机病毒的诊断方法及其原理计算机病毒的诊断方法及其原理 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 12 9.3.3 校验和法诊断的原理 u 根据正常文件的信息 (包括文件名称、大小、时间、日期及 内容 )，计算其校验和，将该校验和写入文件中或写入其他 文件 (资料库 )中保存 u 在文件使用过程中，定期地或每次使用文件前，检查文件现 有信息算出的校验和与原来保存的校验和是否一致，因而可 以发现文件是否已被感染 u 运用校验和法查病毒一般采用三种方式 8 在检测病毒工具中纳入校验和法，对被查的对象文件 计算其正常状态的校验和，将校验和值写入被查文件中或 检测工具中，而后进行比较 8 在应用程序中，放入校验和法自我检查功能，将文件 正常状态的校验和写入文件本身中，每当应用程序启动时 ，比较现行校验和与原校验和值，实现应用程序的自检测 8 将校验和检查程序常驻内存，每当应用程序开始运行 时，自动比较检查应用程序内部或其他文件中预先保存的 校验和 9.3 计算机病毒的诊断方法及其原理计算机病毒的诊断方法及其原理 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 13 9.3.4 扫描法诊断的原理 u 扫描法是用每一种病毒体含有的特定病毒码 (Virus Pattern)对被检测的对象进行扫描。如果在被检测 对象内部发现了某一种特定病毒码，就表明发现了 该病毒码所代表的病毒 8 特征代码扫描法 8 通配符 8 首尾扫描 8 不匹配字节数 9.3 计算机病毒的诊断方法及其原理计算机病毒的诊断方法及其原理 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 14 9.3.5 行为监测法诊断的原理 u 利用病毒的特有行为特性监测病毒的方法，称为行 为监测法，也称为人工智能陷阱法 u 通过对病毒多年的观察、研究，人们发现病毒有一 些行为，是病毒的共同行为，而且比较特殊，在正 常程序中，这些行为比较罕见。当程序运行时，监 视其行为，如果发现了病毒行为，立即报警 8 占用 INT 13H 8 修改 DOS系统数据区的内存总量 8 对可执行文件做写入动作 8 病毒程序与宿主程序的切换 9.3 计算机病毒的诊断方法及其原理计算机病毒的诊断方法及其原理 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 15 9.3.6 感染实验法诊断的原理 u 这种方法的原理是利用了病毒的最重要的基本特征 ：感染特性 8 检测未知引导型病毒的感染实验法 8 检测未知文件型病毒的感染实验法 9.3 计算机病毒的诊断方法及其原理计算机病毒的诊断方法及其原理 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 16 9.3.7 软件模拟法诊断的原理 u 软件模拟 (Software Emulation)法 (即后文中将详 细介绍的虚拟机对抗病毒技术 )，是一种软件分析 器，用软件方法来模拟和分析程序的运行：模拟 CPU执行，在其设计的虚拟机器 (Virtual Machine) 下假执行病毒的变体引擎解码程序，安全并确实地 将多态病毒解开，使其显露真实面目，再加以扫描 u 主要用于检测多态型病毒 9.3 计算机病毒的诊断方法及其原理计算机病毒的诊断方法及其原理 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 17 9.3.8 分析法诊断的原理 u 使用分析法的人一般不是普通用户，而是反病毒技术人员 u 使用分析法的目的在于： 8 确认被观察的引导扇区和程序中是否含有病毒 8 确认病毒的类型和种类，判定其是否是一种新病毒 8 搞清楚病毒体的大致结构，提取特征识别用的字符串 或特征字，并增添到病毒代码库供病毒扫描和识别程序使 用 8 详细分析病毒代码，为制定相应的反病毒措施制定方 案 u 上述四个目的按顺序排列起来，正好大致是使用分析法的工 作顺序 u 使用分析法要求具有比较全面的计算机体系结构、操作系统 以及有关病毒技术的各种知识 9.3 计算机病毒的诊断方法及其原理计算机病毒的诊断方法及其原理 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 18 简介 u 启发式代码扫描技术源于人工智能技术，是基于给 定的判断规则和定义的扫描技术，若发现被扫描程 序中存在可疑的程序功能指令，则作出存在病毒的 预警或判断 u 启发式代码分析扫描技术是对传统的特征代码扫描 法查毒技术的改进 u 在特征代码扫描技术的基础上，利用对病毒代码的 分析，获得一些统计的、静态的启发式知识，形成 一种静态的启发式代码扫描分析技术 9.4 启发式代码扫描技术启发式代码扫描技术 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 19 9.4.1 启发式代码扫描的基本原理 u 病毒和正常程序的区别可以体现在许多方面，比较 常见的如通常一个应用程序在最初的指令是检查命 令行输入有无参数项、清屏和保存原来屏幕显示等 ，而病毒程序则从来不会这样做，它通常最初的指 令是直接写盘操作、解码指令，或搜索某路径下的 可执行程序等相关操作指令序列 u 这些显著的不同之处，一个熟练的程序员在调试状 态下只需一瞥便可一目了然 u 启发式代码扫描技术实际上就是把人类的这种经验 和知识移植到一个查病毒软件中的具体程序体现 9.4 启发式代码扫描技术启发式代码扫描技术 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 20 9.4.2 可疑程序功能及其权值与相应标志 u 可疑程序功能的权值与报警标准 8 对以下可疑的程序代码指令序列按照安全和可疑的等 级进行排序，根据病毒可能使用和具备的特点而授以不同 的加权值 格式化磁盘操作 搜索和定位各种可执行程序的操作 实现驻留内存的操作 调用非常的或未公开的系统功能 子程序调用中只执行入栈操作 8 如果一个程序的加权值的总和超过一个事先定义的阀 值，那么，病毒检测程序就可以声称 “发现病毒 ”；仅仅一 项可疑的功能操作远不足以触发 “病毒报警 ”的装置 8 为了避免 “狼来了 ”的谎报和虚报，病毒检测程序常把 多种可疑功能操作同时并发的情况定为发现病毒的报警标 准 9.4 启发式代码扫描技术启发式代码扫描技术 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 21 9.4.3 关于虚警 (谎报 ) u 启发式扫描技术有时也会把一个本无病毒的程序判 断为染毒程序，这就是所谓的查毒程序虚警或谎报 现象 u 减少和避免误报 (谎报 ) ，必须努力做好以下几点 8 准确把握病毒行为，精确定义可疑功能调用 集合，除非满足两个以上的病毒重要特征，否则 不予报警 8 增强对常规正常程序的识别能力 8 增强对特定程序的识别能力 8 类似 “无罪假定 ”的功能，首先假定程序和计 算机是不含病毒的。许多启发式代码分析检毒软 件具有自学习功能，能够记忆那些并非病毒的文 件并在以后的检测过程中避免再报警 9.4 启发式代码扫描技术启发式代码扫描技术 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 22 9.4.4 传统扫描技术与启发式扫描技术的结合 u 传统的扫描技术基于对已知病毒的分析和研究，在 检测时能够更准确、减少误报；但如果是对待此前 根本没有出现过的新病毒，由于其知识库并不存在 该类 (种 )病毒的特征数据，则有可能产生漏报的严 重后果 u 基于规则和定义的启发式代码分析技术则可以使新 病毒不至于成为漏网之鱼 u 传统扫描技术与启发式扫描技术的结合，可以使病 毒检测软件的检出率提高到前所未有的水平，而另 一方面，又大大降低了总的误报率 9.4 启发式代码扫描技术启发式代码扫描技术 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 23 9.4.5 启发式反毒技术的未来展望 u 任何改良的努力都会有不同程度的质量提高，但是 不能企望在没有虚报为代价的前提下使检出率达到 100%，或者反过来说，在相当长的时间里虚报和 漏报的概率不可能达到 0%，因为病毒在本质上也 是程序，某些正常程序可能使用具有病毒特征的功 能 (可疑功能调用 ) u 反毒技术的进步也会从另一方面激发和促使病毒制 作者不断研制出更新的病毒，具有某种反启发式扫 描技术的功能，从而可以逃避这类检测技术的检测 9.4 启发式代码扫描技术启发式代码扫描技术 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 24 9.5.1 虚拟机简介 u 查毒的虚拟机是一个软件模拟的 CPU， 它可以象真正 CPU 一样取指令、译码、执行，可以模拟一段代码在真正 CPU 上运行得到的结果 u 虚拟机的基本工作原理和简单流程 8 给定一组机器码序列，虚拟机会自动从中取出第一条 指令操作码部分，判断操作码类型和寻址方式以确定该指 令长度，然后在相应的函数中执行该指令，并根据执行后 的结果确定下条指令的位置，如此循环反复直到某个特定 情况发生以结束工作 u 设计虚拟机查毒的目的是为了对抗加密变形病毒 u 虚拟执行技术使用范围远不止自动脱壳 (虚拟机查毒实际上 是自动跟踪病毒入口的解密子将加密的病毒体按其解密算法 进行解密 )，它还可以应用在跨平台高级语言解释器、恶意 代码分析、调试器 9.5 虚拟机查毒技术虚拟机查毒技术 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 25 9.5.2 单步断点跟踪与虚拟执行 u 目前有两种方法可以跟踪控制病毒的每一步执行， 并能够在病毒循环解密结束后从内存中读出病毒体 明文 8 单步和断点跟踪法，和目前一些程序调试器 相类似 8 虚拟执行法 9.5 虚拟机查毒技术虚拟机查毒技术 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 26 9.5.2 单步断点跟踪与虚拟执行 u 单步断点跟踪的优缺点 8 用单步和断点跟踪法的唯一好处就在于它不用处理每 条指令的执行，这意味着它无需编写大量的特定指令处理 函数，因为所有的解密代码都交由 CPU执行，调试器不过 是在代码被单步中断的间隙得到控制权而已 8 这种方法的缺点也是相当明显的 容易被病毒觉察到，病毒只须进行简单的堆栈检 查，或直接调用 IsDebugerPresent就可确定自己正处于被调 试状态 由于没有相应的机器码分析模块，指令的译码、 执行完全依赖于 CPU， 所以将导致无法准确地获取指令执行细 节并对其进行有效的控制 单步和断点跟踪法要求待查可执行文件真实执行 ，即其将做为系统中一个真实的进程在自己的地址空间中运行 ，这当然是病毒扫描所不能允许的 8 单步和断点跟踪法可以应用在调试器、自动脱壳等方 面，但不合适于查毒 9.5 虚拟机查毒技术虚拟机查毒技术 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 27 9.5.2 单步断点跟踪与虚拟执行 u 虚拟执行的缺点与优点 8 使用虚拟执行法的唯一缺点就在于它必须在内部处理 所有指令的执行，这意味着它需要编写大量的特定指令处 理函数来模拟每种指令的执行效果，这里根本不存在何时 得到控制权的问题，因为控制权将永远掌握在虚拟机手中 8 虚拟执行的优点也是很明显的，同时它正好填补了单 步和断点跟踪法所力不能及的方面 不可能被病毒觉察到，因为虚拟机将在其内部缓 冲区中为被虚拟执行代码设立专用的堆栈，所以堆栈检查结果 与实际执行无差别 (不会向堆栈中压入单步和断点中断时的返回 地址 ) 由于虚拟机自身完成指令的解码和地址的计算， 所以能够获取每条指令的执行细节并加以控制 最为关键的一条在于虚拟执行确实做到了 “虚拟 ” 执行，系统中不会产生代表被执行者的进程，因为被执行者的 寄存器组和堆栈等执行要素均在虚拟机内部实现，因而可以认 为它在虚拟机地址空间中执行 9.5 虚拟机查毒技术虚拟机查毒技术 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 28 9.5.2 单步断点跟踪与虚拟执行 u 虚拟机的设计方案 8 自含代码虚拟机 (SCCE) 自含代码虚拟机工作起来象一个真正的 CPU。 一 条指令取自内存，由 SCCE解码，并被传送到相应的模拟这条 指令的例程，下一条指令则继续这个循环 8 缓冲代码虚拟机 (BCE) 缓冲代码虚拟机是 SCCE的一个缩略版 一条指令是从内存中取得的，并和一个特殊指令 表相比较。如果不是特殊指令，则它被进行简单的解码以求得 指令的长度，随后所有这样的指令会被导入到一个可以通用地 模拟所有非特殊指令的小过程中。而特殊指令，只占整个指令 集的一小部分，则在特定的小处理程序中进行模拟 8 有限代码虚拟机 (LCE) 有点象用于通用解密的虚拟系统 LCE实际上并非一个虚拟机，因为它并不真正的 模拟指令，它只简单地跟踪一段代码的寄存器内容，提供一个 小的被改动的内存地址表，或是调用过的中断之类的东西 9.5 虚拟机查毒技术虚拟机查毒技术 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 29 9.5.4 反虚拟机技术 u 任何一个事物都不是尽善尽美、无懈可击的，虚拟 机也不例外 u 由于反虚拟执行技术的出现，使得虚拟机查毒受到 了一定的挑战 8 插入特殊指令技术 8 结构化异常处理技术 8 入口点模糊 (EPO)技术 8 多线程技术 9.5 虚拟机查毒技术虚拟机查毒技术 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 30 9.6.1 实时监控技术背景 u 实时监控技术其实并非什么新技术，早在 DOS编程 时代就有之 u 在 Windows下要实现实时监控决非易事 9.6 病毒实时监控技术病毒实时监控技术 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 31 9.6.2 病毒实时监控实现技术简介 u 病毒实时监控会在文件打开、关闭、清除、写入等操作时检 查文件是否是病毒携带者，如果是则根据用户的决定选择不 同的处理方案，如清除病毒、禁止访问该文件、删除该文件 或简单地忽略，从而有效地避免病毒在本地计算机上的感染 传播 u 可执行文件装入器在装入一个文件执行时首先会要求打开该 文件，而这个请求又一定会被实时监控在第一时间截获到， 它确保了每次执行的都是干净的不带毒的文件从而不给病毒 以任何执行和发作的机会 u 病毒实时监控的设计主要存在以下几个难点 8 驱动程序的编写不同于普通用户态程序的编写，其难 度很大 8 驱动程序与 Ring3下客户程序的通信问题 8 驱动程序所占用资源问题 9.6 病毒实时监控技术病毒实时监控技术 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 32 9.6.3 Windows 9x下的病毒实时监控 u Windows 9x下病毒实时监控的实现主要依赖于以下三项技 术 8 虚拟设备驱动 (VxD)编程 8 可安装文件系统钩子 (IFSHook) 8 VxD与 Ring3下客户程序的通信 (APC/EVENT) u 只有工作于系统核心态的驱动程序才具有有效地完成拦截系 统范围文件操作的能力， VxD就是适用于 Windows 9x下的 虚拟设备驱动程序，可以担当此重任 u VxD的功能远不止由 IFSMGR.vxd提供的拦截文件操作这一 项，系统的 VxDs几乎提供了所有的底层操作的接口 (可以把 VxD看成 Ring0下的 DLL) u 虚拟机管理器本身就是一个 VxD， 它导出的底层操作接口一 般称为 VMM服务，而其他 VxD的调用接口则称为 VxD服务 9.6 病毒实时监控技术病毒实时监控技术 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 33 9.6.4 Windows NT/2000下的病毒实时监控 u Windows NT/2000下病毒实时监控的实现主要依 赖于以下三项技术 8 NT内核模式驱动编程 Windows NT/2000下不再支持 VxD 8 拦截 IRP 8 驱动与 Ring3下客户程序的通信 (命名的事件 与信号量对象 ) 9.6 病毒实时监控技术病毒实时监控技术 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 34 9.7.1 清除病毒的一般方法 u 发现病毒后，清除病毒的一般步骤是： 8 先升级杀毒软件病毒库至最新，进入安全模式下全盘 查杀 8 删除注册表中的有关可以自动启动可疑程序的键值 ( 可以重命名，以防误删，若删除 /重命名后按 F5刷新，发现 无法删除 /重命名，则可肯定其是病毒启动键值 ) 8 若系统配置文件被更改，需先删除注册表中键值，再 更改系统配置文件 8 断开网络连接，重启系统，进入安全模式全盘杀毒 8 若 Windows ME/XP系统查杀病毒在系统还原区，请 关闭系统还原再查杀 8 若查杀病毒在临时文件夹中，请清空临时文件夹再查 杀 8 系统安全模式查杀无效，建议到 DOS下查杀。 9.7 计算机病毒的清除计算机病毒的清除 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 35 9.7.2 引导型病毒的清除 u 引导型病毒感染时常攻击计算机的如下部位： 8 硬盘主引导扇区 8 硬盘或软盘的 BOOT扇区 u 为保存原主引导扇区、 BOOT扇区，病毒可能随意 地将它们写入其他扇区，而彻底毁坏这些扇区中的 信息 u 引导型病毒发作时，执行破坏行为造成种种损失 u 由于引导型病毒一般是常驻内存的，因此，清除病 毒之前必须先清除内存中的病毒 (或采用修复中断 向量表等方法将其灭活 )，否则难以清除干净 9.7 计算机病毒的清除计算机病毒的清除 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 36 9.7.2 引导型病毒的清除 u 硬盘主引导扇区染毒时的修复方法： 8 (1)用无毒盘启动系统 8 (2)寻找一台同类型、硬盘分区相同的无毒计 算机，将其硬盘主引导扇区写入一张盘中 8 (3)将此盘插入染毒计算机，将其中采集的主 引导扇区数据写入染毒硬盘 0柱面 0磁头 1扇区，即 可修复 u 修复硬盘主引导扇区时，也可利用先前备份的本扇 区尚未感染时的数据，替代 (2)中采集的数据。修复 主引导扇区时，一般不用 FDisk/MBR命令，以免丢 失硬盘信息 9.7 计算机病毒的清除计算机病毒的清除 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 37 9.7.2 引导型病毒的清除 u 硬盘、软盘 BOOT扇区染毒时的修复方法： 8 修复硬盘 BOOT扇区 最简单方便的杀毒方法是使用系统命令 SYS， 即： 用与染毒盘相同版本的无毒系统软盘启动计算机，然后执行命令 “SYS C:”， 用正常的引导程序覆盖硬盘的 BOOT扇区 8 修复软盘 BOOT扇区也可采用类似的覆盖方法 u 引导型病毒如果将原主引导扇区或 BOOT扇区覆盖式写入根 目录区，被覆盖的根目录区完全损坏，不可能修复。如果引 导型病毒将原主引导扇区或 BOOT扇区覆盖式写入第一 FAT 表时，第二 FAT表未破坏，则可以修复，可将第 FAT表复制 到第一 FAT表中 u 一般而言，引导型病毒占用的其他部分存储空间，只有采用 “ 坏簇 ”技术和 “文件结束簇 ”技术占用的空间需要收回，修改文 件分配表即可 9.7 计算机病毒的清除计算机病毒的清除 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 38 9.7.3 文件型病毒的清除 u 基于隐蔽病毒自身的目的，病毒一般都要保证原文 件代码还能正常地执行。这就意味着原文件能被妥 善保存，从而为清除病毒、恢复原文件提供了可能 u 除了覆盖型的文件型病毒之外，其他文件型病毒都 可以被清除干净 u 用杀毒软件来解毒不保证能够完全复原，有可能会 越解越糟，杀完毒之后文件反而不能执行。利用手 工消毒也是如此。因此，用户必须勤备份自己的资 料 u 手工清除病毒之前，应备份被感染文件，同时应注 意防护措施。任何清除病毒的动作，都是危险操作 9.7 计算机病毒的清除计算机病毒的清除 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 39 9.7.3 文件型病毒的清除 u 清除 .COM文件中的计算机病毒的方法 8 以使用 Debug为例，清除计算机病毒的方法和步骤 如下： 用 Debug调入需清除病毒的文件程序，通过计 算机病毒程序查找合法程序的程序头 (对加密或经过转换的文件 头进行还原，还原的方法也在计算机病毒程序中 ) 对于链接于文件头部的计算机病毒，可用合法 文件移到文件偏移 0100H处后存盘的方法清除。若文件的长度 小于计算机病毒的长度，则通过设置 CX寄存器并存盘来清除 对于链接于文件尾部的计算机病毒，可以将正 常的文件头 (通过分析病毒程序可得到 )写入染毒的文件头，并 通过设置 CX寄存器并存盘的方法去掉程序中的病毒部分 对内存中的病毒进行清除。病毒程序常驻内存 后，一般修改中断向量，使系统调用中断向量时激活病毒。所 以清除内存中的病毒可以将备份或同版本的中断向量表取代内 存中的中断向量表，或直接关掉机器，用干净系统重启 对于交叉感染或重复感染的 .COM文件，一定要 找出病毒感染的先后顺序，按从后向前 (或从内向外 )的顺序逐 个清除病毒，否则会损坏原文件 9.7 计算机病毒的清除计算机病毒的清除 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 40 9.7.3 文件型病毒的清除 u 清除 .EXE文件中的计算机病毒的方法 8 清除 .EXE文件病毒的方法与清除 .COM文件中病毒的 方法类似，只不过更繁琐的是恢复原文件头参数 8 清除工作仍然要通过仔细分析病毒代码，找到原文件 头参数，写回并丢掉病毒程序代码 8 对于交叉感染或重复感染的 .EXE文件，只要找到最 先感染的病毒代码，从中找出原始文件头参数，可直接取 出恢复，而不必逐层解毒，恢复方法与单个病毒感染时的 方法是一致的 u 注：由于 Debug程序拒绝写 .EXE文件，所以在清除 .EXE文 件中的病毒时应首先将 .EXE文件改名，然后再清除 u 对于感染 PE文件的病毒，可以用 PEditor、 LordPE等工具 软件删除病毒体、恢复程序入口点 (正常程序的入口一般是 PE文件中的第一个节 .text)， 从而达到清除病毒的目的。若 病毒采用了 EPO等技术，清除工作将变得异常繁杂 9.7 计算机病毒的清除计算机病毒的清除 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 41 9.8.1 重入检测和病毒免疫 u 大部分驻留内存的病毒会在加载病毒代码之前，检 查系统的内存状态，判断内存中是否有病毒，若存 在 (自身已被加载 )，则不再加载病毒代码，否则， 加载 u 感染文件之前，查看文件的状态 (一般是查看感染 标志 )，检查该文件是否已被感染，如果被感染了 则不再重复感染 u 病毒的这种重入检测机制导致了一种反病毒技术的 出现，也就是形形色色的免疫程序：利用免疫程序 设置内存的状态、设置 CPU的状态或者设置文件的 一些特征，从而防止某种特定的病毒进入系统 9.8 计算机病毒的免疫技术计算机病毒的免疫技术 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 42 9.8.2 计算机病毒免疫的方法及其缺点 u 从实现计算机病毒免疫的角度看病毒的传染，可以 将病毒的传染分成两种 8 在传染前先检查待传染的扇区或程序内是否 含有病毒代码，如果没有找到则进行传染，如果 找到了则不再进行传染 如小球病毒、 CIH病毒 8 在传染时不判断是否存在感染标志 (免疫标志 )，病毒只要找到一个可传染对象就进行一次传染 例如黑色星期五病毒 (注：黑色星期五病 毒的程序中具有判别传染标志的代码，由于程序设 计错误，使判断失败，导致感染标志形同虚设 ) 9.8 计算机病毒的免疫技术计算机病毒的免疫技术 计算机病毒与反病毒技术计算机病毒与反病毒技术 清华大学出版社 张仁斌 等 编著 43 9.8.2 计算机病毒免疫的方法及其缺点 u 目前常用的免疫方法有两种 8 针对某一种病毒进行的计算机病毒免疫 一个免疫程序只能预防一种计算机病毒 例如对小球病毒，在 DOS引导扇区的 1FCH处填 上 1357H， 小球病毒检查到该标志就不再对它进行感染 优