第十章 计算机病毒防治技术.ppt

1、计算机病毒防治技术,本章的学习目标,了解计算机病毒防治的现状 掌握常用病毒防治技术 了解病毒防治技术的缺陷 掌握典型病毒防治方法,防治技术概括成四个方面： 检测 清除 预防 被动防治 免疫 主动防治,本章内容,病毒防治技术现状 目前的流行技术 病毒防治技术的缺陷 数据备份与数据恢复 驱动程序设计,病毒防治技术现状,防病毒产品的历史 一对一的防病毒产品 防病毒卡 自身不被感染 但不能清楚磁盘病毒 90年代中期，查杀防合一 90年代末期开始，推出了实时防病毒产品,新时期的防病毒产品趋势 反黑客技术与反病毒技术相结合 从入口拦截病毒（网络入口、系统入口） 全面解决方案 个性化定制（后期服务） 区域化

2、到国际化,病毒防治技术的几个阶段,第一代反病毒技术采取单纯的病毒特征诊断，但是对加密、变形的新一代病毒无能为力。 第二代反病毒技术采用静态广谱特征扫描技术，可以检测变形病毒，但是误报率高，杀毒风险大。 第三代反病毒技术将静态扫描技术和动态仿真跟踪技术相结合。 第四代反病毒技术基于多位CRC校验和扫描机理、启发式智能代码分析模块、动态数据还原模块（能查出隐蔽性极强的压缩加密文件中的病毒）、内存解毒模块、自身免疫模块等先进解毒技术，能够较好地完成查解毒的任务。 第五代反病毒技术主要体现在反蠕虫病毒、恶意代码、邮件病毒等技术。这一代反病毒技术作为一种整体解决方案出现，形成了包括漏洞扫描、病毒查杀、实

3、时监控、数据备份、个人防火墙等技术的立体病毒防治体系。,目前的流行技术,虚拟机技术 宏指纹识别技术 驱动程序技术 计算机监控技术 数字免疫系统 网络病毒防御技术 立体防毒技术 ,虚拟机技术,接近于人工分析的过程 原理 用程序代码虚拟出一个CPU来，同样也虚拟CPU的各个寄存器，甚至将硬件端口也虚拟出来，用调试程序调入“病毒样本”并将每一个语句放到虚拟环境中执行，这样我们就可以通过内存和寄存器以及端口的变化来了解程序的执行，从而判断是否中毒。 加密、变形等病毒,主要执行过程： 在查杀病毒时，在机器虚拟内存中模拟出一个“指令执行虚拟机器”； 在虚拟机环境中虚拟执行（不会被实际执行）可疑带毒文件；

4、在执行过程中，从虚拟机环境内截获文件数据，如果含有可疑病毒代码，则说明发现了病毒。 杀毒过程是在虚拟环境下摘除可疑代码，然后将其还原到原文件中，从而实现对各类可执行文件内病毒的杀除。,宏指纹识别技术,宏指纹识别技术（Macro Finger）是基于Office复合文档BIFF格式精确查杀各类宏病毒的技术。 其特点是： 1、能够查杀Word、Excel、PowerPoint等各类Office文档中的宏病毒； 2、能够查出Word、Excel、PowerPoint加密文件中的宏病毒； 3、能够清除文档中未知名的宏，因此，从理论上来说可以查杀所有的未知宏病毒； 4、可以修复部分宏病毒或其他不合格杀毒

5、产品破坏过的Office文档。,驱动程序技术,DOS设备驱动程序 VxD（虚拟设备驱动）是微软专门为Windows制定的设备驱动程序接口规范。 NT核心驱动程序 WDM（Windows Driver Model）是Windows驱动程序模型的简称。 作用：开发监控程序、接近系统内核的程序,32位内核技术,首先，32位较16位大大扩展了内存寻址空间，这是显而易见的，但就反病毒技术而言，这一问题以前并没有引起我们足够的重视。 其次，16位应用程序无法实现多任务、多线程调度。 系统支持问题。,计算机监控技术,计算机监控技术（实时监控技术）： 注册表监控 脚本监控 内存监控 邮件监控 文件监控等 优点

6、： 解决了用户对病毒的“未知性”，或者说是“不确定性”问题。 实时监控是先前性的，而不是滞后性的。,监控病毒源技术,邮件跟踪体系 例如，消息跟踪查寻协议（MTQP-Message Tracking Query Protocol） 网络入口监控防病毒体系 例如，TVCS-Trend Virus Control System,无缝连接技术,嵌入式杀毒技术 无缝连接是在充分掌握系统的底层协议和接口规范的基础上，开发出与之完全兼容的产品的技术。 应用实例 右键快捷方式 硬盘格式的支持 Office套件的支持等,主动内核技术,在操作系统和网络的内核中加入反病毒功能，使反病毒成为系统本身的底层模块，而不是

7、一个系统外部的应用软件是主动内核技术。 应用难度大 开源 非开源,检查压缩文件技术,压缩文件是病毒的重要藏身地之一。 杀毒思路： 第一种：压缩病毒码 第二种：先解压后查毒（需要虚拟执行技术）,启发式代码扫描技术,启发式指的“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能。” 一个运用启发式扫描技术的病毒检测软件，实际上就是以特定方式实现的动态跟踪器或反编译器，通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。,例如，一段程序以如下序列开始： MOV AH, 5 INT 13h 该程序实现调用格式化盘操作的BIOS指令功能，那么这段程序就高度可疑值得引起警觉， 尤其是假如这

8、段指令之前不存在取得命令行关于执行的参数选项，又没有要求用户交互地输入继续进行的操作指令时，可以有把握地认为这是一个病毒或恶意破坏的程序。,可疑的功能： 格式化磁盘类操作 搜索和定位各种可执行程序的操作 实现驻留内存的操作 发现非常的或未公开的系统功能调用的操作等等。 不同的操作赋予不同的权值,免疫技术,免疫的原理 传染模块要做传染条件判断 病毒程序要给被传染对象加上传染标识 黑色星期五 在正常对象中自动加上这种标识，就可以不受病毒的传染，起到免疫的作用 计算机病毒免疫的方法 1针对某一种病毒进行的计算机病毒免疫,把感染标记写入文件和内存，防止病毒感染 缺点: 对于不设有感染标识的病毒不能达到

9、免疫的目的。 当出现这种病毒的变种不再使用这个免疫标志时，或出现新病毒时，免疫标志发挥不了作用。 某些病毒的免疫标志不容易仿制，非要加上这种标志不可，则对原来的文件要做大的改动。 不可能对一个对象加上各种病毒的免疫标识。 这种方法能阻止传染，却不能阻止已经感染的病毒的破坏行为。,2基于自我完整性检查的计算机病毒的免疫方法。 为可执行程序增加一个免疫外壳，同时在免疫外壳中记录有关用于恢复自身的信息。 执行具有这种免疫功能的程序时，免疫外壳首先得到运行，检查自身的程序大小、校验和，生成日期和时间等情况，没有发现异常后，再转去执行受保护的程序。 这种免疫方法可以看作是一种通用的自我完整性检验方法。

10、缺点和不足：,（1）每个受到保护的文件都要增加1KB-3KB，需要额外的存储空间。 （2）现在使用中的一些校验码算法不能满足防病毒的需要，被某些种类的病毒感染的文件不能被检查出来。 （3）无法对付覆盖方式的文件型病毒。 （4）有些类型的文件不能使用外加免疫外壳的防护方法，这样将使那些文件不能正常执行。 （5）当某些尚不能被病毒检测软件检查出来的病毒感染了一个文件，而该文件又被免疫外壳包在里面时，这个病毒就像穿了“保护盔甲”，使查毒软件查不到它，而它却能在得到运行机会时跑出来继续传染扩散。,数字免疫系统,数字免疫系统主要包括封闭循环自动化网络防病毒技术和启发式侦测技术。 前者是一个后端基础设施，

11、可以为企业级用户提供高级别的病毒保护。 后者则可以自动监视可疑行为，为网络防病毒产品对付未知病毒提供依据。 数字免疫系统还可以将病毒解决方案广泛发送到被感染的PC机上。 数字免疫系统的超流量控制。,立体防毒技术,全方位的威胁-立体防病毒体系 立体防毒体系将计算机的使用过程进行逐层分解，对每一层进行分别控制和管理，从而达到病毒整体防护的效果。 该体系通过安装杀毒、漏洞扫描、病毒查杀、实时监控、数据备份、个人防火墙、游戏保护等多种病毒防护手段，将电脑的每一个安全环节都监控起来，从而全方位地保护了用户电脑的安全。,广谱特征码,是对特征码法的改变，本质上一样。 在特征码中加入掩码等。,网络病毒防御技术

12、,网络的复杂性-网络病毒防御技术 用户桌面、工作站、服务器、Internet网关和病毒防火墙等各个层次进行防护： 用户桌面的防护：桌面系统和远程PC是主要的病毒感染源。 Internet网关的防护。群件和电子邮件是网络中重要的通信联络线。 防火墙的防护。在防火墙上过滤多种协议的病毒。 基于工作站的防治技术。工作站就像是计算机网络的大门，只有把好这道大门，才能有效防止病毒的侵入。,基于服务器的防治技术。网络服务器是计算机网络的中心。 加强计算机网络的管理。管理手段，而非技术手段。 技术被动防御，管理上积极主动 硬件设备及软件系统的使用、维护、管理、服务等各个环节制定出严格的规章制度 对管理员及用

13、户加强法制教育和职业道德教育 应有专人负责具体事务，跟踪行业新技术,先进的网络多层病毒防护策略具有三个特点： 层次性 在用户桌面、服务器、Internet网关以及病毒防火墙安装适当的防毒部件，以网为本、多层次地最大限度地发挥作用。 集成性 所有的保护措施是统一的和相互配合的，支持远程集中式配置和管理。 自动化 系统能自动更新病毒特征码数据库、杀毒策略和其它相关信息。,移动通讯工具和PDA的杀毒技术,全新的领域 目前已有部分公司（例如，Trend micro、Mcafee、F-Secure等）推出这类产品。,病毒防治技术的缺陷,技术反思 一次一次的大面积发生 缺陷 永无止境的服务 库、培训、指导

14、等 未知病毒发现 有限未知 病毒清除的准确性 从恢复的角度来考虑,数据备份与数据恢复,a-人为原因 b-软件原因 c-盗窃 d-硬件的毁坏 e-计算机病毒 f-硬件故障,数据丢失原因调查,在病毒清除工作越来越困难的今天， 数据备份和恢复成了计算机病毒防治技术的一个核心问题,数据备份-个人PC备份策略,一、备份个人数据 所谓个人数据就是用户个人劳动的结果，包括自己制作的各种文档、编制的各种源代码、下载或从其他途径获取的有用数据和程序等等。 养成良好存放的习惯： 拒绝所有的缺省位置 个人数据集中存放 经常备份这些数据 养成良好的定期备份习惯,二、备份系统重要数据 磁盘的分区表、主引导区、引导区等重

15、要区域的数据。 三、注册表的备份 系统把它物理地分为两个文件:USER.DAT(用户设置)和SYSTEM.DAT(系统设置)。 备份方式： 系统自动备份 USER.DAT -USER.DAO SYSTEM.DAT -SYSTEM.DAO C:WINDOWSSYSBCKUP目录中以CAB文件格式备份了最近五天开机后的系统文件。其备份文件名分别是rb000.cab、rb001.cab、rb002.cab、rb003.cab和rb005.cab。（可用Windows自带的Scanreg.exe命令 ） 手工备份 Cfgback.exe、手工备份两个文件、导出注册表,四、OUTLOOK数据的备份 首先

16、，应对注册表的相关部分备份。Hkey-current-userSoftwareMicrosoftInternet AccountManagerAccounts 然后，还要对目录文件进行备份。 %windows%application datamicrosoftoutlook 最后，通讯簿的备份。 五、Foxmail数据的备份 比OutLook简单,六、即时消息数据的备份 1.备份MESSAGES(历史数据) 2.备份ADDRESS BOOK(地址数据) 七、输入法自定义词组的备份 1.中文五笔输入法中自定义词组的备份 C:WindowsSystemwbx.emb 2.智能拼音输入法中自定义词组

17、的备份 C:WINDOWSSYSTEMtmmr.rem 3.微软拼音输入法中自定义词组的备份 C:WindowspjyyP.UPT,八、IE收藏夹和NN书签的备份 IE收藏夹 C:WindowsFavorites文件夹 NN书签 将其save as为一个html文件,数据备份-系统级备份策略一、数据备份需求分析,关键服务器的地位越来越重要，需要备份 造成系统失效的主要原因有以下几个方面： 硬盘驱动器损坏，由于一个系统或电器的物理损坏导致文件、数据的丢失； 人为错误，人为删除一个文件或格式化一个磁盘（占数据灾难的80%）； 黑客的攻击，黑客侵入计算机系统，破坏计算机系统； 病毒，使计算机系统感染

18、，甚至损坏计算机数据； 自然灾害，火灾、洪水或地震也会无情地毁灭计算机系统； 电源浪涌，一个瞬间过载电功率损害计算机驱动器上的文件； 磁干扰，生活、工作中常见的磁场可以破坏磁碟中的文件。,建立完整的网络数据备份系统必须考虑以下内容： 计算机网络数据备份的自动化，以减少系统管理员的工作量； 使数据备份工作制度化、科学化； 对介质管理的有效化，防止读写操作的错误； 对数据形成分门别类的介质存储,使数据的保存更细致、科学； 自动介质的清洗轮转,提高介质的安全性和使用寿命； 以备份服务器形成备份中心，对各种平台的应用系统及其他信息数据进行集中的备份，系统管理员可以在任意一台工作站上管理、监控、配置备份

19、系统，实现分布处理，集中管理的特点； 维护人员可以容易地恢复损坏的整个文件系统和各类数据； 备份系统还应考虑网络带宽对备份性能的影响，备份服务器的平台选择及安全性，备份系统容量的适度冗余，备份系统良好的扩展性等因素。,二、 备份设备的选择,常用的存储介质类型有：磁盘、磁带、光盘和MO（磁光盘）等。 1.四种磁带技术的比较 Dat 螺旋扫描、4mm、高强金属带、20GB Dlt 高强金属带、 40GB Lto 开放标准、100GB 8mm 螺旋扫描、高速,2、数据备份的容量计算 网络中的总数据量，q1； 数据备份时间表（即增量备份的天数），假设用户每天作一个增量备份，周末作一个全备份，d=6天

20、每日数据改变量，即q2 期望无人干涉的时间，假定为3个月，m=3 数据增长量的估计，假定每年以20%递增，i=20% 考虑坏带，不可预见因素，一般为30%，假定u=30% 通过以上各因素考虑，可以较准确地推算出备份设备的大概容量为： c=（q1+q2*d）*4*m*(1+i)*（1+u）,三、分析应用环境、选择备份管理软件,大型数据库自动备份功能 缺陷包括： 但它们既不能实现自动备份，而且只能将数据备份到磁带机或硬盘上，不能驱动磁带库等自动加载设备。 现有产品：legato networker、ca arcserve、hp openview omnibackii、ibm adsm及verita

21、s netbackup等,四、存储备份策略,备份策略可以确定需备份的内容、备份时间及备份方式。目前被采用最多的备份策略主要有以下三种： 1、完全备份（fullbackup） 2、增量备份（incrementalbackup） 3、差分备份（differentialbackup） 差分备份即备份上一次完全备份后产生和更新的所有新的数据。,差分备份的恢复简单：系统管理员只需要对两份备份文件进行恢复，即完全备份的文件和灾难发生前最近的一次差分备份文件，就可以将系统恢复。 增量备份恢复复杂。 在实际应用中，备份策略通常是以上三种的结合。例如每周一至周六进行一次增量备份或差分备份，每周日进行全备份，每月

22、底进行一次全备份，每年底进行一次全备份。,五、 项目实施过程应注意的问题,1、统计备份客户机信息 了解各台备份主机的系统配置、备份数据量、备份方式（文件、数据库在线）、允许的备份时间窗口，每日数据增量等信息。 2、做好培训工作 3、制定备份策略 制定备份日程表 制定备份客户机分组方案 制定备份卷分组方案,配置各客户机选项 其它选项配置：包括管理员设置，数据远程恢复权限设置，设备并行流设置，设备自动管理选项，数据压缩选项等 4、日常维护有关问题 硬件（磁带磁头等）、软件维护,数据恢复,数据恢复 正常数据恢复 灾难数据恢复 所谓灾难数据恢复是指由于各种原因导致数据损失时把保留在介质上的数据重新恢复

23、的过程。即使数据被删除或硬盘出现故障，只要在介质没有严重受损的情况下,数据就有可能被完好无损地恢复。 重要性,一、灾难数据恢复的分类,软件恢复 由病毒感染、误分区、误格式化等造成的数据丢失，仍然有可能使用第三方软件来恢复 硬件恢复 至于硬件恢复，如修复盘面划伤、磁组撞毁、芯片以及其他元器件烧坏等都成为硬件恢复,二、数据可恢复的前提,如果被删除的文件已经被其他文件取代，或者文件数据占用的空间已经分配给其他文件，那么该文件就不可能再恢复了。电子碎纸机就是利用这种原理来设计的。 如果硬件或介质损坏严重，也是不可能恢复的。,三、出现数据灾难时如何处理,如果是由病毒感染、误分区、误格式化等原因造成的数据

24、丢失，这将关系到整块硬盘数据的存亡，千万不要再用该硬盘进行任何操作，更不能继续往上面写任何数据，而应马上找专业人员来处理； 如果是由硬件原因造成的数据丢失（如硬盘受到激烈振动而损坏），则要注意事故发生后的保护工作，不应继续对该存储器反复进行测试，否则，将造成永久性的损坏！,四、低难度数据恢复,1. 如果怀疑硬盘有故障，先检查信号线和电源是否插好，或将硬盘挂接到另一台正常机器上，用BIOS检测，如果还是无法检测到硬盘，就是硬件故障。 2. 如果怀疑分区损坏，可用Win98的Fdisk命令观察，如无任何分区显示即表示已被破坏。 3. 如果怀疑硬盘电路板有故障， 可以找一个相同型号的好硬盘更换电路板

25、。 4. 如果是硬盘分区损坏、误格式化或误删除，可以将该硬盘挂接到另一台正常机器上作为第二个硬盘，用Easyrecovery或 Finaldata 数据恢复软件抢救数据。,五、高难度数据恢复,第一，分区表破坏 原因： 1.个人误操作删除分区，只要没有进行其它的操作完全可以恢复。 2.安装多系统引导软件或者采用第三方分区工具，有恢复的可能性。 3.病毒破坏，可以部分或者全部恢复。 4.利用Ghost克隆分区/硬盘破坏，只可以部分恢复或者不能恢复。 牢记以下两点: 1.在硬盘数据出现丢失后，请立即关机，不要再对硬盘进行任何写操作，那样会增大修复的难度，也影响到修复的成功率. 2.你的每一步操作都应该是可逆的（就像Norton Disk Doctor中的Undo功能）或者对故障硬盘是只读的（大名大名鼎鼎的EasyRecovery和Lost&Found都是这种工作原理）。,第二，硬盘坏扇区,逻辑坏道软件恢复 物理坏道标记坏道 使用硬盘的注意事项： 1.硬盘在工作时不能突然关机 2.防止灰尘进入 3.要防止温度过高 4.要定期整理硬盘上的信息 5.要定期对硬盘进行杀毒,6.用手拿硬盘时要小心 7.尽量不要使用硬盘压缩技术