反病毒技术概述

反病毒技术概述反病毒技术概述第1页反病毒技术剖析反病毒技术概述病毒诊疗技术反病毒引擎技术剖析瑞星信息安全技术培训–反病毒技术概述反病毒技术概述Agenda反病毒技术概述第2页反病毒技术概述瑞星信息安全技术培训–反病毒技术概述反病毒技术概述反病毒技术概述第3页病毒疫苗举例：“漂亮莎”病毒修改Windows注册表项：HKEY_CURRENT_RSER\Software\Microsoft\Office,增加表项：Melissa并赋值为byKwyjibo瑞星信息安全技术培训–反病毒技术概述反病毒技术概述反病毒技术概述第4页反病毒技术剖析反病毒技术概述病毒诊疗技术反病毒引擎技术剖析瑞星信息安全技术培训–反病毒技术概述Agenda病毒诊疗技术反病毒技术概述第5页病毒诊疗技术计算机病毒比较法诊疗原理计算机病毒校验法诊疗原理计算机病毒扫描法诊疗原理计算机病毒行为监测法诊疗原理计算机病毒行为感染试验法诊疗原理计算机病毒行为软件模拟法诊疗原理计算机病毒分析法诊疗原理瑞星信息安全技术培训–反病毒技术概述病毒诊疗技术反病毒技术概述第6页病毒诊疗技术－计算机病毒比较法瑞星信息安全技术培训–反病毒技术概述病毒诊疗技术反病毒技术概述第7页病毒诊疗技术－计算机病毒比较法瑞星信息安全技术培训–反病毒技术概述病毒诊疗技术反病毒技术概述第8页病毒诊疗技术－计算机病毒比较法瑞星信息安全技术培训–反病毒技术概述病毒诊疗技术反病毒技术概述第9页病毒诊疗技术－计算机病毒比较法瑞星信息安全技术培训–反病毒技术概述病毒诊疗技术反病毒技术概述第10页病毒诊疗技术－计算机病毒比较法瑞星信息安全技术培训–反病毒技术概述病毒诊疗技术反病毒技术概述第11页病毒诊疗技术计算机病毒比较法诊疗原理计算机病毒校验法诊疗原理计算机病毒扫描法诊疗原理计算机病毒行为监测法诊疗原理计算机病毒行为感染试验法诊疗原理计算机病毒行为软件模拟法诊疗原理计算机病毒分析法诊疗原理瑞星信息安全技术培训–反病毒技术概述病毒诊疗技术反病毒技术概述第12页病毒诊疗技术－计算机病毒扫描法瑞星信息安全技术培训–反病毒技术概述病毒诊疗技术扫描法是用每一个病毒体含有特定字符串对被检测对象进行扫描。假如在被检测对象内部发觉了某一个特定字符串，就表明发觉了该字符串所代表病毒。 特征代码扫描法 特征字扫描法反病毒技术概述第13页瑞星信息安全技术培训–反病毒技术概述病毒诊疗技术－计算机病毒扫描法特征代码扫描法病毒扫描软件由两个别组成：一个别是病毒代码库，含有经过尤其选定各种计算机病毒代码串；另一个别是利用该代码库进行扫描扫描程序。

病毒诊疗技术反病毒技术概述第14页病毒诊疗技术－计算机病毒扫描法选择代码串规则是：代表性避开数据区。尽可能使特征代码长度简短区分于其它病毒及其变种将病毒与正常非病毒程序区分开瑞星信息安全技术培训–反病毒技术概述反病毒技术反病毒技术概述第15页瑞星信息安全技术培训–反病毒技术概述反病毒技术病毒诊疗技术－计算机病毒扫描法比如给定特征串：“E97C0010?37CB”“E97C00102737CB”“E97C00109C37CB”又比如：“E97C37CB”“E97C0037CB”“E97C001137CB”“E97C00112237CB”“E97C001122334437CB”（不匹配）

反病毒技术概述第16页瑞星信息安全技术培训–反病毒技术概述反病毒技术病毒诊疗技术－计算机病毒扫描法反病毒技术概述第17页病毒诊疗技术－计算机病毒扫描法特征字扫描法速度更加快、误报警更少，但依然存在特征代码扫描法所含有一些缺点。只需从病毒体内抽取极少几个关键特征字组成特征字库。需要处理字节极少，而又无须进行串匹配，加紧了识别速度。瑞星信息安全技术培训–反病毒技术概述反病毒技术反病毒技术概述第18页病毒诊疗技术－行为监测法诊疗原理检测行为包含占用INT13H修改DOS系统数据区内存总量以COM和EXE文件做写入动作病毒程序与宿主程序切换瑞星信息安全技术培训–反病毒技术概述反病毒技术反病毒技术概述第19页病毒诊疗技术－行为感染试验法行为感染试验法感染试验是一个简单实用检测病毒方法。当病毒检测工具不能发觉病毒时，使用感染试验法。能够检测出病毒检测工具不认识新病毒，摆脱对检测工具依赖，检测可疑新病毒瑞星信息安全技术培训–反病毒技术概述反病毒技术DEMO反病毒技术概述第20页病毒诊疗技术－行为软件模拟法行为软件模拟法针对多太性病毒检测与查杀虚拟软件法与特征代码法相结合瑞星信息安全技术培训–反病毒技术概述反病毒技术反病毒技术概述第21页病毒诊疗技术－计算机病毒分析法计算机病毒分析法确认磁盘引导区和程序中是否含有病毒确认病毒类型和种类，判定是否是新病毒搞清楚病毒体大致结构，提取特征识别用字符串或特征字详细分析病毒代码，为制订对应反病毒办法制订方案瑞星信息安全技术培训–反病毒技术概述反病毒技术反病毒技术概述第22页瑞星信息安全技术培训–反病毒技术概述反病毒技术病毒诊疗技术－计算机病毒分析法反病毒技术概述第23页反病毒技术剖析反病毒技术概述病毒诊疗技术反病毒引擎技术剖析瑞星信息安全技术培训–反病毒技术概述Agenda反病毒技术概述第24页病毒诊疗技术－计算机病毒分析法反病毒软件组成瑞星信息安全技术培训–反病毒技术概述反病毒引擎技术反病毒技术概述第25页应用程序包含各种平台各种应用和监控程序对象管理程序引擎主控对象病毒库管理对象应用程序反病毒引擎查杀毒引擎复合文件拆分对象病毒库文件瑞星信息安全技术培训–反病毒技术概述反病毒引擎技术引擎在反病毒软件中位置反病毒技术概述第26页瑞星信息安全技术培训–反病毒技术概述反病毒引擎技术对各种平台提供支持支持各种平台反病毒引擎是引擎技术发展方向，常见有支持Dos、Windows、Linuxforintel、Unixforintel、Freebsdforintel、Novell等各种平台以及在此基础上开发针对不一样用户群不一样应用。反病毒技术概述第27页DOS杀毒引擎宏病毒查杀引擎—特征码匹配脚本病毒引擎、邮件、邮箱、压缩包拆分引擎、反病毒虚拟机—运行特征匹配未知病毒行为判定技术和虚拟脱壳技术瑞星信息安全技术培训–反病毒技术概述反病毒引擎技术引擎查杀毒技术发展历程反病毒技术概述第28页引擎体系架构变迁模块化设计方式年面向对象设计方式，基于C++设计思想增强了引擎可靠性和易维护性；年将com组件设计思想引入了引擎设计中，实现了引擎对象化和组建化，增强了引擎易用性、扩展性、维护性和移植方便性瑞星信息安全技术培训–反病毒技术概述反病毒引擎技术反病毒引擎体系架构反病毒技术概述第29页瑞星信息安全技术培训–反病毒技术概述反病毒引擎技术引擎体系构架反病毒技术概述第30页瑞星信息安全技术培训–反病毒技术概述反病毒引擎技术反病毒引擎技术特征反病毒技术概述第31页引擎邮件、邮箱、压缩包对象在引擎中统称为复合文件对象，在最新引擎复合文件对象中采取了虚拟文件系统技术及将复合文件对象看成一个文件系统（也能够了解为一个目录），采取这种方式能够便捷地对邮件、邮箱、压缩包进行管理，处理方式愈加灵活。瑞星信息安全技术培训–反病毒技术概述反病毒引擎技术反病毒引擎技术特征邮件、邮箱、压缩包拆分技术反病毒技术概述第32页利用虚拟机对程序进行虚拟执行，经过返回结果判定文件是否被加壳。真实脱壳是对加壳算法进行分析后生成脱壳算法。瑞星信息安全技术培训–反病毒技术概述反病毒引擎技术反病毒引擎技术特征虚拟与真实相结合脱壳技术反病毒技术概述第33页利用智能代码分析技术（即基于对经典病毒代码特征和执行流程进行分析，提取经典病毒经典代码特征和逻辑特征并作为查杀病毒特征串）可对木马程序提取指纹信息。经过指纹，引擎能够快速地排除正常文件。瑞星信息安全技术培训–反病毒技术概述反病毒引擎技术反病毒引擎技术特征木马指纹特征技术反病毒技术概述第34页查杀病毒时在机器虚拟内存中模拟出一个“指令执行虚拟机”；在虚拟机环境中虚拟执行（不会被实际执行）带毒文件；在执行过程中，从虚拟机环境内截获文件数据，假如含有可疑病毒代码，则杀毒后将其还原到文件中，从而实现对各类可执行文件内病毒查杀。采取这种方法能够对付加密型、变形型、程序自压缩文件内病毒。瑞星信息安全