反病毒技术概述

反病毒技术概述瑞星信息安全技术培训–反病毒技术－反病毒技术剖析反病毒技术剖析反病毒技术概述病毒诊断技术反病毒引擎技术剖析瑞星信息安全技术培训–反病毒技术概述反病毒技术概述Agenda反病毒技术概述特征值虚拟机技术启发式扫描病毒疫苗瑞星信息安全技术培训–反病毒技术概述反病毒技术概述病毒疫苗举例：“美丽莎”病毒修改Windows注册表项：HKEY_CURRENT_RSER\Software\Microsoft\Office,增加表项：Melissa并赋值为byKwyjibo瑞星信息安全技术培训–反病毒技术概述反病毒技术概述反病毒技术剖析反病毒技术概述病毒诊断技术反病毒引擎技术剖析瑞星信息安全技术培训–反病毒技术概述Agenda病毒诊断技术病毒诊断技术计算机病毒比较法诊断原理计算机病毒校验法诊断原理计算机病毒扫描法诊断原理计算机病毒行为监测法诊断原理计算机病毒行为感染试验法诊断原理计算机病毒行为软件模拟法诊断原理计算机病毒分析法诊断的原理瑞星信息安全技术培训–反病毒技术概述病毒诊断技术病毒诊断技术－计算机病毒比较法瑞星信息安全技术培训–反病毒技术概述病毒诊断技术长度比较内容比较内存比较中断比较病毒诊断技术－计算机病毒比较法瑞星信息安全技术培训–反病毒技术概述病毒诊断技术长度比较病毒感染系统或文件长度的变化变化可能是合法的某些病毒感染文件时长度可保持不变病毒诊断技术－计算机病毒比较法瑞星信息安全技术培训–反病毒技术概述病毒诊断技术内容比较病毒感染系统或文件内容的变化变化可能是合法的病毒诊断技术－计算机病毒比较法瑞星信息安全技术培训–反病毒技术概述病毒诊断技术内存比较病毒驻留内存必须在内存中申请空间与正常系统内存的占用空间进行比较对于隐蔽型病毒无效病毒诊断技术－计算机病毒比较法瑞星信息安全技术培训–反病毒技术概述病毒诊断技术中断比较病毒为实现隐蔽和传染，常更改、接管中断向量与正常系统中的中断向量进行比较，判断是否有修改和盗用病毒诊断技术计算机病毒比较法诊断原理计算机病毒校验法诊断原理计算机病毒扫描法诊断原理计算机病毒行为监测法诊断原理计算机病毒行为感染试验法诊断原理计算机病毒行为软件模拟法诊断原理计算机病毒分析法诊断的原理瑞星信息安全技术培训–反病毒技术概述病毒诊断技术病毒诊断技术－计算机病毒扫描法瑞星信息安全技术培训–反病毒技术概述病毒诊断技术扫描法是用每一种病毒体含有的特定字符串对被检测的对象进行扫描。如果在被检测对象内部发现了某一种特定字符串，就表明发现了该字符串所代表的病毒。 特征代码扫描法 特征字扫描法对比诊断分析瑞星信息安全技术培训–反病毒技术概述病毒诊断技术－计算机病毒扫描法特征代码扫描法病毒扫描软件由两部分组成：一部分是病毒代码库，含有经过特别选定的各种计算机病毒的代码串；另一部分是利用该代码库进行扫描的扫描程序。

病毒诊断技术对比诊断分析病毒诊断技术－计算机病毒扫描法选择代码串的规则是：代表性避开数据区。尽量使特征代码长度简短区别于其它病毒及其变种将病毒与正常的非病毒程序区分开瑞星信息安全技术培训–反病毒技术概述反病毒技术对比诊断分析瑞星扶信息海安全手技术膀培训–反病谦毒技宿术概危述反病瞒毒技鸭术病毒祸诊断疏技术经－计算乱机病遮毒扫强描法例如医给定丘特征由串：“E9逃7善C槽00伟1灶0达?余37间C茂B”“E迈9铃7C使0咬0毙10予2锁7猴37沾C列B”“E辱9逐7C宴0脂0抄10朽9陪C蝴37凭C潜B”又例要如：“E9蹄7有C缘瑞37始C问B”“E到9啊7C爆0恳0免37坚C蹄B”“E宵9详7C笛0烟0超11代3爸7掘CB修”“E塌9耻7C纱0坚0蜜11心2高2柜37岗C姨B”“E侨9馅7C替0系0咸11首2尼2宅33欧4疯4汽37嗽C旅B”（不评匹配薯）瑞星粘信息问安全绕技术筛培训–反病樱毒技馆术概直述反病如毒技溉术病毒弦诊断亩技术睁－计算伐机病秤毒扫洲描法特征串扫描的优点当特征串选择得很好时，软件操作方便用PCTOOLS等软件也能用特征串扫描法去检测特定病毒。可识别病毒的名称误报警率低依据检测结果，可做杀毒处理特征串扫描的缺点当文件很长时费时间多不易选出合适的特征串新病毒的特征串未加入病毒代码库时，无法识别出新病毒代码库泄密会影响检测能力容易产生误报不易识别MutationEngine类病毒搜集已知病毒的特征代码，费用开销大在网络上使用效率低病毒苏诊断责技术诵－计算善机病伙毒扫叉描法特征但字扫绿描法速度途更快尚、误须报警谋更少缝，但执仍然搭存在伶特征馅代码忧扫描显法所搜具有伶的一康些缺矛点。只需胖从病膨毒体篇内抽首取很畏少几谣个关茧键的纯特征岛字组尼成特古征字坐库。需要欧处理泻的字君节很延少，休而又顽不必翠进行训串匹健配，兄加快科了识市别速殖度。瑞星珍信息冰安全续技术棚培训–反病呢毒技析术概初述反病坏毒技销术对比诊断分析病毒末诊断吃技术错－行为之监测健法诊揭断原菠理检测兼的行炕为包炎括占用IN杯T吵13耳H修改DO众S系统汉数据圾区的盛内存辜总量以CO签M和EX育E文件归做写内入动羊作病毒医程序葵与宿头主程绳序的名切换瑞星晌信息透安全常技术仍培训–反病粗毒技姻术概与述反病寒毒技冬术对比诊断分析病毒锡诊断摔技术效－行为纪感染鲁试验平法行为翠感染礼试验雀法感染抱实验亦是一兼种简挠单实奔用的内检测虚病毒牛方法笨。当病参毒检滚测工载具不笼能发拉现病罪毒时稀，使矿用感递染实骆验法红。可以躬检测已出病臂毒检卵测工夸具不同认识章的新鸭病毒抄，摆逗脱对攻检测炎工具当的依紫赖，寄检测掌可疑掘新病耻毒瑞星忙信息凤安全柱技术马培训–反病怪毒技原术概监述反病刑毒技龙术DE拜MO病毒诉诊断沸技术蒜－行为捡软件谜模拟她法行为蓬软件效模拟忙法针对康多太自性病华毒的天检测浇与查典杀虚拟贱软件威法与校特征始代码评法相目结合瑞星城信息京安全唯技术羡培训–反病应毒技在术概妄述反病妇毒技浆术对比诊断分析病毒均诊断全技术锣－计算打机病势毒分教析法计算驰机病高毒分雪析法确认尤磁盘赠引导扫区和嫩程序各中是臭否含鸣有病症毒确认伶病毒凡的类屿型和脑种类红，判赛定是氧否是血新病速毒搞清烘楚病模毒体秋的大侄致结淡构，帐提取茅特征誓识别秤用的扰字符巾串或润特征辉字详细困分析印病毒尾代码摄，为晒制定惑相应雹的反垂病毒饿措施鞭制定池方案瑞星挖信息捷安全野技术扛培训–反病赤毒技炉术概弹述反病清毒技拨术对比诊断分析瑞星肤信息仗安全屡技术铅培训–反病药毒技幼术概矮述反病修毒技眨术病毒切诊断配技术们－计算客机病唐毒分抓析法静态分析指利用DEBUG等反汇编程序将病毒代码打印成反汇编后的程序清单进行分析动态分析则是指利用DEBUG等程序调试工具在内存带毒的情况下，对病毒做动态跟踪，观察病毒的具体工作过程，以进一步在静态分析的基础上理解病毒工作的原理。对比诊断分析反病下毒技晒术剖蛋析反病吗毒技思术概春述病毒拘诊断拍技术反病咸毒引断擎技性术剖漂析瑞星键信息汇安全亚技术拣培训–反病以毒技英术概萌述Ag蚀en亿da病毒躲诊断特技术悉－计算风机病墓毒分骨析法反病遮毒软碰件的轰构成瑞星煌信息户安全戴技术功培训–反病磨毒技剥术概婶述反病主毒引迟擎技殃术应用程序进行病毒扫描、提供反病毒软件与用户的交互接口。引擎对应用程序传入的扫描对象进行格式分析和病毒扫描，返回结果进行相应的处理。引擎本身还负责病毒库的加载、管理、遍历及卸载。病毒库病毒数据库黑白名单应用程序包括各种平台的各种应用和监控程序对象管理程序引擎主控对象病毒库管理对象应用两程序反病惊毒引功擎查杀毒引擎复合文件拆分对象病毒库文件瑞星咏信息夫安全渠技术近培训–反病驰毒技症术概朴述反病就毒引唱擎技光术引擎敢在反缺病毒加软件屈中的铃位置瑞星冶信息或安全摸技术围培训–反病纽奉毒技林术概昨述反病并毒引懂擎技营术对多暂种平斤台提啄供支莫持支持厚多种员平台帽的反们病毒单引擎赏是引法擎技略术的早发展前方向欠，常内见的两有支泰持Do河s、Wi项nd碰ow锣s、Li捷nu晒x跟fo坊r邀in妈te童l、Un旨ix据f守or童i蓬nt复el、Fr斜ee阁bs旺d旅fo端r督in浓te丘l、No欺ve傍ll等多读种平趴台以扮及在绑此基控础上待开发怎针对中不同焰用户窑群的怨不同苹应用狱。DO养S杀毒谊引擎宏病费毒查咐杀引瓶擎—特征将码匹介配脚本隐病毒捆引擎制、邮团件、在邮箱贫、压摩缩包辆拆分带引擎曲、反蠢病毒质虚拟医机—运行育特征畅匹配未知挑病毒狭行为例判定以技术惭和虚泡拟脱胳壳技身术瑞星蓬信息恰安全打技术泥培训–反病机毒技马术概俯述反病外毒引歉擎技创术引擎志查杀滩毒技骂术的晕发展拐历程引擎观体系聚架构字的变踩迁模块劳化设虑计方遵式20哲01年面虾向对腐象设绵计方窑式，仙基于C+延+的设闷计思因想增怕强了牛引擎惠的可羡靠性塘和易效维护耽性；20匪03年将co唐m组件字的设气计思煮想引它入了胞引擎虽设计苍中，化实现肤了引凑擎的哈对象鸭化和滤组建路化，抬增强快了引宏擎的让易用姐性、执扩展证性、旅维护采性和博移植普的方贼便性瑞星旋信息六安全胳技术舌培训–反病仪毒技南术概硬述反病锋毒引悲擎技懂术反病送毒引盘擎的绑体系党架构瑞星资信息壁安全订技术辆培训–反病糟毒技尚术概的述反病傍毒引广擎技拉术引擎科的体踢系构盏架瑞星穷信息殃安全矛技术北培训–反病灶毒技圾术概览述反病余毒引声擎技晌术反病飘毒引很擎的芹技术桥特征邮件、邮箱、压缩包拆分虚拟与真实相结合的脱壳木马指纹特征利用可执行引擎执行特征提取宏病毒解码和查杀的相关内存扫描和内存监控未知宏病毒虚拟执行未知脚本病毒指纹特征判定行为判定引擎泉的邮破件、爷邮箱饿、压卷缩包的对象晌在引文擎中爷统称批为复首合文迁件对耍象，寸在最萌新的叹引擎吨的复福合文偶件对叔象中高采取趋了虚谁拟文近件系勿统技叫术及离将复铅合文田件对铜象看秃成一济个文执件系蝴统（倒也可汤以理篇解为巩一个孩目录权），般采用浊这种辣方式啦可以星便捷王地对勾邮件玩、邮台箱、穗压缩抛包进虎行管厌理，震处理却方式减更加嗽灵活塞。瑞星打信息核安全吉技术妇培训–反病秧毒技藏术概际述反病痰毒引扩擎技裁术反病晶毒引个擎的倚技术料特征邮件溉、邮哀箱、性压缩榜包拆银分技慰术利用橡虚拟费机对肌程序阳进行称虚拟蔽执行绍，通验过返塞回结晚果判耳定文妄件是盘否被跃加壳李。真实订脱壳旧是对悼加壳缴算法抱进行放分析倒后生纷成脱猛壳算顶法。瑞星番信息谷安全丢技术照培训–反病附毒技止术概瓣述反病抢毒引留擎技饺术反病企毒引给擎的陷技术侮特征虚拟工与真沿实相冒结合延的脱沈壳技脆术利用反智能债代码偏分析催技术膏（即负基于香对典萍型病拣毒的睁代码趁特征铲和执羊行流依程进撒行分召析，峡提取罪经典裹病毒身的典击型代器码特落征和扮逻辑矮特征严并作凤为查肠杀病迅毒的缎特征散串）存可对毒木马忆程序踪蝶提取暂指纹惨信息免。通果过指柄纹，歌引擎粗可以菊快速踩地排独除正吃常文伞件。瑞星举信息诵安全宅技术梳培训–反病饶毒技鸽术概炸述反病悲毒引粪擎技碰术反病干毒引干擎的缴技术风特征木马困指纹猫特征抖技术查杀估病毒诸时在撕机器路虚拟伐内存党中模方拟出缓一个灰“指笋令执狱行虚盛拟机壶”；在虚堤拟机诉环境漏中虚斧拟执由行（尽不会置被实叨际执些行）毁带毒膜文件献；在执租行过活程中您，从鸟虚拟侍机环剧境内留截获怎文件高数据压，如犁果含城有可捷疑的施病毒爬代码袭，则朗杀毒苏后将醉