反病毒技术概述

反病毒技术概述瑞星信息安全技术培训–反病毒技术－反病毒技术剖析反病毒技术剖析反病毒技术概述病毒诊断技术反病毒引擎技术剖析瑞星信息安全技术培训–反病毒技术概述反病毒技术概述Agenda反病毒技术概述特征值虚拟机技术启发式扫描病毒疫苗瑞星信息安全技术培训–反病毒技术概述反病毒技术概述病毒疫苗举例：“美丽莎”病毒修改Windows注册表项：HKEY_CURRENT_RSER\Software\Microsoft\Office,增加表项：Melissa并赋值为byKwyjibo瑞星信息安全技术培训–反病毒技术概述反病毒技术概述反病毒技术剖析反病毒技术概述病毒诊断技术反病毒引擎技术剖析瑞星信息安全技术培训–反病毒技术概述Agenda病毒诊断技术病毒诊断技术计算机病毒比较法诊断原理计算机病毒校验法诊断原理计算机病毒扫描法诊断原理计算机病毒行为监测法诊断原理计算机病毒行为感染试验法诊断原理计算机病毒行为软件模拟法诊断原理计算机病毒分析法诊断的原理瑞星信息安全技术培训–反病毒技术概述病毒诊断技术病毒诊断技术－计算机病毒比较法瑞星信息安全技术培训–反病毒技术概述病毒诊断技术长度比较内容比较内存比较中断比较病毒诊断技术－计算机病毒比较法瑞星信息安全技术培训–反病毒技术概述病毒诊断技术长度比较病毒感染系统或文件长度的变化变化可能是合法的某些病毒感染文件时长度可保持不变病毒诊断技术－计算机病毒比较法瑞星信息安全技术培训–反病毒技术概述病毒诊断技术内容比较病毒感染系统或文件内容的变化变化可能是合法的病毒婚诊断属技术赴－计算挂机病形毒比西较法瑞星维信息么安全同技术盛培训–反病莲毒技剂术概给述病毒嚷诊断配技术内存比较病毒驻留内存必须在内存中申请空间与正常系统内存的占用空间进行比较对于隐蔽型病毒无效病毒旱诊断渐技术理－计算铜机病覆毒比湾较法瑞星火信息突安全翻技术倒培训–反病裂毒技曾术概胃述病毒转诊断迎技术中断比较病毒为实现隐蔽和传染，常更改、接管中断向量与正常系统中的中断向量进行比较，判断是否有修改和盗用病毒回诊断迈技术计算笨机病度毒比凡较法曲诊断迷原理计算切机病户毒校宅验法签诊断察原理计算裙机病柱毒扫梅描法踩诊断锐原理计算世机病辉毒行远为监巾测法产诊断牧原理计算甩机病纳毒行宴为感迟染试粱验法咬诊断汁原理计算旦机病那毒行株为软绣件模剑拟法洋诊断州原理计算烧机病突毒分酬析法润诊断怖的原储理瑞星桶信息建安全欲技术白培训–反病即毒技摘术概颗述病毒忆诊断犬技术病毒黑诊断组技术凤－计算散机病盖毒扫状描法瑞星壁信息尸安全俗技术现培训–反病召毒技蠢术概译述病毒蹦诊断柴技术扫描家法是哪用每巧一种邪病毒延体含铲有的坝特定羞字符腔串对槽被检胞测的滑对象伤进行驱扫描脂。如果框在被嘱检测杰对象合内部阅发现嗽了某陆一种耀特定乐字符五串，够就表愚明发柏现了红该字停符串机所代毛表的猾病毒军。特征闷代码透扫描彩法特征萌字扫喘描法对比诊断分析瑞星科信息竖安全偏技术评培训–反病蚁毒技匀术概液述病毒恐诊断郊技术皂－计算伙机病歌毒扫奶描法特征肯代码阴扫描沃法病毒梯扫描锅软件叛由两课部分鼠组成就：一止部分椅是病厨毒代叠码库杯，含印有经贩过特透别选多定的菊各种箩计算仗机病沉毒的设代码使串；另一吐部分魔是利草用该想代码观库进孔行扫茎描的帮扫描穿程序遭。病毒咸诊断帜技术对比诊断分析病毒怖诊断奋技术吼－计算熟机病授毒扫涛描法选择巨代码矮串的哗规则随是：代表伐性避开轧数据粪区。尽量凑使特危征代束码长称度简医短区别酸于其裹它病跟毒及烦其变弯种将病句毒与寺正常绒的非脏病毒痕程序赌区分芒开瑞星奖信息库安全风技术倡培训–反病堂毒技苦术概盗述反病怜毒技锯术对比诊断分析瑞星诞信息促安全插技术周培训–反病恋毒技啄术概虚述反病害毒技筐术病毒康诊断院技术财－计算必机病择毒扫属描法例如厚给定咬特征潜串：“E9金7眨C坛00恋1敞0典?熄37申C蠢B”“E遇9场7C国0牺0青10透2净7龄37燥C条B”“E砍9床7C奶0今0离10贞9暴C旅37让C售B”又例堡如：“E9逃7报C指37木C乏B”“E母9败7C汇0颠0灶37劈燕C冈B”“E傻9沉7C槽0验0糖11甘3狸7企CB衫”“E勇9侮7C崇0速0卸11骨2出2抄37掀C直B”“E腔9吹7C石0绣0回11东2谈2眯33爱4连4烘37荣C字B”（不坏匹配轿）瑞星司信息识安全贝技术脑培训–反病蒜毒技茂术概跃述反病兼毒技兰术病毒昏诊断次技术健－计算像机病炊毒扫凯描法特征串扫描的优点当特征串选择得很好时，软件操作方便用PCTOOLS等软件也能用特征串扫描法去检测特定病毒。可识别病毒的名称误报警率低依据检测结果，可做杀毒处理特征串扫描的缺点当文件很长时费时间多不易选出合适的特征串新病毒的特征串未加入病毒代码库时，无法识别出新病毒代码库泄密会影响检测能力容易产生误报不易识别MutationEngine类病毒搜集已知病毒的特征代码，费用开销大在网络上使用效率低病毒悦诊断著技术眨－计算足机病粒毒扫起描法特征健字扫闻描法速度储更快称、误裂报警口更少店，但牲仍然刃存在啄特征诞代码矩扫描算法所最具有茂的一腊些缺骡点。只需倘从病筋毒体吗内抽纤取很止少几营个关说键的缝特征斤字组羡成特花征字异库。需要愚处理淹的字绿节很西少，屈而又售不必译进行鸦串匹抄配，六加快离了识严别速铅度。瑞星仿信息疼安全鞋技术喜培训–反病崖毒技郑术概瘦述反病得毒技膛术对比诊断分析病毒遣诊断帖技术碍－行为附监测粉法诊离断原早理检测堵的行烛为包挠括占用IN田T狮13坏H修改DO嚼S系统把数据驼区的隶内存业总量以CO妖M和EX激E文件娃做写且入动挤作病毒权程序殿与宿驰主程佳序的弦切换瑞星胳信息芝安全蓝技术徐培训–反病铁毒技绞术概良述反病获毒技饺术对比诊断分析病毒勉诊断尘技术译－行为乳感染肠试验凯法行为恢感染术试验姓法感染羊实验踩是一援种简膊单实症用的血检测铸病毒愉方法蜜。当病圆毒检老测工仪具不荣能发捞现病唉毒时俯，使馅用感坚染实恐验法捞。可以瓣检测歇出病杆毒检她测工袋具不肆认识泪的新伴病毒广，摆偏脱对纺检测布工具坝的依村赖，霜检测诞可疑碍新病哭毒瑞星侧信息稳安全麦技术阶培训–反病熊毒技员术概垃述反病坦毒技风术DE税MO病毒纱诊断涌技术底－行为太软件王模拟面法行为阀软件团模拟富法针对幻玉多太趴性病猪毒的隔检测塞与查摇杀虚拟复软件成法与荷特征订代码梅法相云结合瑞星哭信息劳安全远技术蚕培训–反病湖毒技劳术概繁述反病摘毒技右术对比诊断分析病毒常诊断柿技术做－计算壳机病县毒分苍析法计算难机病细毒分散析法确认腰磁盘狗引导碧区和淡程序凳中是个否含诸有病该毒确认形病毒唱的类姻型和违种类龟，判槽定是茎否是骨新病谢毒搞清诵楚病怎毒体蚕的大屈致结负构，掉提取茂特征族识别尿用的出字符拒串或得特征灯字详细爆分析疗病毒叉代码捷，为芬制定抗相应览的反帐病毒滥措施蛙制定幻玉方案瑞星贞信息醒安全存技术威培训–反病捎毒技脸术概浙述反病都毒技涛术对比诊断分析瑞星华信息附安全积技术裹培训–反病乳毒技罗术概宜述反病套毒技偷术病毒构诊断肯技术腊－计算苦机病壤毒分田析法静态分析指利用DEBUG等反汇编程序将病毒代码打印成反汇编后的程序清单进行分析动态分析则是指利用DEBUG等程序调试工具在内存带毒的情况下，对病毒做动态跟踪，观察病毒的具体工作过程，以进一步在静态分析的基础上理解病毒工作的原理。对比诊断分析反病塔毒技终术剖叫析反病毯毒技侵术概窑述病毒提诊断滥技术反病蹈毒引伸擎技躬术剖汗析瑞星冒信息佩安全访技术勾培训–反病帮毒技拼术概折述Ag恼en液da病毒触诊断帖技术絮－计算泳机病描毒分翼析法反病刮毒软朱件的阔构成瑞星担信息哈安全舰技术溪培训–反病组毒技的术概慎述反病禁毒引绵擎技布术应用程序进行病毒扫描、提供反病毒软件与用户的交互接口。引擎对应用程序传入的扫描对象进行格式分析和病毒扫描，返回结果进行相应的处理。引擎本身还负责病毒库的加载、管理、遍历及卸载。病毒库病毒数据库黑白名单应用程序包括各种平台的各种应用和监控程序对象管理程序引擎主控对象病毒库管理对象应用周程序反病都毒引抱擎查杀毒引擎复合文件拆分对象病毒库文件瑞星涛信息崭安全岩技术卧培训–反病陆毒技普术概睁述反病绣毒引瓜擎技稻术引擎误在反间病毒鸡软件览中的偏位置瑞星呆信息醋安全锯技术筑培训–反病款毒技勾术概挠述反病廊毒引服擎技核术对多贪种平羡台提军供支董持支持管多种摧平台卵的反迈病毒乓引擎偷是引糠擎技聋术的孟发展逗方向班，常俘见的歇有支周持Do岩s、Wi遮nd枝ow赏s、Li哑nu更x朵fo蹄r勉in宋te饼l、Un女ix赤f魂or汇i工nt菜el、Fr命ee任bs去d勾fo遗r弄in似te鹿l、No泊ve的ll等多萄种平水台以蕉及在腹此基钓础上收开发崇针对羞不同聋用户刊群的眉不同赏应用倦。DO迫S杀毒揭引擎宏病风毒查妥杀引下擎—特征瓦码匹惠配脚本桶病毒疏引擎房诚、邮妄件、炕邮箱皂、压讽缩包剪拆分刊引擎厘、反恨病毒拨虚拟培机—运行惠特征帜匹配未知虏病毒副行为凤判定爪技术胁和虚叠拟脱摘壳技喝术瑞星海信息翼安全等技术停培训–反病钢毒技盆术概冒述反病礼毒引捎擎技顶术引擎勺查杀照毒技腐术的贼发展子历程引擎振体系仿架构摇的变起迁模块宅化设其计方否式20揉01年面名向对方象设沉计方恒式，糕基于C+友+的设赞计思话想增梦强了候引擎晕的可艘靠性男和易需维护使性；20纳03年将co尖m组件灯的设载计思雅想引挎入了宝引擎娘设计篮中，遍实现糕了引棕擎的圆对象鱼化和栽组建若化，翠增强熔了引且擎的沾易用酱性、宝扩展绳性、授维护永性和牧移植醋的方元便性瑞星货信息绵安全厕技术井培训–反病俘毒技杠术概蜡述反病鞭毒引斥擎技遭术反病茅毒引自擎的满体系尸架构瑞星觉信息消安全信技术茂培训–反病桥毒技洲术概丽述反病捧毒引珍擎技壤术引擎仔的体丑系构倍架瑞星循信息辅安全舒技术纷培训–反病巨毒技伶术概崖述反病杏毒引惜擎技钟术反病闪毒引葱擎的齐技术菜特征邮件、邮箱、压缩包拆分虚拟与真实相结合的脱壳木马指纹特征利用可执行引擎执行特征提取宏病毒解码和查杀的相关内存扫描和内存监控未知宏病毒虚拟执行未知脚本病毒指纹特征判定行为判定引擎困的邮牛件、古邮箱械、压卡缩包珍对象毫在引躺擎中旺统称因为复宰合文违件对服象，盘在最旧新的鞭引擎听的复进合文坛件对检象中英采取章了虚咐拟文设件系赠统技吗术及兆将复今合文困件对耐象看超成一鹅个文仪件系文统（完也可紧以理财解为柳一个太目录欧），挣采用脱这种均方式置可以质便捷蚕地对横邮件全、邮搂箱、庭压缩方包进纱行管出理，贼处理伯方式独更加绣灵活跨。瑞星贩信息方安全号技术厨培训–反病达毒技硬术概售述反病侄毒引筒擎技厉术反病岁毒引耀擎的政技术升特征邮件丧、邮备箱、歌压缩吊包拆独分技论术利用送虚拟亏机对通程序纽奉进行宰虚拟走执行源，通图过返校回结杯果判咱定文悬件是保否被厚加壳尊。真实衡脱壳枕是对朵加壳易算法橡进行奖分析泰后生捆成脱送壳算袖法。瑞星烟信息赴安全铅技术秆培训–反病舌毒技勇术概闪述反病青毒引出擎技收术反病雅毒引泼擎的绒技术避特征虚拟禾与真天实相梨结合豆的脱穗壳技架术利用傻智能皂代码竭分析产技术比（即均基于谢对典慈型病显毒的兽代码粮特征施和执爆行流液程进过行分放析，地提取幅经典携病毒茶的典胆型代赵码特拍征和报逻辑智特征迅并作旨为查献杀病话毒的孟特征感串）龟可对妙木马首程序奸提取蛋指纹葛信息户。通踏过指述纹，皂引擎恭可以器快速鞠地排何除正晓常文赞件。瑞星故信息突安全轨技术猴培训–反病限毒技甩术概遇述反病芬毒引析擎技装术反病迷毒引皇擎的赴技术枕特征木马店指纹挡特征受技术查杀到病毒杜时在摇机器花虚拟棚内存载中模题拟出挑一个蛙“指垦令执输行虚诊拟机成”；在虚隐拟机煤环境盟中虚踢拟执隙行（垮不会嚷被实真际执献行）砖带毒称文件撒；在执至行过艘程中姓，从饲虚拟皮机环