《计算机病毒原理及防范技术》课件第10章 病毒对抗技术_第1页
《计算机病毒原理及防范技术》课件第10章 病毒对抗技术_第2页
《计算机病毒原理及防范技术》课件第10章 病毒对抗技术_第3页
《计算机病毒原理及防范技术》课件第10章 病毒对抗技术_第4页
《计算机病毒原理及防范技术》课件第10章 病毒对抗技术_第5页
已阅读5页,还剩50页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

计算机病毒原理及理论 第十章病毒对抗技术第十章病毒对抗技术10.3病毒防御技术10.2病毒的清除10.1病毒的检测技术

本章学习导读10.4病毒样本的获取方法本章小结本章学习导读本章主要讲解如何对抗病毒。首先介绍如何检测找到病毒,然后讲解如何将找到的病毒清除,接着讲解在发现病毒之前如何去防御病毒,最后讲解如何去获取病毒样本。10.1病毒的检测技术10.1.4校验检测技术

10.1.3行为监测技术

10.1.2特征值检测技术10.1.1危险信号10.1.5启发式扫描10.1.6虚拟机技术

10.1.1危险信号1.磁盘的主引导扇区的信号检查硬盘主引导扇区是否被感染,可用DEBUG编写一段程序,读出0面,0柱面,1扇区的内容。或者使用软件,在二级菜单中选物理扇区(Absolutesector),在提示下输入0面(side),0柱面(cylinder),1扇区(sector),读出主引导扇区。10.1.1危险信号2.可执行文件的信号对于寄生在可执行文件中的病毒来说,病毒程序一般通过修改原有可执行文件,使该文件执行首先转入病毒程序引导模块,该引导模块也完成把病毒程序的其它两个模块驻留及初始化的工作,然后把执行权交给执行文件,使系统及执行文件在带毒的状态下运行。10.1.1危险信号3.内存空间的信号计算机病毒在传染或执行时,必然要占有一定的内存空间,并驻留在内存中,等待时机进行攻击或传染。10.1.1危险信号4.特征的信号一些常见的病毒具有很明显的特征,即病毒中含有特殊的字符串。用抗病毒软件检查文件中是否存在这些特征,从而判定是否发生感染。特征搜索法可以确诊病毒类型。10.1.2特征值检测技术计算机病毒的特征值是指计算机病毒本身在特定的寄生环境中确认自身是否存在的标记符号,即指病毒在传染宿主程序时,首先判断该病毒欲传染的宿主是否已染有病毒时,按特定的偏移量从文件中提出的特征值。10.1.2特征值检测技术1.传统的特征值搜索技术(1)采集已知的病毒样本。(2)在病毒样本中,抽取特征值。(3)获取病毒特征值(4)将特征串纳入病毒特征数据库10.1.2特征值检测技术2.传统的病毒特征串搜索技术的缺陷(1)当被扫描的文件很长时,扫描所花时间也越多。(2)不容易选出合适的特征串,很多时候会发出假警报。(3)在新病毒的特征串还未加入病毒代码库时,老版本的扫毒程序无法识别出新病毒。(4)怀有恶意的计算机病毒制造者得到代码库后,会很容易地改变病毒体内的代码,生成一个新的变种,使扫描程序失去检测它的能力。(5)容易产生误警报。(6)不易识别Mutation

Engine类病毒。(7)搜集已知病毒的特征代码,费用开销大。(8)在网络上使用效率低。10.1.2特征值检测技术3.广谱特征串选取(1)提取变形病毒的多个感染样本。(2)在每个样本的相同位置抽取适当长度的病毒代码。(3)比较这些病毒特征串,依次记下各个样本完全相同的代码。(4)如果在各个样本的病毒特征串中,从第一组(有1个字节以上含1个字节)相同的特征串到第二组相同的特征串之间的代码,不仅常变换,而且在每一个样本中,它们之间的间距也不相同。如果是在32个字节内变化,可以用双“%%”百分号来过滤这些变化的代码。(5)按以上方法处理完病毒特征串,最后得到的就是病毒的广谱特征串。10.1.2特征值检测技术4.建立病毒广谱特征串选取注意事项(1)病毒广谱特征串后面的汉字串中不得使用西文双引号。(2)双问号“??”和百分号“%%”可交叉使用。(3)当两组病毒特征代码之间的距离大于32个字节时,大于部分可增加一些双问号“??”来接续,或多用几个“%%”双百分号。(4)特征值中至少要有三组不变的病毒代码。10.1.2特征值检测技术特征值检测的优点1)当特征串选择得很好时,病毒检测软件让计算机用户使用起来方便快速,对病毒了解不多的人也能用它来发现病毒。2)不用专门软件,用编辑软件也能用特征串扫描法去检测特定病毒。3)可识别病毒的名称。4)误报警率低。5)依据检测结果,可做杀毒处理。10.1.3行为监测技术利用病毒的特有行为特征性来监测病毒的方法,称为行为监测法。通过对病毒多年的观察、研究,发现病毒有一些共同行为。在正常应用程序中,这些行为比较罕见,这就是病毒的行为特性。10.1.3行为监测技术监测病毒的行为特征:(1)写注册表(2)自动联网请求(3)占用INT13H(4)修改DOS系统数据区的内存总量(5)对COM和EXE文件做写入动作(6)病毒程序与宿主程序的切换10.1.4校验检测技术将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存。在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,从而可以发现文件是否感染,这种方法叫校验和法,它既可发现已知病毒又可发现未知病毒。10.1.4校验检测技术1.长度比较法及内容比较法病毒感染系统或文件,必然引起系统或文件的变化,既包括长度的变化,又包括内容的变化。因此,将无毒的系统或文件与被检测的系统或文件的长度和内容进行比较,即可发现病毒。长度比较法和内容比较法就是从长度和内容两方面进行比较而得名。10.1.4校验检测技术2.内存比较法这是一种对内存驻留病毒进行检测的方法。由于病毒驻留于内存,必须在内存中申请一定的空间,并对该空间进行占用、保护。因此,通过对内存的检测,观察其空间变化,与正常系统内存的占用和空间进行比较,可以判定是否,有病毒驻留其间。10.1.4校验检测技术3.中断比较法病毒为实现其隐蔽和传染破坏之目的,常采用“截留盗用”技术,更改、接管中断向量,让系统中断向量转向执行病毒控制部分。因此,将正常系统的中断向量与有毒系统的中断向量进行比较,可以发现是否有病毒修改和盗用中断向量。10.1.4校验检测技术4.文件校验和对文件内容(可含文件的属性)的全部字节进行某种函数运算,这种运算所产生的适当字节长度的结果就叫做校验和。这种校验和在很大程度上代表了原文件的特征,一般文件的任何变化都可以反映在校验和中。10.1.5启发式扫描1.人工智能一个运用启发式扫描技术的病毒检测软件,实际上就是以特定方式实现的动态调试器或反编译器,通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。10.1.5启发式扫描2.扫描信号标志对于某个文件来说,被设置的标志越多,染毒的可能性就愈大。常规干净程序极少会设置一个标志,但如果要作为可疑病毒报警的话,则至少要设置两个以上标志。10.1.5启发式扫描3.虚报正如任何其他的通用检测技术一样,启发式扫描技术有时也会把一个本无病毒的程序指证为染毒程序,这就是所谓的查毒程序虚报谎报现象。虚报的原因很简单——被检测程序中含有属于病毒所使用或含有的可疑功能。10.1.6虚拟机技术虚拟机技术,该技术也称为软件模拟法,它是一种软件分析器,用软件方法来模拟和分析程序的运行,而且程序的运行不会对系统起实际的作用(仅是模拟),因而不会对系统造成危害。其实质都是让病毒在虚拟的环境下执行。10.2病毒的清除10.2.4病毒的去激活

10.2.3宏病毒的清除10.2.2文件型病毒的清除10.2.1引导型病毒的清除

10.2病毒的清除将染毒文件的病毒代码摘除,使之恢复为可正常运行的健康文件,称为病毒的清除,有时称为对象恢复。清除可分为手工清除和自动清除两种方法。10.2.1引导型病毒的清除引导型病毒感染时的攻击部位有:(1)硬盘主引导扇区。(2)硬盘或软盘的Boot扇区。10.2.1引导型病毒的清除1.消除引导扇区型病毒提取引导区覆盖引导区

C>debugC>debug-L100盘号01-NDosboot.21s-NDosboot.21s-L-RCX-W100盘号01CX0000-Q

:200-W-Q10.2.1引导型病毒的清除2.消除硬盘主引导扇区型病毒(1)用无毒软盘启动系统。(2)寻找一台同类型、硬盘分区相同的无毒机器,将其硬盘主引导扇区写入一张软盘中。(3)将此软盘插入染毒机器,将其中采集的主引导扇区数据写入染毒硬盘,即可修复。10.2.2文件型病毒的清除文件型病毒也称为外壳型病毒。文件型病毒一般攻击*.EXE或*.COM可执行文件。清除文件型病毒一般需要做:①恢复原文件的数据;②删除病毒的有关数据及程序段。10.2.3宏病毒的清除(1)打开宏菜单,在通用模板中删除认为是病毒的宏。(2)打开带有病毒宏的文档(模板),然后打开宏菜单,在通用模板和病毒文件名模板中删除认为是病毒的宏。(3)保存清洁文档。10.2.4病毒的去激活清除内存中的病毒,是指使RAM中的病毒进入非激活状态,跟文件恢复一样,需要OS和汇编语言知识。清除内存中的病毒,需要检测病毒的执行过程,然后改变其执行方式,使病毒失去传染能力。10.3病毒防御技术10.3.4防火墙和防毒软件

10.3.3数字免疫

10.3.2病毒的预防措施及方法10.3.1病毒入侵途径分析

10.3.1病毒入侵途径分析(1)系统启动盘要专用,而且要加上写保护,以防病毒侵入。(2)不要乱用其它来历不明的程序或软件,也不要使用非法复制或解密的软件。(3)对于外来的机器或软件要进行病毒的检测,在确认无毒的情况下方可使用。(4)对于带有硬盘的机器最好专机专用或专人专机,以防病毒侵入硬盘。(5)对于重要的系统盘,数据盘以及硬盘上的重要信息要经常备份,以使系统或数据遭到破坏后能及时得到恢复。(6)网络上的计算机用户要遵守网络软件的使用规定,不能在网络上随意使用外来的软件。10.3.2病毒的预防措施及方法通过采取技术上和管理上的措施,计算机病毒是完全可以防范的。最重要的是思想上要重视计算机病毒可能会给计算机安全运行带来的危害。同样是对于计算机病毒,有病毒防护意识的人和没有病毒防护意识的人会采取完全不同的态度。10.3.3数字免疫数字免疫系统(DigitalImmuneSystem)是IBM公司和赛门铁克(Symantec)公司提出的新概念。数字免疫系统主要是为企业级的信息系统服务的,它所“预防治疗”的病症很广泛,既包括计算机病毒,也包括影响企业信息系统正常运行的诸多因素,如磁盘碎片引起的运行处理速度缓慢,经常性的系统死机多,并且提供修复更新系统的工具。10.3.3数字免疫1.管理职能2.智能化的反病毒工具3.整理磁盘碎片4.事故防范与灾难恢复5.远程支持10.3.4防火墙和防毒软件1.防火墙所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。10.3.4防火墙和防毒软件防火墙的功能主要表现在以下几个方面:(1)防火墙是网络安全的屏障(2)防火墙可以强化网络安全策略(3)对网络存取和访问进行监控审计(4)防止内部信息的外泄10.3.4防火墙和防毒软件2.防毒软件杀毒软件是用于消除电脑病毒、特洛伊木马和恶意软件、保护电脑安全的一类软件的总称。防毒软件国内也称杀毒软件防毒软件通常集成监控识别、病毒扫描和清除和自动升级等功能,有的防毒软件还带有数据恢复等功能。10.3.4防火墙和防毒软件一些国内外比较知名的防毒软件(1)BitDefender(2)Kaspersky(3)F-SecureAnti-Virus(4)PC-cillin(5)ESETNod32(6)McAfeeVirusScan(7)NortonAntiVirus(8)瑞星(9)金山毒霸(10)江民(11)趋势(12)微点主动防御软件10.3.4防火墙和防毒软件3.防毒软件和防火墙比较(1)防火墙是用来阻挡端口攻击,简单的说,就是管理系统端口的。(2)防毒软件,主要是用来防止网络上的病毒、恶意代码、恶意脚本病毒等来感染操作系统。(3)防火墙是起网络隔离作用的;防毒软件是起防毒杀毒作用的10.4病毒样本的获取方法10.4.4PE病毒样本的提取

10.4.3宏病毒样本的提取

10.4.2脚本病毒样本的提取10.4.1企业获取方法和个人获取方法的异同

10.4.1企业获取方法和个人获取方法的异同1.企业的样本获取方法(1)通过自己在各个网段设置的节点截取样本(2)通过公司的专用邮件系统获取(3)通过病毒感染者提供(4)病毒编写者自己提供10.4.1企业获取方法和个人获取方法的异同2.个人获取病毒样本对于个人用户来说,当然没有反病毒公司截获病毒的那种条件。不过,要找一些病毒样本来分析也不是一件难事情。可以设置蜜罐。10.4.2脚本病毒样本的提取脚本病毒是用脚本语言编写而成,该语言功能非常强大,它们利用Windows系统的开放性特点,通过调用一些现成的Windows对象、组件,可以直接对文件系统、注册表等进行控制,功能非常强大。10.4.2脚本病毒样本的提取1.一次性加/解密的病毒样本2.解密一处执行一处的病毒样本10

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论