计算机病毒与恶意代码 课件 5-1-2杀毒技术解析和反病毒软件的构成

计算机病毒与防治重庆电子工程职业学院计算机病毒与防治课程小组教学单元5-1分析反病毒软件的编制技术启发式扫描技术虚拟机技术

病毒疫苗第2讲杀毒技术解析和反病毒软件的构成计算机病毒与防治课程小组反病毒软件的构成

反病毒引擎的体系构架

反病毒引擎的发展方向杀毒技术解析——虚拟机技术在杀毒技术中，有一种自始至终都在用的方法——特征值法。但是随着病毒技术的发展，加密技术渐渐成熟起来，很多病毒的特征不再那么容易提取了，因此出现了虚拟机杀毒技术。所谓虚拟机技术，就是用软件先虚拟一套运行环境，让病毒先在该虚拟环境下运行，看看它的执行效果。由于加密的病毒在执行时最终还是要解密的，这样，在其解密之后我们可以通过特征值查毒法对其进行查杀。虚拟机技术杀毒技术解析——虚拟机技术虚拟机在反病毒软件中应用范围广，并成为目前反病毒软件的一个趋势。一个比较完整的虚拟机，不仅能够识别新的未知病毒，而且能够清除未知病毒，我们会发现这个反病毒工具不再是一个程序，而成为可以和卡斯帕罗夫抗衡的ibm深蓝超级计算机。首先，虚拟机必须提供足够的虚拟，以完成或将近完成病毒的“虚拟传染”；杀毒技术解析——虚拟机技术其次，尽管根据病毒定义而确立的“传染”标准是明确的，但是，这个标准假如能够实施，它在判定病毒的标准上仍然会有问题；第三，假如上一步能够通过，那么，我们必须检测并确认所谓“感染”的文件确实感染的就是这个病毒或其变形。杀毒技术解析——虚拟机技术目前虚拟机的处理对象主要是文件型病毒。对于引导型病毒、word／excel宏病毒、木马程序在理论上都是可以通过虚拟机来处理的，但目前的实现水平仍相距甚远。就像病毒编码变形使得传统特征值方法失效一样，针对虚拟机的新病毒可以轻易使得虚拟机失效。虽然虚拟机也会在实践中不断得到发展。但是，pc的计算能力有限，反病毒软件的制造成本也有限，而病毒的发展可以说是无限的。让虚拟技术获得更加实际的功效，甚至要以此为基础来清除未知病毒，其难度相当大。计算机病毒与防治课程小组杀毒技术解析由于新病毒不断出现，而传统的特征值查毒法不可能完全查出新出现的病毒，于是启发式扫描技术产生了。何谓启发式扫描呢？我们知道，任何一个病毒总存在与普通程序不一样的地方，譬如格式化硬盘、重定位、改回文件时间、修改文件大小、传染等。这样，我们就可以对每一类病毒特征进行加权，譬如重定位得3分，格式化硬盘得15分，传染得10分，这样，如果一个程序拥有这3个功能，它就得到了28分。如果我们设定判断一个病毒的标准是20分，那么这个程序在遇到采用了启发式扫描技术的杀毒软件时，杀毒软件就会报警发现了新病毒。这就是启发式扫描技术。启发式扫描技术病毒疫苗还有一种技术叫病毒疫苗，这种疫苗程序（比如美丽莎病毒）会修改Windows注册表项：HKEY_CURRENT_USER\Software\Microsoft\Office，它将增加表项：Melissa，并给赋值为：byKwyjibo，这是病毒避免进行重复感染的标志。如果一台没有感染美丽莎病毒的机器上事先设立这项注册表值，那么当美丽莎病毒准备感染者抬机器时，由于发现存在该键值会认为该机器已经被感染而不对它进行再次感染。这样就达到了对这台机器进行免疫的目的，当然有些病毒的免疫机制比较复杂。病毒疫苗技术总结受病毒在理论上就是不可判定的这一根本前提的制约，事实上，无论是启发式，亦或是虚拟机，都只能是一种工程学的努力，其成功的概率永远不可达到100％。这是惟一的却又是无可奈何的缺憾。6.4反病毒软件构成分析计算机病毒与防治课程小组由于引导型病毒从结构到原理上都想对简单，目前，反病毒软件与病毒的对抗主要体现在与文件型病毒的对抗上，我们主要就针对文件型病毒的反病毒软件的结构进行探讨。反病毒软件由应用程序、反病毒引擎和病毒库三部分构成。反病毒软件的构成反病毒软件构成分析应用程序的主要功能就是把扫描对象提供给引擎进行病毒扫描、提供反病毒软件与用户的交互接口。应用程序主要包括搜索文件部分和匹配病毒特征串部分，其中搜索文件部分负责进行全盘搜索或按用户指定路径搜索文件；匹配病毒特征串部分负责在每一个搜索出来的文件中，匹配病毒特征串，判断文件是否染毒。应用程序反病毒软件构成分析计算机病毒与防治课程小组反病毒引擎是决定一款杀毒软件技术是否成熟可靠的关键，什么是反病毒引擎呢？简言之，它就是一套判断特定程序行为是否为病毒程序或可疑程序的技术机制，引擎不仅需要具备判断病毒的能力，还必须拥有足够的病毒清理技术和环境恢复技术，如果一款杀毒产品能查出病毒但是却无法清除、或者无法将被病毒破坏的系统环境成功恢复，那它就不能成为一款优秀的杀毒软件。反病毒引擎6.4.1反病毒软件的构成引擎的主要功能就是对应用程序传入的扫描对象进行格式分析和病毒扫描并将扫描的中间结果和最终结果通过应用程序回调接口返回给应用程序并根据应用程序的返回结果进行相应的处理，根据检测出的每种病毒的杀毒关键性参数，清除文件中的病毒。引擎本身还负责病毒库的加载、管理、升级、遍历及卸载。目前的反病毒引擎所采用的主流技术有两种：虚拟机技术、实时监控技术。除此之外，还有两种最新的技术仍在试验阶段，分别是智能码标识技术和行为拦截技术。6.4.1反病毒软件的构成病毒库主要包括病毒特征串库和杀毒关键性参数库，病毒特征串库为应用程序中的匹配病毒特征串部分提供搜索病毒所需要的病毒特征串；杀毒关键性参数库为杀毒引擎提供清除病毒所需要的杀毒关键性参数。病毒库应用程序、反病毒引擎、病毒库三者的关系下面我们来看在反病毒软件中，上述几个部分是如何协调工作的：反病毒软件在运作时，首先调用搜索文件部分搜索到一个文件，然后利用匹配病毒特征串部分匹配病毒特征串库中的病毒特征串，如果匹配上某个病毒，就调用杀毒引擎杀毒。杀毒引擎在工作时，会使用到杀毒关键性参数库中的杀毒关键性参数。处理完一个文件后，反病毒软件继续调用搜索文件部分搜索下一个文件，重复以上工作，直至文件被搜索完为止。应用程序、引擎、病毒库三者的关系应用程序、反病毒引擎、病毒库三者的关系计算机病毒与防治课程小组病毒库文件应用程序包括各种平台的各种应用和监控程序对象管理程序（中间层）引擎主控对象查杀毒引擎、复合文件拆分对象病毒库管理对象应用程序反病毒引擎图6-16.4.2反病毒引擎的体系构架计算机病毒与防治课程小组引擎最初采用的是模块化的设计方式，这是基于C的设计思想；2001年开始采用的是模块化的设计方式，这是基于C的设计思想；2001年开始采用面向对象设计技术方法，这是基于C++的设计思想，增强了引擎的可靠性和易维护性；2003年将COM组件的设计思想引入了引擎设计中，实现了引擎的对象化和组件化，增强了引擎的易用性、扩展性、维护性和移植的方便性。1.引擎体系架构的变迁计算机病毒免疫技术2.引擎的体系架构目前引擎的体系架构如图6-2所示：计算机病毒与防治课程小组查杀毒引擎模块文件对象文件格式分析模块邮件、邮箱拆分模块文件对象压缩文件拆分模块引擎主控流程调用参数创建调用识别创建创建参数识别参数调用图6-2目前引擎的体系架构6.4.3反病毒引擎的发展方向1.病毒的发展趋势1）病毒更新换代，向多元化发展2）依赖网络进行传播3）攻击方式多样4）利用系统漏洞成为病毒有力的传播方式5）病毒与黑客技术相融合6）隐蔽性增强7）更新速度加快计算机病毒与防