计算机病毒原理与防范 第5章 计算机病毒检测技术

第5章 计算机病毒检测技术,计算机病毒原理与防范秦志光, 张凤荔,第5章 计算机病毒检测技术,计算机反病毒技术的发展历程 计算机病毒检测技术原理 计算机病毒主要检测技术和特点,5.1 计算机反病毒技术的发展历程,反计算机病毒软件最重要的功能是检测并清除计算机病毒。 第一代反计算机病毒技术是采取单纯的计算机病毒特征判断，将计算机病毒从带毒文件中清除掉。这种方式可以准确地清除计算机病毒，可靠性很高。 第二代反计算机病毒技术是采用静态广谱特征扫描方法检测计算机病毒，这种方式可以更多地检测出变形计算机病毒，但是误报率也有所提高。 第三代反计算机病毒技术将静态扫描技术和动态仿真跟踪技术结合起来，查找计算机病毒和清除计算机病毒合二为一，形成一个整体解决方案，能够全面实现预防、检测和清除等反计算机病毒所必备的各种手段，以驻留内存方式防止计算机病毒的入侵，凡是检测到的计算机病毒都能清除，不会破坏文件和数据。 第四代反计算机病毒技术则是针对计算机病毒的发展，而逐步建立起来的基于计算机病毒家族体系的命名规则、基于多位CRC校验和扫描机理、启发式智能代码分析模块、动态数据还原模块（能查出隐蔽性极强的压缩加密文件中的计算机病毒）、内存解毒模块和自身免疫模块等先进的解毒技术。,5.2 计算机病毒检测技术原理,计算机病毒检测技术是指通过一定的技术手段判定出计算机病毒的一种技术。计算机病毒检测技术主要有两种 一种是根据计算机病毒程序中的关键字、特征程序段内容、计算机病毒特征及感染方式、文件长度的变化，在特征分类的基础上建立的计算机病毒检测技术； 另一种是不针对具体计算机病毒程序自身检验技术，即对某个文件或数据段进行检验和计算并保存其结果，以后定期或不定期地根据保存的结果对该文件或数据段进行检验，若出现差异，即表示该文件或数据段的完整性已遭到破坏，从而检测到计算机病毒的存在。,计算机检测病毒技术的基本原理,1反病毒程序计算各个可执行程序的校验和 2某些反病毒程序是常驻内存程序 3少数工具可以从感染病毒的程序中清除病毒,检测病毒的基本方法,借助简单工具检测 : （1）分析工具的性能。（2）磁盘内部结构（如BOOT区、主引导区、FAT表和文件目录等有关知识）。（3）磁盘文件结构（EXE文件头部结构，重定位方法、EXE和COM文件加载文件的不同等）。（4）中断矢量表。（5）内存管理（内存控制块、环境参数和文件的PSP结构等）。（6）阅读汇编程序的能力。（7）有关病毒的信息。 借助专用工具检测,5.3 计算机病毒主要检测技术和特点,外观检测法、 特征代码法、 系统数据对比法、 实时监控法 和软件模拟法等,外观检测法,1屏幕显示异常 2声音异常 3文件系统异常 4程序异常 5系统异常 6打印机、软驱等外部设备异常,系统数据对比法,1长度比较法及内容比较法 2内存比较法 3中断比较法,病毒签名检测法,（1）必须预先知道计算机病毒签名的内容和位置。 （2）也可能造成虚假警报。,特征代码法,特点 选择代码串规则 实现步骤 优缺点 高品质计算机病毒检测工具应具有的属性,检查常规内存数,查看系统内存的总量，与正常情况进行比较 检查系统内存高端的内容，来判断其中的代码是否可疑,校验和法,特点 方法 优缺点,行为监测法（实时监控法）,监测病毒的行为特征 病毒防火墙 优缺点,软件模拟法,变形病毒类型 第一类变形计算机病毒的特性：具备普通计算机病毒所具有的基本特性 第二类变形计算机病毒的特性：除了具备一维变形计算机病毒的特性外，并且那些变化的代码相互间的排列距离（相对空间位置）也是变化的，这种病毒称为二维变形计算机病毒 第三类变形计算机病毒的特性：具备二维变形计算机病毒的特性，并且能分裂后分别潜藏在几处，当计算机病毒引擎被激发后都能自我恢复成一个完整的计算机病毒 第四类变形计算机病毒的特性：具备三维变形计算机病毒的特性，并且这些特性随时间动态变化。例如，在染毒的计算机中，刚开机时计算机病毒在内存里变化为一个样子，一段时间后变成另一个样子，再次开机后计算机病毒在内存里又是一个不同的样子。 检测 特征代码法将 软件模拟技术又称为解密引擎、虚拟机技术、虚拟执行技术或软件仿真技术 新型病毒检测工具,启发式代码扫描技术,启发式扫描通常应设立的标志 误报/漏报 如何处理虚警谎报 传统扫描技术与启发式代码分析扫描技术的结合运用 其他扫描技术 启发式反毒技术的未来展望,主动内核技术,能在操作系统和网络的内核中加入反计算机病毒功能，使反计算机病毒成为系统本身的底层模块，而不是一个系统外部的应用软件。 嵌入操作系统和网络系统底层，实现各种反毒模块与操作系统和网络无缝连接的反计算机病毒技术，实现起来难度极大。 Active K（主动内核）技术的要点在于它采用了与“主动反应装甲”同样的概念，能够在计算机病毒突破计算机系统软、硬件的瞬间发生作用。,病毒分析法,（1）确认被观察的磁盘引导区和程序中是否含有计算机病毒。 （2）确认计算机病毒的类型和种类，判定其是否是一种新计算机病毒。 （3）搞清楚计算机病毒体的大致结构，提取特征识别用的字符串或特征字，用于增添到计算机病毒代码库以供计算机病毒扫描和识别程序用。 （4）详细分析计算机病毒代码，为制定相应的反计算机病毒措施制定方案。,感染实验法,检测未知引导型计算机病毒的感染实验法 检测未知文件型计算机病毒的感染实验法,习 题,1简述计算机病毒防范的原则是什么？ 2分析计算机病毒检测的基本方法有哪几种，各自具有什么特点，各自适应的场合是什么？ 3特征代码段的选取