计算机病毒及其防范技术 978-7-302-16923-9 第十章 计算机病毒防治技术新

计算机病毒防治技术上海交通大学信息安全工程学院2018/8/7 1本章的学习目标 了解计算机病毒防治的现状 掌握常用病毒防治技术 了解病毒防治技术的缺陷 掌握典型病毒防治方法2018/8/7 2 防治技术概括成四个方面： 检测 清除 预防 被动防治 免疫 主动防治2018/8/7 3本章内容 病毒防治技术现状 目前的流行技术 病毒防治技术的缺陷 数据备份与数据恢复 驱动程序设计2018/8/7 4病毒防治技术现状 防病毒产品的历史 一对一的防病毒产品 防病毒卡 自身不被感染 但不能清楚磁盘病毒90年代中期，查杀防合一90年代末期开始，推出了实时防病毒产品2018/8/7 5 新时期的防病毒产品趋势 反黑客技术与反病毒技术相结合 从入口拦截病毒（网络入口、系统入口） 全面解决方案 个性化定制（后期服务） 区域化到国际化2018/8/7 6病毒防治技术的几个阶段 第一代反病毒技术采取单纯的病毒特征诊断，但是对加密、变形的新一代病毒无能为力。 第二代反病毒技术采用静态广谱特征扫描技术，可以检测变形病毒，但是误报率高，杀毒风险大。 第三代反病毒技术将静态扫描技术和动态仿真跟踪技术相结合。 第四代反病毒技术基于多位 CRC校验和扫描机理、启发式智能代码分析模块、动态数据还原模块（能查出隐蔽性极强的压缩加密文件中的病毒）、内存解毒模块、自身免疫模块等先进解毒技术，能够较好地完成查解毒的任务。 第五代反病毒技术主要体现在反蠕虫病毒、恶意代码、邮件病毒等技术。这一代反病毒技术作为一种整体解决方案出现，形成了包括漏洞扫描、病毒查杀、实时监控、数据备份、个人防火墙等技术的立体病毒防治体系。2018/8/7 7目前的流行技术 虚拟机技术 宏指纹识别技术 驱动程序技术 计算机监控技术 数字免疫系统 网络病毒防御技术 立体防毒技术 2018/8/7 8虚拟机技术 接近于人工分析的过程 原理 用程序代码虚拟出一个 CPU来，同样也虚拟CPU的各个寄存器，甚至将硬件端口也虚拟出来，用调试程序调入 “病毒样本 ”并将每一个语句放到虚拟环境中执行，这样我们就可以通过内存和寄存器以及端口的变化来了解程序的执行，从而判断是否中毒。 加密、变形等病毒2018/8/7 9 主要执行过程： 在查杀病毒时，在机器虚拟内存中模拟出一个 “指令执行虚拟机器 ”； 在虚拟机环境中虚拟执行（不会被实际执行）可疑带毒文件； 在执行过程中，从虚拟机环境内截获文件数据，如果含有可疑病毒代码，则说明发现了病毒。 杀毒过程是在虚拟环境下摘除可疑代码，然后将其还原到原文件中，从而实现对各类可执行文件内病毒的杀除。2018/8/7 10宏指纹识别技术 宏指纹识别技术（ Macro Finger）是基于 Office复合文档 BIFF格式精确查杀各类宏病毒的技术。 其特点是： 1、能够查杀 Word、 Excel、 PowerPoint等各类 Office文档中的宏病毒； 2、能够查出 Word、 Excel、 PowerPoint加密文件中的宏病毒； 3、能够清除文档中未知名的宏，因此，从理论上来说可以查杀所有的未知宏病毒； 4、可以修复部分宏病毒或其他不合格杀毒产品破坏过的 Office文档。2018/8/7 11驱动程序技术 DOS设备驱动程序 VxD（虚拟设备驱动）是微软专门为Windows制定的设备驱动程序接口规范。 NT核心驱动程序 WDM（ Windows Driver Model）是Windows驱动程序模型的简称。 作用：开发监控程序、接近系统内核的程序2018/8/7 1232位内核技术 首先， 32位较 16位大大扩展了内存寻址空间，这是显而易见的，但就反病毒技术而言，这一问题以前并没有引起我们足够的重视。 其次， 16位应用程序无法实现多任务、多线程调度。 系统支持问题。2018/8/7 13计算机监控技术 计算机监控技术（实时监控技术）： 注册表监控 脚本监控 内存监控 邮件监控 文件监控等 优点： 解决了用户对病毒的 “未知性 ”，或者说是 “不确定性 ”问题。 实时监控是先前性的，而不是滞后性的。2018/8/7 14监控病毒源技术 邮件跟踪体系 例如，消息跟踪查寻协议（ MTQP-Message Tracking Query Protocol） 网络入口监控防病毒体系 例如， TVCS-Trend Virus Control System2018/8/7 15无缝连接技术 嵌入式杀毒技术 无缝连接是在充分掌握系统的底层协议和接口规范的基础上，开发出与之完全兼容的产品的技术。 应用实例 右键快捷方式 硬盘格式的支持Office套件的支持等2018/8/7 16主动内核技术 在操作系统和网络的内核中加入反病毒功能，使反病毒成为系统本身的底层模块，而不是一个系统外部的应用软件是主动内核技术。 应用难度大 开源 非开源 2018/8/7 17检查压缩文件技术 压缩文件是病毒的重要藏身地之一。 杀毒思路： 第一种：压缩病毒码 第二种：先解压后查毒（需要虚拟执行技术）2018/8/7 18启发式代码扫描技术 启发式指的 “自我发现的能力 ”或 “运用某种方式或方法去判定事物的知识和技能。 ” 一个运用启发式扫描技术的病毒检测软件，实际上就是以特定方式实现的动态跟踪器或反编译器，通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。2018/8/7 19 例如，一段程序以如下序列开始：MOV AH, 5INT 13h 该程序实现调用格式化盘操作的 BIOS指令功能，那么这段程序就高度可疑值得引起警觉， 尤其是假如这段指令之前不存在取得命令行关于执行的参数选项，又没有要求用户交互地输入继续进行的操作指令时，可以有把握地认为这是一个病毒或恶意破坏的程序。2018/8/7 20 可疑的功能： 格式化磁盘类操作 搜索和定位各种可执行程序的操作 实现驻留内存的操作 发现非常的或未公开的系统功能调用的操作等等。 不同的操作赋予不同的权值 2018/8/7 21免疫技术 免疫的原理 传染模块要做传染条件判断 病毒程序要给被传染对象加上传染标识 黑色星期五 在正常对象中自动加上这种标识，就可以不受病毒的传染，起到免疫的作用 计算机病毒免疫的方法1针对某一种病毒进行的计算机病毒免疫 2018/8/7 22 把感染标记写入文件和内存，防止病毒感染 缺点 : 对于不设有感染标识的病毒不能达到免疫的目的。 当出现这种病毒的变种不再使用这个免疫标志时，或出现新病毒时，免疫标志发挥不了作用。 某些病毒的免疫标志不容易仿制，非要加上这种标志不可，则对原来的文件要做大的改动。 不可能对一个对象加上各种病毒的免疫标识。 这种方法能阻止传染，却不能阻止已经感染的病毒的破坏行为。2018/8/7 23 2基于自我完整性检查的计算机病毒的免疫方法。 为可执行程序增加一个免疫外壳，同时在免疫外壳中记录有关用于恢复自身的信息。 执行具有这种免疫功能的程序时，免疫外壳首先得到运行，检查自身的程序大小、校验和，生成日期和时间等情况，没有发现异常后，再转去执行受保护的程序。 这种免疫方法可以看作是一种通用的自我完整性检验方法。 缺点和不足：2018/8/7 24 （ 1）每个受到保护的文件都要增加 1KB-3KB，需要额外的存储空间。 （ 2）现在使用中的一些校验码算法不能满足防病毒的需要，被某些种类的病毒感染的文件不能被检查出来。 （ 3）无法对付覆盖方式的文件型病毒。 （ 4）有些类型的文件不能使用外加免疫外壳的防护方法，这样将使那些文件不能正常执行。 （ 5）当某些尚不能被病毒检测软件检查出来的病毒感染了一个文件，而该文件又被免疫外壳包在里面时，这个病毒就像穿了 “保护盔甲 ”，使查毒软件查不到它，而它却能在得到运行机会时跑出来继续传染扩散。2018/8/7 25数字免疫系统 数字免疫系统主要包括封闭循环自动化网络防病毒技术和启发式侦测技术。 前者是一个后端基础设施，可以为企业级用户提供高级别的病毒保护。 后者则可以自动监视可疑行为，为网络防病毒产品对付未知病毒提供依据。 数字免疫系统还可以将病毒解决方案广泛发送到被感染的 PC机上。 数字免疫系统的超流量控制。2018/8/7 26立体防毒技术 全方位的威胁 - 立体防病毒体系 立体防毒体系将计算机的使用过程进行逐层分解，对每一层进行分别控制和管理，从而达到病毒整体防护的效果。 该体系通过安装杀毒、漏洞扫描、病毒查杀、实时监控、数据备份、个人防火墙、游戏保护等多种病毒防护手段，将电脑的每一个安全环节都监控起来，从而全方位地保护了用户电脑的安全。2018/8/7 27广谱特征码 是对特征码法的改变，本质上一样。 在特征码中加入掩码等。2018/8/7 28网络病毒防御技术 网络的复杂性 - 网络病毒防御技术 用户桌面、工作站、服务器、 Internet网关和病毒防火墙等各个层次进行防护： 用户桌面的防护： 桌面系统和远程 PC是主要的病毒感染源。 Internet网关的防护。 群件和电子邮件是网络中重要的通信联络线。 防火墙的防护。 在防火墙上过滤多种协议的病毒。 基于工作站的防治技术。 工作站就