计算机病毒原理及防范技术 王路群 第10章 病毒对抗技术新

Virus计算机病毒原理及理论 第十章 病毒对抗技术 2018/8/7 1第十章 病毒对抗技术 10.3 病毒防御技术10.2 病毒的清除10.1 病毒的检测技术 本章学习导读10.4 病毒样本的获取方法本章小结2本章学习导读本章主要讲解如何对抗病毒。首先介绍如何检测找到病毒，然后讲解如何将找到的病毒清除，接着讲解在发现病毒之前如何去防御病毒，最后讲解如何去获取病毒样本。310. 1 病毒的检测技术10.1.4 校验检测技术 10.1.3 行为监测技术 10.1.2 特征值检测技术 10.1.1 危险信号10.1.5 启发式扫描 10.1.6 虚拟机技术 410.1.1 危险信号 v1.磁盘的主引导扇区的信号 v检查硬盘主引导扇区是否被感染，可用 DEBUG编写一段程序，读出 0面， 0柱面， 1扇区的内容。或者使用软件，在二级菜单中选物理扇区（Absolute sector），在提示下输入 0面（side）， 0柱面（ cylinder）， 1扇区（sector），读出主引导扇区。 510.1.1 危险信号v2.可执行文件的信号v对于寄生在可执行文件中的病毒来说，病毒程序一般通过修改原有可执行文件，使该文件执行首先转入病毒程序引导模块，该引导模块也完成把病毒程序的其它两个模块驻留及初始化的工作，然后把执行权交给执行文件，使系统及执行文件在带毒的状态下运行。 610.1.1 危险信号v3.内存空间的信号v计算机病毒在传染或执行时，必然要占有一定的内存空间，并驻留在内存中，等待时机进行攻击或传染。 710.1.1 危险信号v4.特征的信号v一些常见的病毒具有很明显的特征，即病毒中含有特殊的字符串。用抗病毒软件检查文件中是否存在这些特征，从而判定是否发生感染。特征搜索法可以确诊病毒类型。 810.1.2 特征值检测技术 v计算机病毒的特征值是指计算机病毒本身在特定的寄生环境中确认自身是否存在的标记符号，即指病毒在传染宿主程序时，首先判断该病毒欲传染的宿主是否已染有病毒时，按特定的偏移量从文件中提出的特征值。910.1.2 特征值检测技术 v1.传统的特征值搜索技术 v（ 1）采集已知的病毒样本。 v（ 2）在病毒样本中，抽取特征值。 v（ 3）获取病毒特征值 v（ 4）将特征串纳入病毒特征数据库1010.1.2 特征值检测技术v 2.传统的病毒特征串搜索技术的缺陷 v （ 1）当被扫描的文件很长时，扫描所花时间也越多。v （ 2）不容易选出合适的特征串，很多时候会发出假警报。v （ 3）在新病毒的特征串还未加入病毒代码库时，老版本的扫毒程序无法识别出新病毒。v （ 4）怀有恶意的计算机病毒制造者得到代码库后，会很容易地改变病毒体内的代码，生成一个新的变种，使扫描程序失去检测它的能力。v （ 5）容易产生误警报。v （ 6）不易识别 Mutation Engine类病毒。v （ 7）搜集已知病毒的特征代码，费用开销大。v （ 8）在网络上使用效率低。1110.1.2 特征值检测技术v 3.广谱特征串选取v （ 1）提取变形病毒的多个感染样本。v （ 2）在每个样本的相同位置抽取适当长度的病毒代码。v （ 3）比较这些病毒特征串，依次记下各个样本完全相同的代码。v （ 4）如果在各个样本的病毒特征串中，从第一组（有 1个字节以上含1个字节）相同的特征串到第二组相同的特征串之间的代码，不仅常变换，而且在每一个样本中，它们之间的间距也不相同。如果是在 32个字节内变化，可以用双 “%”百分号来过滤这些变化的代码。v （ 5）按以上方法处理完病毒特征串，最后得到的就是病毒的广谱特征串。1210.1.2 特征值检测技术v4.建立病毒广谱特征串选取注意事项v（ 1）病毒广谱特征串后面的汉字串中不得使用西文双引号。v（ 2）双问号 “？ ”和百分号 “%”可交叉使用。v（ 3）当两组病毒特征代码之间的距离大于 32个字节时，大于部分可增加一些双问号 “？ ”来接续，或多用几个 “%”双百分号。 v（ 4）特征值中至少要有三组不变的病毒代码。 1310.1.2 特征值检测技术v 特征值检测的优点v1）当特征串选择得很好时，病毒检测软件让计算机用户使用起来方便快速，对病毒了解不多的人也能用它来发现病毒。v2）不用专门软件，用编辑软件也能用特征串扫描法去检测特定病毒。v3）可识别病毒的名称。v4）误报警率低。v5）依据检测结果，可做杀毒处理。 1410.1.3 行为监测技术 v利用病毒的特有行为特征性来监测病毒的方法，称为行为监测法。 v通过对病毒多年的观察、研究，发现病毒有一些共同行为。在正常应用程序中，这些行为比较罕见，这就是病毒的行为特性。 1510.1.3 行为监测技术v监测病毒的行为特征：v（ 1）写注册表v（ 2）自动联网请求v（ 3）占用 INT 13Hv（ 4）修改 DOS系统数据区的内存总量v（ 5）对 COM和 EXE文件做写入动作v（ 6）病毒程序与宿主程序的切换 1610.1.4 校验检测技术 v将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，从而可以发现文件是否感染，这种方法叫校验和法，它既可发现已知病毒又可发现未知病毒。 1710.1.4 校验检测技术v1.长度比较法及内容比较法 v病毒感染系统或文件，必然引起系统或文件的变化，既包括长度的变化，又包括内容的变化。因此，将无毒的系统或文件与被检测的系统或文件的长度和内容进行比较，即可发现病毒。长度比较法和内容比较法就是从长度和内容两方面进行比较而得名。 1810.1.4 校验检测技术v2.内存比较法 v这是一种对内存驻留病毒进行检测的方法。由于病毒驻留于内存，必须在内存中申请一定的空间，并对该空间进行占用、保护。因此，通过对内存的检测，观察其空间变化，与正常系统内存的占用和空间进行比较，可以判定是否，有病毒驻留其间。 1910.1.4 校验检测技术v3.中断比较法 v病毒为实现其隐蔽和传染破坏之目的，常采用 “截留盗用 ”技术，更改、接管中断向量，让系统中断向量转向执行病毒控制部分。因此，将正常系统的中断向量与有毒系统的中断向量进行比较，可以发现是否有病毒修改和盗用中断向量。 2010.1.4 校验检测技术v4.文件校验和 v对文件内容（可含文件的属性）的全部字节进行某种函数运算，这种运算所产生的适当字节长度的结果就叫做校验和。v这种校验和在很大程度上代表了原文件的特征，一般文件的任何变化都可以反映在校验和中。 2110.1.5 启发式扫描 v1.人工智能v一个运用启发式扫描技术的病毒检测软件，实际上就是以特定方式实现的动态调试器或反编译器，通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。 2210.1.5 启发式扫描 v2.扫描信号标志 v对于某个文件来说，被设置的标志越多，染毒的可能性就愈大。v常规干净程序极少会设置一个标志，但如果要作为可疑病毒报警的话，则至少要设置两个以上标志。 2310.1.5 启发式扫描 v3.虚报 v正如任何其他的通用检测技术一样，启发式扫描技术有时也会把一个本无病毒的程序指证为染毒程序，这就是所谓的查毒程序虚报谎报现象。v虚报的原因很简单 被检测程序中含有属于病毒所使用或含有的可疑功能。 2410.1.6 虚拟机技术 v虚拟机技术，该技术也称为软件模拟法，它是一种软件分析器，用软件方法来模拟和分析程序的运行，而且程序的运行不会对系统起实际的作用（仅是模拟），因而不会对系统造成危害。v其实质都是让病毒在虚拟的环境下执行。 2510.2 病毒的清除10.2.4病毒的去激活 10.2.3 宏病毒的清除 10.2.2 文件型病毒的清除 10.2.1 引导型病毒的清除 2610.2 病毒的清除 v将染毒文件的病毒代码摘除，使之恢复为可正常运行的健康文件，称为病毒的清除，有时称为对象恢复。v清除可分为手工清除和自动清除两种方法。 2710.2.1 引导型病毒的清除 v引导型病毒感染时的攻击部位有：v（ 1）硬盘主引导扇区。v（ 2）硬盘或软盘的 Boot扇区。 2810.2.1 引导型病毒的清除v 1.消除引导扇区型病毒 v 提取引导区 覆盖引导区v Cdebug Cdebugv -L100 盘号 0 1 -N Dosboot.21sv -N Dosboot.2