《反病毒技术概述》PPT课件.ppt

反病毒技术概述 反病毒技术剖析 反病毒技术剖析 u反病毒技术概述 u病毒诊断技术 u反病毒引擎技术剖析 反病毒技术概述 病毒疫苗举例： “美丽莎”病毒修改Windows注册表 项： HKEY_CURRENT_RSERSoftwareMicr osoftOffice,增加表项：Melissa 并赋值为byKwyjibo 反病毒技术剖析 u反病毒技术概述 u病毒诊断技术 u反病毒引擎技术剖析 病毒诊断技术 计算机病毒比较法诊断原理 计算机病毒校验法诊断原理 计算机病毒扫描法诊断原理 计算机病毒行为监测法诊断原理 计算机病毒行为感染试验法诊断原理 计算机病毒行为软件模拟法诊断原理 计算机病毒分析法诊断的原理 病毒诊断技术计算机病毒比较法 病毒诊断技术计算机病毒比较法 病毒诊断技术计算机病毒比较法 病毒诊断技术计算机病毒比较法 病毒诊断技术计算机病毒比较法 病毒诊断技术 计算机病毒比较法诊断原理 计算机病毒校验法诊断原理 计算机病毒扫描法诊断原理 计算机病毒行为监测法诊断原理 计算机病毒行为感染试验法诊断原理 计算机病毒行为软件模拟法诊断原理 计算机病毒分析法诊断的原理 病毒诊断技术计算机病毒扫描法 扫描法是用每一种病毒体含有的特定字符 串对被检测的对象进行扫描。 如果在被检测对象内部发现了某一种特定 字符串，就表明发现了该字符串所代表的 病毒。 特征代码扫描法 特征字扫描法 病毒诊断技术计算机病毒扫描法 特征代码扫描法 u病毒扫描软件由两部分组成：一部分 是病毒代码库，含有经过特别选定的各 种计算机病毒的代码串； u另一部分是利用该代码库进行扫描的 扫描程序。 病毒诊断技术计算机病毒扫描法 选择代码串的规则是： 代表性 避开数据区。 尽量使特征代码长度简短 区别于其它病毒及其变种 将病毒与正常的非病毒程序区分开 病毒诊断技术计算机病毒扫描法 例如给定特征串： “E9 7C 00 10 ? 37 CB” “E9 7C 00 10 27 37 CB” “E9 7C 00 10 9C 37 CB” 又例如： “E9 7C 37 CB” “E9 7C 00 37 CB” “E9 7C 00 11 37 CB” “E9 7C 00 11 22 37 CB” “E9 7C 00 11 22 33 44 37 CB”（不匹配） 病毒诊断技术计算机病毒扫描法 病毒诊断技术计算机病毒扫描法 特征字扫描法 u速度更快、误报警更少，但仍然存在 特征代码扫描法所具有的一些缺点。 u只需从病毒体内抽取很少几个关键的 特征字组成特征字库。 u需要处理的字节很少，而又不必进行 串匹配，加快了识别速度。 病毒诊断技术行为监测法诊断原理 检测的行为包括 u占用INT 13H u修改DOS系统数据区的内存总量 u以COM和EXE文件做写入动作 u病毒程序与宿主程序的切换 病毒诊断技术行为感染试验法 行为感染试验法 u感染实验是一种简单实用的检测病毒 方法。 u当病毒检测工具不能发现病毒时，使 用感染实验法。 u可以检测出病毒检测工具不认识的新 病毒，摆脱对检测工具的依赖，检测 可疑新病毒 病毒诊断技术行为软件模拟法 行为软件模拟法 u针对多太性病毒的检测与查杀 u虚拟软件法与特征代码法相结合 病毒诊断技术计算机病毒分析法 计算机病毒分析法 u确认磁盘引导区和程序中是否含有病毒 u确认病毒的类型和种类，判定是否是新病毒 u搞清楚病毒体的大致结构，提取特征识别用 的字符串或特征字 u详细分析病毒代码，为制定相应的反病毒措 施制定方案 病毒诊断技术计算机病毒分析法 反病毒技术剖析 u反病毒技术概述 u病毒诊断技术 u反病毒引擎技术剖析 病毒诊断技术计算机病毒分析法 反病毒软件的构成 应用程序包括各种平台的各种应用和监控程序应用程序包括各种平台的各种应用和监控程序 对象管理程序对象管理程序 引擎主控对象引擎主控对象 病毒库管理对象病毒库管理对象 应用程序 反病毒引擎 查杀毒引擎查杀毒引擎复合文件拆分对象复合文件拆分对象 病毒库文件病毒库文件 引擎在反病毒软件中的位置 对多种平台提供支持 支持多种平台的反病毒引擎是引擎 技术的发展方向，常见的有支持Dos 、Windows、Linux for intel、 Unix for intel、Freebsd for intel、Novell等多种平台以及在此 基础上开发针对不同用户群的不同 应用。 DOS杀毒引擎 宏病毒查杀引擎特征码匹配 脚本病毒引擎、邮件、邮箱、压缩 包拆分引擎、反病毒虚拟机运行 特征匹配 未知病毒行为判定技术和虚拟脱壳 技术 引擎查杀毒技术的发展历程 引擎体系架构的变迁 模块化设计方式 2001年面向对象设计方式，基于C+的设 计思想增强了引擎的可靠性和易维护性； 2003年将com组件的设计思想引入了引擎 设计中，实现了引擎的对象化和组建化， 增强了引擎的易用性、扩展性、维护性和 移植的方便性 反病毒引擎的体系架构 引擎的体系构架 反病毒引擎的技术特征 引擎的邮件、邮箱、压缩包对象在引擎中 统称为复合文件对象，在最新的引擎的复 合文件对象中采取了虚拟文件系统技术及 将复合文件对象看成一个文件系统（也可 以理解为一个目录），采用这种方式可以 便捷地对邮件、邮箱、压缩包进行管理， 处理方式更加灵活。 反病毒引擎的技术特征 邮件、邮箱、压缩包拆分技术 利用虚拟机对程序进行虚拟执行，通过 返回结果判定文件是否被加壳。 真实脱壳是对加壳算法进行分析后生成 脱壳算法。 反病毒引擎的技术特征 虚拟与真实相结合的脱壳技术 利用智能代码分析技术（即基于对典型病 毒的代码特征和执行流程进行分析，提取 经典病毒的典型代码特征和逻辑特征并作 为查杀病毒的特征串）可对木马程序提取 指纹信息。通过指纹，引擎可以快速地排 除正常文件。 反病毒引擎的技术特征 木马指纹特征技术 查杀病毒时在机器虚拟内存中模拟出一个“指令 执行虚拟机”； 在虚拟机环境中虚拟执行（不会被实际执行 ）带毒文件； 在执行过程中，从虚拟机环境内截获文件数 据，如果含有可疑的病毒代码，则杀毒后将其 还原到文件中，从而实现对各类可执行文件内 病毒的查杀。 采用这种方法可以对付加密型、变形型、程 序自压缩文件内的病毒。 反病毒引擎的技术特征 利用可执行引擎执行特征提取技术 病毒更新换代，向多元化发展 依赖网络进行传播 攻击方式多样 利用系统漏洞成