课件：计算机病毒与反病毒技术网络数据安全.ppt

计算机病毒反病毒技术,-威胁健康的杀手,什么事计算机病毒？ 常见的计算机病毒有哪些？ 病毒对计算机的破坏性有哪些？ 计算机病毒能损坏计算机硬件吗？ 杀毒软件为什么能杀毒？ 杀毒引擎和病毒库的更新谁更重要 病毒文件的清除、隔离、删除是什么意思？,你了解计算机病毒吗？,授课内容,计算机病毒技术 计算机病毒相关概念 计算机病毒特点 计算机病毒分类 计算机病毒发展的新趋势 反病毒技术 病毒命名 杀毒技术,考点,计算机病毒概念 计算机病毒类型 常见病毒原理 计算机病毒命名,授课内容,计算机病毒技术 计算机病毒相关概念 计算机病毒分类 计算机病毒特点 反病毒技术 病毒命名 杀毒技术 云安全,1.计算机病毒概述,病毒发展新趋势-病毒产业链,制造、贩卖、交易、传播、使用“一条龙”,病毒发展新趋势,病毒发展新趋势-病毒产业链,病毒是一种破坏性代码,计算机病毒基本概念,病毒的出现,20世纪60年代初，美国贝尔实验室里，三个年轻的程序员Victor A Vysottsky 、 Malcolm Douglas McIlroy和Robert H Morris写了一个名为“磁芯大战”的游戏，游戏中通过复制自身来摆脱对方的控制，是 “病毒”的第一个雏形。 1983年11月，在国际计算机安全学术研讨会上，美国计算机专家Len .Cohen博士首次将病毒程序在VAX/750计算机上进行了实验，第一个计算机病毒就这样出生在实验室中。 1986年，巴基斯坦两个编软件为生的兄弟，为了打击盗版软件的使用者，设计出一个“Pakistan”的病毒，该病毒只传染软盘引导。成为世界上流行的一个真正的病毒。 1988年，Robert Tappan Morris写出了世界上第一个通过网络传播的病毒，这个程序造成的经济损失大约在9，600万美元左右。人们从这时开始，才意识到病毒能够带来什么样的危害。,计算机病毒历史,1991年 在“海湾战争”中，美军第一次将计算机病毒用于实战 1992年 出现针对杀毒软件的“幽灵“病毒，如One-half。 1996年 首次出现针对微软公司Office的“宏病毒“。 1997年 1997年被公认为计算机反病毒界的“宏病毒”年。 1998年 出现针对Windows95/98系统的病毒，如CIH（1998年被公认为计算机反病毒界的CIH病毒年）。 1999年 Happy99等完全通过Internet传播的病毒的出现标志着Internet病毒将成为病毒新的增长点。,计算机病毒定义,人为编制的计算机程序 干扰计算机正常运行并造成计算机硬件故障 破坏计算机数据 可自我复制,输,入,输,出,设,备,计算机基本组成及工作过程 寄存器组,运算器 控制器 CPU 存储器,R1 Rn PC,1.取指令 2.分析指令 3.取操作数 4.执 行操作 5.判断条件 6.继续执行下条指 令 or 转移 or 中断 408,病毒工作条件,CPU只会严格按照程序中的指令工作。把信息写到指定位置，覆盖掉原来存放在那里的信息。,CPU并不知道要求它转去执行的到底是什么程序，也不知道指令要求写入存储器的是什么信息，被覆盖掉的又是什么，这个存储数据的操作是正常的程序操作，还是计算机病毒的破坏性动作。,计算机病毒小结,1994年2月18日， 在颁布实施的中华人民共和国计算机信息系统安全保护条例中，计算机病毒中被明确定义为： 指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。,403,计算机病毒小结,（1）开个玩笑。 （2）报复心理。 （3）版权保护。 （4）特殊目的。,编写计算机病毒程序的原因,计算机病毒的特点,传染性 自身不断繁殖并传染给其他计算机 破坏性 破坏数据 占用资源，降低计算机系统的工作效率 非授权执行性（非法性） 并不是管理员赋予的许可,计算机病毒的特点,潜伏性 长期隐藏在系统中 特定条件下启动 可触发性 被激活的计算机病毒才能破坏计算机系统 隐蔽性 病毒程序的隐蔽（寄生在宿主程序中） 病毒运行隐蔽,静态,动态,感染模块,引导模块,触发模块,病毒发作,满足破坏条件,是,是,满足感染条件,携毒潜伏或消散,病毒的工作机制,侵入,各类病毒原理,计算机病毒分类,计算机病毒分类,1）按病毒连接方式分类 计算机病毒必须有一个攻击对象以实现对计算机系统的攻击。 源码型病毒(少见)： 在高级语言所编写的程序编译前插入到原程序中，经编译成为合法程序的 一部分。 入侵型病毒(编写较难) 将自己插入到感染的目标程序中，使病毒程序与目标程序成为一体 外壳类病毒(容易编写，检查和删除) 使用特殊算法把自己压缩到正常文件上，这样当被害者解压时即执行病毒程序。 操作系统病毒(最常见，危害性最大) 病毒加入操作系统或者取代部分操作系统进行工作。,2）按病毒破坏的能力 良性： 不包含有立即对计算机系统产生直接破坏作用的代码。 。 恶性病毒： 代码中包含有损伤和破坏计算机系统的操作，在发作时会对系统产生直接的破坏作用。,计算机病毒分类,计算机病毒分类,3)传染方式分类：,引导型病毒系统引导过程,Power On,CPU & ROM BIOS Initializes,POST Tests,Look for boot device,MBR boot Partition Table Load,DOS Boot Sector Runs,Loads IO.SYS MSDOS.SYS,DOS Loaded,引导区病毒原理,主引导记录和分区引导记录像是一本书上的目录，失去了它们，计算机这个机器脑袋就不会找到磁盘上存放的文件了。,Page 30,引导型病毒引导记录,主引导记录（MBR）,A,引导型病毒感染与执行过程,系统引导区,引导 正常执行,病毒,引导系统,病毒体,病毒的激活过程,内存空间,空闲区,带病毒程序,int8,int8,int8,int8,int8,int8,int8,int8,int8,int8,int8,int8,空闲区,正常程序,正常程序,正常程序,int8,是,破坏！,int8,引导区病毒举例,1986年初，在巴基斯坦的拉合尔（Lahore），巴锡特（Basit Farooq Alvi）和阿贾德（Amjad Farooq Alvi） 两兄弟编写了“巴基斯坦”（Pakistan）病毒，也被称为“(C)Brain”病毒。这是一种具有破坏性的病毒。 “巴基斯坦”病毒在一年之内就流传到了世界各地，并且很快衍生出了很多变种，其中有一些变种造成的损失比原始病毒造成的损失还大。 这两兄弟在当地经营着一家销售IBM PC兼容机和软件的小商店，他们在接受时代周刊的采访时说，写出这个病毒的初衷只不过是为了保护自己写出的软件不被盗版而已。,Page 34,比较知名的还有“小球”(Pingpang)、“石头”（Stone）以及“米开朗基罗”（Michelangelo）。 “小球”病毒是最早传入我国的计算机病毒，最早是在大连市统计局被发现的。病毒发作时，屏幕上会出现一个小球弹跳不休，碰到屏幕边缘的时就反弹，像乒乓球一样。 感染了“石头”病毒的计算机屏幕上将会显示“Your PC is Now Stoned.”，并且可能导致某些硬盘和软盘无法再使用。 “Michelangelo”每年3月6号发作这一天是米开朗基罗的生日发作起来会删掉当前磁盘上的所有数据。,Page 35,引导区病毒举例,引导区病毒检测,特征匹配 例如，在香港病毒:1F 58 EA 1A AF 00 F0 9C: POP AX JMP F000AF1A PUSHF 行为监控 对中断向量表的修改 对引导记录的修改 对.exe, .com文件的写操作 驻留内存,文件感染型病毒（1）,攻击磁盘上的文件。 依附在可执行的文件(.com和.exe）中，并等待程序的运行，并驻留在内存中。 病毒完成它的工作后，其宿主程序才被运行，使人看起来仿佛一切都很正常。,正常 程序,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,病毒程序头,程序头,病毒程序,病毒程序,病毒程序,病毒程序,程序头,文件型病毒感染机理,文件感染型病毒防御,许多Windows病毒都是将自己的代码插入到载体文件中去，从而文件长度会有所增加。 “1575”、“1465”、“2062”、“4096”等病毒，就是用病毒所占的字节数来命名的。,文件型的病毒实例,1989年，出现 把自己复制到可执行文件中，当用户运行这个可执行文件的时候，病毒就会在内存中复制一份，并且传染那些未被感染的可执行文件。 最出名的是“黑色星期五” 和它的一个变种“耶路撒冷”。 这种病毒每到既是十三号又是星期五的日子发作，一旦发作计算机里的数据基本上就保不住了。,Page 40,混合型病毒,程序/可执行 文件 NE, PE (*.EXE),其它带有可执行代码的文件 (*.SCR, *.HLP, *.OCX),设备驱动程序 LE, PE (*.DLL, *.DRV, *.VXD),通常感染的文件类型：,宏病毒(windows时代病毒),宏 Office软件包提供的一种工具，可以让用户避免重复工作，就像是在DOS下的批处理，在用户发出指令后，完成预先定义好的一系列工作 Word宏是使用Word Basic语言来编写的。 宏病毒 利用软件所支持的宏命令编写成的具有复制、传染能力的宏。 一种跨平台式计算机病毒,Page 42,宏病毒,寄存在文档（.doc）或模板(.dot)的宏中 一旦打开这样的文档，其中的宏就自动执行，宏病毒激活，转移到计算机上，并驻留在Normal模板上，所有自动保存的文档都会染上这种宏病毒 如其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。,Page 43,宏病毒工作机理,有毒文件.doc,Normal.dot,无毒文件.doc,Normal.dot,宏病毒症状,被感染的文件的大小会增加 当你关闭文件时程序会问你是否要保存所做的更改，而实际上你并没有对文件做任何改动。 普通的文件被当作模板保存起来（针对Word宏病毒）,宏病毒清除,查看“可疑”的宏 工具宏 管 理器，单击“ 宏方案项”，在“宏 有效范围” 中打开要检查的模板文档。 列表框中就会出现该文档模板中所含的宏，将不明来源的自动执行宏删除。 禁止可能不安全的宏运行 安全性“安全性” 安全性设为“高” 防备Autoxxxx宏 开始运行 winword.exe /m DisableAutoMacros,Page 46,5.网络病毒,单机病毒：以磁盘为传染媒介 网络病毒：以网络中传输的命令或数据作为媒介。,Page 48,特洛伊木马,5.网络病毒,特洛伊木马程序,蠕虫,网页病毒,特洛伊木马,英文名字：trojan （古希腊故事） 通过伪装成其他程序、有意隐藏自己恶意行为的程序，通常留下一个远程控制的后门。 没有自我复制的功能 非自主传播 用户主动发送给其他人 放到网站上由用户下载 网页 邮件,木马分类,根据对计算机的动作方式，木马可分为： 远程控制型 主流木马，c/s结构 信息窃取型 网银木马、游戏木马 键盘记录型 毁坏型,1、线上游戏窃取者,Trojan.PSW.Win32.GameOL,2.安德夫木马,Trojan.Win32.Undef,3.梅勒斯Rootkit,RootKit.Win32.Mnless,4.Flash漏洞攻击器,Hack.Exploit.Swf,5.奇迹木马,Trojan.PSW.SunOnline,6.安德夫Rootkit,RootKit.Win32.Undef,7.西游木马,Trojan.PSW.Win32.XYOnline,8、POPHOT点击器,Trojan.Clicker.Win32.PopHot,9、代理蠕虫,Worm.Win32.Agent,10、QQ通行证木马,Trojan.PSW.Win32.QQPass,以盗取网络游戏帐号为目的的“线上游戏窃取者”病毒成为2008年毒王，该病毒及其变种总共感染计算机2000余万台次，是排行第二的“安德夫木马”病毒感染台次的3倍。 “梅勒斯Rootkits”排行第三，它是08年最流行的Rootkits工具，可以帮助木马病毒隐藏自身、逃避反病毒软件的追杀，甚至会关闭多种主流杀毒软件，使其失效。,2008年度互联网电脑病毒疫情,木马防范,使用专业厂商的正版防火墙，使用正版的杀毒软件，并能够正确地对防火墙和杀毒软件进行配置。 使用工具软件隐藏自身的实际地址。 注意自己电子邮箱的安全： 不要打开陌生人的邮件，更不要在没有防护措施的情况下打开或下载邮件中的附件。,不要轻易运行别人通过聊天工具发来的东西，对于从网上下载的资料或工具应该使用杀毒软件查杀确认安全后再使用。 显示文件扩展名，以便及时地发现木马文件。 根据文件的创建日期观察系统目录下是否有近期新建的可执行文件，如果有，则可能存在病毒文件。,木马防范,蠕虫（Worm）,一个独立的计算机程序，不需要寄生于宿主程序内 自我复制，自主传播（Mobile） 占用系统或网络资源、破坏其他程序 不伪装成其他程序，靠自主传播 利用系统漏洞； 利用电子邮件（无需用户参与） 蠕虫病毒： “爱虫”、“欢乐时光”、“红色代码”,蠕虫,计算机蠕虫是指一个程序（或一组程序），它会自我复制、传播到别的计算机系统中去。,Page 57,蠕虫（Worm）,Page 58,1988年，小里斯正在Cornell大学读研究生。他想统计一下当时连接在网络上的计算机的数目，所以就写了一个程序，并且在11月2日从麻省理工学院的一台计算机上释放了出去。他让这个程序有一定的概率对自己进行复制，无论它所在的计算机有没有被感染都是这样，以防止管理员们删除掉他的程序。 但程序有点问题，开始无休止地复制自身，占据了大量磁盘空间、运算资源以及网络带宽，最终导致网络瘫痪和计算机死机。 受到影响的包括5个计算机中心和12个地区结点以及在政府、大学、研究所和企业中的超过250，000万台计算机。 后来他被判处1万美元罚款和400小时的社区服务。 Morri的这个实验为计算机病毒添加了一个全新的分类，叫做”蠕虫”（Worm）。,蠕虫实例（1）,莫里斯撰写的“蠕虫”的特征是在网络上疯狂搜寻，寻找一切没有被传染的计算机。这一类病毒在发作时会大量占据计算机的运算资源和内存，并且造成网络拥堵。只要连接互联网，它就会传播，令人防不胜防。 后来的大量病毒借鉴了这一做法，“梅丽莎”（Melissa）、“爱虫”（ILOVEYOU）、“红色代码”（Code Red）、“SQL监狱”（SQL Slammer）、“冲击波”（Blaster）、“震荡波”（Sasser）等是其中的最为知名的，并且都衍生出了数十种至数百种其他的变种。,蠕虫实例（2）,1999年，”Melissa” 会向Outlook的名单中前五十个联系人发送带毒的邮件，每份邮件都带着一个Word文档作为附件。 收到邮件的用户打开这个Word文档的时候，他就会感染这个病毒，进行新一轮的邮件发送。 Melissa最终导致的损失可能超过8，000万美元。 其制造者是当时31岁的David L. Smith。 在FBI和新泽西州警察的合作下， Smith很快就被抓获了，并且被判处20个月的监禁以及5，000美元罚款。 这是美国历史上第一次对病毒撰写者判处如此严厉。,蠕虫实例（3）,网页病毒,网页病毒使得各种非法恶意程序能够得以被自动执行，在于它完全不受用户的控制。你一旦浏览含有病毒的网页，即可以在你不知不觉的情况下马上中招。 网页病毒都是利用JS.ActiveX、WSH共同合作来实现对客户端计算机，进行本地的写操作，如改写你的注册表，在你的本地计算机硬盘上添加、删除、更改文件夹或文件等操作。 而这一功能却恰恰使网页病毒、网页木马有了可乘之机。网页病毒容易编写和修改，使用户防不胜防。,挂马网站和恶意网页,网络病毒的特点及危害,破坏性强,传播性强,针对性强,扩散面广,传染方式多,消除难度大,病毒网络攻击的有效载体,网络的新威胁病毒+网络攻击,潘多拉的魔盒,8.1.5 病毒的传播及危害,1.病毒传播的主要途径,2.恶意代码造成的经济损失,病毒的常见症状,电脑运行比平常迟钝 程序载入时间比平常久 对一个简单的工作，磁盘似乎花了比预期长的时间 不寻常的错误信息出现 硬盘的指示灯无缘无故的亮了 系统内存容量忽然大量减少 可执行程序的大小改变了,病毒的常见症状,内存内增加来路不明的常驻程序 文件奇怪的消失 文件的内容被加上一些奇怪的资料 文件名称，扩展名，日期，属性被更改过,道高一尺魔高一丈,8.3 反病毒技术,Contents,8.1.6 病毒的命名,世界上那么多的病毒，反病毒公司为了方便管理，他们会按照病毒的特性，将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样，但大体都是采用一个统一的命名方法来命名的。 一般格式为： 。,Page 72,一般格式为： 。 病毒前缀: 用来区别病毒的种族分类的。 木马病毒的前缀 Trojan ，蠕虫的前缀是Worm 。,Page 73,8.1.6 病毒的命名,一般格式为： 病毒名: 用来区别和标识病毒家族的， 如CIH病毒的家族名都是” CIH”，振荡波蠕虫病毒的家族名是“ Sasser ”。,Page 74,8.1.6 病毒的命名,一般格式为： 病毒后缀: 用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示 如 Worm.Sasser.b就是指 振荡波蠕虫病毒的变种B，因此一般称为 “振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多，可以采用数字与字母混合表示变种标识。,Page 75,8.1.6 病毒的命名,常见的病毒前缀的解释,1、系统病毒 前缀为：Win32、PE、Win95、W32、W95等。 感染windows操作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播。 如CIH病毒。 2、蠕虫病毒 前缀是：Worm。 通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。 比如冲击波（阻塞网络），小邮差（发带毒邮件）等。,常见的病毒前缀的解释,3、木马病毒、黑客病毒 木马病毒其前缀是：Trojan，黑客病毒前缀名一般为 Hack 。 木马通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。 木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。,Page 77,常见的病毒前缀的解释,一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ，针对网络游戏的木马病毒Trojan.LMir.PSW.60 。 病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能（“密码”“password”的缩写） 一些黑客程序如：网络枭雄（Hack.Nether.Client）等,Page 78,常见的病毒前缀的解释,4、脚本病毒 前缀是：Script。 脚本病毒的公有特性是使用脚本语言编写，通过网页进行的传播的病毒。 如红色代码（Script.Redlof）。 可能还会有如下前缀：VBS、JS（表明是何种脚本编写的），如欢乐时光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等,Page 79,Page 80,5、宏病毒 前缀是：Macro，第二前缀是：Word、 Word97、Excel、Excel97（也许还有别的）其中之一。 能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播 如：著名的美丽莎(Macro.Melissa)。,Page 81,常见的病毒前缀的解释,常见的病毒前缀的解释,6、后门病毒 前缀是：Backdoor，通过网络传播，给系统开后门，给用户电脑带来安全隐患。 如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。 7、病毒种植程序病毒 前缀是：Dropper，运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。 如：冰河播种者（Dropper.BingHe2.2C）、MSN射手(Dropper.Worm.Smibag)等。 、杀手命令（Harm.Command.Killer）等。,Page 82,常见的病毒前缀的解释,8破坏性程序病毒 前缀是：Harm，本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。 如：格式化C盘（Harm.formatC.f） 9玩笑病毒 前缀是：Joke，也称恶作剧病毒，本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏 如：女鬼（Joke.Girlghost）病毒。,常见的病毒前缀的解释,10捆绑机病毒 前缀是：Binder，使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件。 如：捆绑QQ （Binder.QQPass.QQBin）、系统杀手（Binder.killsys）等。以上为比较常见的病毒前缀，,Page 84,常见的病毒前缀的解释,其他少见的病毒前缀 DoS 会针对某台主机或者服务器进行DoS攻击； Exploit 自动通过溢出对方或者自己的系统漏洞来传播自身，或者他本身就是一个用于Hacking的溢出工具； HackTool 黑客工具，也许本身并不破坏你的机子，但是会被别人加以利用来用你做替身去破坏别人。,Page 85,杀毒软件,反病毒软件或防毒软件 用于消除电脑病毒、特洛伊木马和恶意软件的一类软件 杀毒软件通常集成监控识别、病毒扫描和清除和自动升级等功能，有的杀毒软件还带有数据恢复等功能 计算机防御系统（包含杀毒软件，防火墙，特洛伊木马和其他恶意软件的查杀程序，入侵预防系统等）的重要组成部分。,Page 86,杀毒软件组成,杀毒引擎判断特定程序行为是否为病毒程序（包括可疑的）的技术机制，即识别病毒程序，是杀毒软件的主要部分，同时还要完成扫描、报警以及清除等操作。 病毒库存放已发现的病毒的标本,用病毒库中的标本去对照机器中的所有程序或文件，看是不是符合这些标本，是则是病毒，否就不一定是病毒。,杀毒引擎举例,Kaspersky (卡巴斯基)：俄罗斯的世界著名杀毒软件反病毒引擎和病毒库，一直以其严谨的结构和快速的反应速度为业界所称道毒强悍、果断、彻底是其一大特点。 连年获得诸多奖项、殊荣，目前世界上用卡巴斯基引擎的品牌非常多。白璧微瑕占用内存略多，但7.0已大有改进。,Dr.web(大蜘蛛):,俄罗斯官方和军队采用的产品。（但放机密的电脑和作战指挥用电脑都不是普通电脑，不用windows系统，不联网，也不用杀软！） 引擎技术很出色，并且脱壳很厉害，但大蜘蛛这杀软在其他很多方面还有不足。,Norton(诺顿),隔离机制还很完善，2007年，它的一起“误杀”事故使其国际声誉大打折扣，但误杀是难免的,4. McAfee（麦咖啡）,美国的著名杀毒软件，全球最畅销的杀毒软件之一(世界排名第2)。,Panda(熊猫卫士),查杀速度一流 Panda软件公司是欧洲第一位的计算机安全产品公司，也是唯一最大的杀病毒软件公司内拥有100%自有技术，且足以同美国相抗衡的公司，同时也是世界上在该领域成长最快的公司。,反病毒引擎技术,特征码识别 广谱特征识别 特征码的获取是分段的，中间可以包含任意的内容 启发式扫描 行为判定（虚拟机）,实际中的反病毒产品一般都结合了两个或两个以上引擎的功能，起到 了互相弥补的作用。,杀毒引擎技术,诞生初期，病毒所使用的技术还比较简单，从而检测相对容易，最广泛使用的是特征码匹配的方法。 例如：如果在第1034字节处是下面的内容：0xec , 0x99, 0x80,0x99，就表示是大麻病毒。 杀毒软件通过利用特征串，可以非常容易的查出病毒,特征代码法,就某一种病毒（不包括变形病毒）而言，总会有一段区别于其它病毒或正常应用程序的代码，这段代码就被称为这个病毒的“特征值”，从理论来说这个“特征值”会存在于病毒代码中某个相对固定的位置上。 病毒本身利用 “特征值”及其特殊的位置来判断自身是否已完成了向某个文件、某台机器传染，而反病毒软件也正是通过对此“特征值“的精确定位、匹配来判断文件是否已被病毒感染的。,杀毒引擎技术（2）,病毒往往通过对自身的变形来躲避查杀。 广谱特征的特征码是分段的，中间可以填充任意的内容。 该技术在一段时间内，对于处理某些变形的病毒提供了一种方法，但误报率大大增加，所以采用广谱特征码的技术目前已不能有效的对新病毒进行查杀，并且还可能把正规程序当作病毒误报给用户。,back,360杀毒,Page 97,杀毒引擎技术（3）,通过分析指令出现的顺序，或特定组合情况等常见病毒的标准特征来决定文件是 否感染未知病毒。 病毒要达到感染和破坏的目的，其行为都会有一定的特征，例如非常规读写文件，终结自身，非常规切入零环等等。 根据扫描特定的行为或多种行为的组合来判断一个程序是否是病毒。 启发式扫描针对木马、间谍、后门、下载者、已知病毒的变种。,杀毒引擎技术（4）,行为判定（虚拟机杀毒技术） 杀毒软件先虚拟一套运行环境，让病毒先在其中运行，从而观察病毒的执行过程 ，当病毒脱去伪装进行传染时，就会被虚拟机所发现。 主要用来应对加壳和加密的病毒。,解压缩与去壳（1）,病毒隐藏自身的方法还有加壳和压缩两种方法。 加壳 通过一系列数学运算，将可执行程序文件或动态链接库文件的编码进行改变，以达到缩小文件体积或加密程序编码的目的。 当被加壳的程序运行时，外壳程序先被执行，然后由这个外壳程序负责将用户原有的程序在内存中解压缩，并把控制权交还给脱壳后的真正程序。 一切操作自动完成，加壳程序和未加壳程序的运行结果是一样的，用户不知道也无需知道壳程序是如何运行的。,较常见到的壳有”UPX”、“ASPack”、“PePack”、“PECompact”、“UPack”、“NsPack”、“免疫007”、“木马彩衣”等等。 病毒通过使用不同种类或者版本的加壳软件，对自身进行加壳，使得杀毒软件无法发现真正的病毒体，以逃避查杀。 杀毒软件对病毒的查杀能力也在一定程度上取决于他自身的脱壳能力。,解压缩与去壳（1）,压缩是普通用户日常经常使用的减小文件体积的方法，常见的工具软件有WinZip、WinRAR等。 病毒有时候会隐藏在压缩包内部，如果一个杀毒软件没有解压缩的能力就不可能查杀压缩包内的病毒。 同时，如果杀毒软件不具备相应格式的压缩能力，在查杀病毒 后就不能复原