《计算机病毒与防治》教案.ppt

计算机病毒与防治 教学单元5 1分析反病毒软件的编制技术 主动防御技术 计算机病毒特征码 静态启发式查毒技术 第一讲反病毒软件的编制技术和最新查毒技术介绍 计算机病毒与防治课程小组 动态启发式查毒技术 反病毒软件的编制技术 随着网络的发展和各种移动存储设备的普及 计算机病毒的传播途径日益增多 相信经常使用计算机的朋友 都使用过杀毒软件 那么杀毒软件是根据什么原理来查 杀病毒的呢 杀毒软件都包括哪些结构 大家一起来讨论 6 1计算机病毒特征码 所谓的病毒特征码可以说就是病毒的 指纹 当杀毒软件公司收集到一个新的病毒时 他们就会从这个病毒程序中截取一小段独一无二而且足以表示这个病毒的二进制程序代码 来当作查毒程序辨认此病毒的依据 而这段独一无二的二进制程序代码就是所谓的病毒码 二进制程序代码是计算机的最基本语言 在计算机中所有可以执行的程序几乎都是由二进制程序代码所组成 6 1计算机病毒特征码 例如 如果有一个Windows的程序被病毒感染 那么杀毒软件公司就必须先研究出Windows文件的格式 看看Windows文件是怎么被系统执行 以便找出Windows程序的进入点 因为病毒就是藏身在这个地方来取得控制权并进行传染及破坏 知道病毒程序在一个Windows文件中所存在的位置之后 就可以从这个区域来找出一段特殊的病毒特征码供查毒程序使用 计算机病毒与防治课程小组 6 1计算机病毒特征码 计算机病毒与防治课程小组 在杀毒软件公司中都有技术人员专门在为各种不同类型的病毒提取病毒特征码 可是当病毒愈来愈多 要找出每一个病毒都独一无二的病毒码可能就不太容易 有时甚至这些病毒码还会误判到一些不是病毒的正常文件 所以通常杀毒软件公司在将病毒码送给客户前都必须先经过一番严格的测试 才放在Internet上供使用者自由下载或做成产品出售 6 1计算机病毒特征码 计算机病毒与防治课程小组 目前的大多数杀病毒软件采用的方法主要是特征码查毒方案与人工解毒并行 亦即在查病毒时采用特征码查毒 在杀病毒时采用人工编制解毒代码 但是 特征码查毒方案也具有极大的局限性 特征码的描述取决于人的主观因素 从长达数千字节的病毒体中撷取十余字节的病毒特征码 需要对病毒进行跟踪 反汇编以及其它分析 如果病毒本身具有反跟踪技术和变形 解码技术 那么跟踪和反汇编以获取特征码的情况将变得极其复杂 此外 要撷取一个病毒的特征码 必然要获取该病毒的样本 再由于对特征码的描述各个不同 特征码方法在国际上很难得到广域性支持 特征码查病毒主要的技术缺陷表现在较大的误查和误报上 而杀病毒技术又导致了反病毒软件的技术迟滞 6 2最新查毒技术解析 计算机病毒与防治课程小组 80年代末期 基于个人电脑病毒的诞生 随即就有了清除病毒的工具 反病毒软件 这一时期 病毒所使用的技术还比较简单 从而检测相对容易 最广泛使用的就是特征码匹配的方法 然而为了躲避杀毒软件的查杀 病毒开始了进化 逐渐演变为变形的形式 每感染一次 就对自身变一次形 通过对自身的变形来躲避查杀 这样一来 同一种病毒的变种病毒大量增加 杀毒软件单纯依靠病毒库和特征码技术已经不能适应如今的网络安全 于是 便出现了广谱特征码的概念 6 2最新查毒技术解析 广谱特征码技术在一段时间内 对于处理某些变形的病毒提供了一种方法 但是也使误报率大大增加 所以采用广谱特征码的技术目前也不能有效的对新病毒和未知病毒进行查杀 那么 现如今种类繁多的杀毒软件都有哪些新技术和新特征来适应当前的病毒威胁 又是如何实现的呢 目前最常用的是主动防御技术和启发式查毒技术 6 2最新查毒技术解析 主动防御技术 由于传统的基于病毒库扫描的反病毒软件都是很被动的 只能在新病毒出现之后才能有应付措施 一个病毒制造者所编写的病毒很有可能在被杀毒软件厂商截获并添加到产品病毒库之前进入用户电脑 此时 由于该病毒的特征码还未添加到杀毒软件病毒库中 杀毒软件会将病毒认为是正常文件而放过 使得用户电脑被病毒所感染 因此 业界将能够主动检测和拦截未知威胁的防御方法称为 主动防御 6 2最新查毒技术解析 杀毒软件具有滞后性 这是业界公认的一个杀毒软件弊端 而主动防御却很好的解决了这个问题 主动防御技术主要是针对未知病毒提出来的病毒防杀技术 在没有病毒样本的情况下 对病毒进行全面而有效的全面防护 阻止病毒的运作 从技术层面上有效应对未知病毒的肆虐 一是在未知病毒和未知程序方面 通过 行为判断 技术识别大部分未被截获的未知病毒和变种 另一方面 通过对漏洞攻击行为进行监测 这样可防止病毒利用系统漏洞对其它计算机进行攻击 从而阻止病毒的爆发 6 2最新查毒技术解析 启发式查毒技术说到主动防御 不得不提起启发式查毒技术 启发式查毒技术属于主动防御的一种 是当前对付未知病毒的主要手段 从工作原理上可分为静态启发和动态启发两种 启发式指 自我发现的能力 或 运用某种方式或方法去判定事物的知识和技能 是杀毒软件能够分析文件代码的逻辑结构是否含有恶意程序特征 或者通过在一个虚拟的安全环境中前摄性的执行代码来判断其是否有恶意行为 在业界前者被称为静态代码分析 后者被成为动态虚拟机 计算机病毒与防治课程小组 6 2最新查毒技术解析 计算机病毒与防治课程小组 静态启发技术指的是在静止状态下通过病毒的典型指令特征识别病毒的方法 是对传统特征码扫描的一种补充 由于病毒程序与正常的应用程序在启动时有很多区别 通常一个应用程序在最初的指令 是检查命令行输入有无参数项 清屏和保存原来屏幕显示等 而病毒程序则通常是最初的指令是直接写盘操作 解码指令 或搜索某路径下的可执行程序等相关操作指令序列 静态启发式就是通过简单的反编译 在不运行病毒程序的情况下 核对病毒头静态指令从而确定病毒的一种技术 静态启发技术 6 2最新查毒技术解析 而相比静态启发技术 动态启发技术要复杂和先进很多 动态启发式通过杀软内置的虚拟机技术 给病毒构建一个仿真的运行环境 诱使病毒在杀软的模拟缓冲区中运行 如运行过程中检测到可疑的动作 则判定为危险程序并进行拦截 这种方法更有助于识别未知病毒 对加壳病毒依然有效 但如果控制得不好 会出现较多误报的情况 计算机病毒与防治课程小组 动态启发技术 6 2最新查毒技术解析 计算机病毒与防治课程小组 动态启发因为考虑资源占用的问题 因此目前只能使用比较保守的虚拟机技术 尽管如此 由于动态