计算机病毒查杀方法.ppt

计算机病毒查杀 本章学习目标 掌握计算机病毒诊断知识掌握杀毒引擎扫描算法了解病毒诊断实验理解计算机病毒清除知识 本章内容 计算机病毒的诊断原理方法源码分析计算机病毒的清除典型病毒的查杀 1计算机病毒的诊断 内容 计算机病毒的诊断原理计算机病毒的诊断方法高速模式匹配自动诊断的源码分析 计算机病毒的诊断原理 用什么来判断 染毒后的特征常用方法 比较法校验和扫描法行为监测法行为感染试验法虚拟执行法陷阱技术先知扫描分析法等等 比较法 比较法是用原始或正常的对象与被检测的对象进行比较 手工比较法是发现新病毒的必要方法 比较法又包括 注册表比较法工具RegMon弱点 正常程序也操作注册表文件比较法通常比较文件的长度和内容两个方面工具FileMon弱点 长度和内容的变化有时是合法的病毒可以模糊这种变化 内存比较法主要针对驻留内存病毒判断驻留特征中断比较法将正常系统的中断向量与有毒系统的中断向量进行比较比较法的好处 简单比较法的缺点 无法确认病毒 依赖备份 校验和法 首先 计算正常文件内容的校验和并且将该校验和写入某个位置保存 然后 在每次使用文件前或文件使用过程中 定期地检查文件现在内容算出的校验和与原来保存的校验和是否一致 从而可以发现文件是否感染 这种方法叫校验和法 它既可发现已知病毒又可发现未知病毒 优点 方法简单能发现未知病毒被查文件的细微变化也能发现缺点 必须预先记录正常态的校验和会误报警不能识别病毒名称程序执行附加延迟不对付隐蔽性病毒 扫描法 扫描法是用每一种病毒体含有的特定字符串 Signature 对被检测的对象进行扫描 如果在被检测对象内部发现了某一种特定字符串 就表明发现了该字符串所代表的病毒 扫描器由两部分组成 特征串 Signature 和扫描算法 Scanner 选择代码串的规则是 代码串不应含有病毒的数据区 数据区是会经常变化的 在保持唯一性的前提下 应尽量使特征代码长度短些 以减少时间和空间开销 代码串一定要在仔细分析了程序之后才能选出最具代表性的 足以将该病毒区别于其他病毒和该病毒的其他变种的代码串 特征串必须能将病毒与正常的非病毒程序区分开 例如 给定特征串为 E97C0010 37CB 则 E97C00102737CB 和 E97C00109C37CB 都能被识别出来 其优点包括 1 当特征串选择得很好时 病毒检测软件让计算机用户使用起来方便快速 对病毒了解不多的人也能用它来发现病毒 2 不用专门软件 用编辑软件也能用特征串扫描法去检测特定病毒 3 可识别病毒的名称 4 误报警率低 5 依据检测结果 可做杀毒处理 缺点 1 当被扫描的文件很长时 扫描所花时间也较多 2 不容易选出合适的特征串 有时会发出假警报 3 新病毒的特征串未加入病毒代码库时 老版本的扫毒程序无法识别出新病毒 4 怀有恶意的计算机病毒制造者得到代码库后 会很容易地改变病毒体内的代码 生成一个新的变种 使扫描程序失去检测它的能力 5 容易产生误警报 只要正常程序内带有某种病毒的特征串 即使该代码段已不可能被执行 而只是被杀死的病毒体残余 扫描程序仍会报警 6 不易识别变异类病毒 7 搜集已知病毒的特征代码 费用开销大 8 在网络上使用效率低 行为监测法 利用病毒的特有行为特性来监测病毒的方法称为行为监测法 常用行为 占用INT13H修改DOS系统数据区的内存总量对COM和EXE文件做写入动作写注册表自动联网请求优点 发现未知病毒缺点 难度大 误报警 感染实验法 这种方法的原理是利用了病毒的最重要的基本特征 感染特性 观察正常程序和可疑程序的表现是非不同 1 检测未知引导型病毒的感染实验法a 先用一张软盘 做一个清洁无毒的系统盘 用DEBUG程序 读该盘的BOOT扇区进入内存 计算其校验和 并记住此值 同时把正常的BOOT扇区保存到一个文件中 上述操作必须保证系统环境是清洁无毒的b 在这张实验盘上拷贝一些无毒的系统应用程序 c 启动可疑系统 将实验盘插入可疑系统 运行实验盘上的程序 重复一定次数 d 再在干净无毒机器上 检查实验盘的BOOT扇区 可与原BOOT扇区内容比较 如果实验盘BOOT扇区内容已改变 可以断定可疑系统中有引导型病毒 2 检测未知文件型病毒的感染实验法a 在干净系统中制作一张实验盘 上面存放一些应用程序 这些程序应保证无毒 应选择长度不同 类型不同的文件 既有COM型又有EXE型 记住这些文件正常状态的长度和校验和 b 在实验盘上制作一个批处理文件 使盘中程序在循环中轮流被执行数次c 将实验盘插入可疑系统 执行批处理文件 多次执行盘中程序 d 将实验盘放人干净系统 检查盘中文件的长度和校验和 如果文件长度增加 或者校验和变化 则可断定系统中有病毒 对于Windows中的病毒 感染实验法检测内容会更多一些 例如 当使用感染实验法检测 广外女生 木马病毒时 可以采用如下步骤 首先打开RegSnap 从file菜单选new 然后单击OK按钮 对当前干净的注册表以及系统文件做一个记录 如果木马修改了其中某项 就可以分析出来了 备份完成之后把它存为Regsnp1 rgs 在计算机上运行感染了 广外女生 病毒的文件 例如双击gdufs exe 然后等一小会儿 如果此时发现正在运行着的 天网防火墙 或 金山毒霸 自动退出 就很可能木马已经驻留在系统中了 重新打开RegSnap 从file菜单选new 然后单击OK按钮 把这次的snap结果存为Regsnp2 rgs 从RegSnap的file菜单选择Compare 在Firstsnapshot中选择打开Regsnp1 rgs 在Secondsnapshot中选择打开Regsnp2 rgs 并在下面的单选框中选中Showmodifiedkeynamesandkeyvalues 然后单击OK按钮 这样RegSnap就开始比较两次记录有什么区别了 当比较完成时会自动打开分析结果文件Regsnp1 Regsnp2 htm 为找出木马的驻留位置以及在注册表中的启动项 看Regsnp1 Regsnp2 htm 若显示如下信息 Summaryinfo Deletedkeys 0Modifiedkeys 15Newkeys 1FilelistinC WINNT System32 Summaryinfo Deletedfiles 0Modifiedfiles 0Newfiles 1Newfilesdiagcfg exeSize 97792 Date Time 2001年07月01日23 00 12 Totalpositions 1 则表明两次记录中 没有删除注册表键 修改了15处注册表 新增加了一处注册表键值 在C WINNT System32 目录下面新增加了一个文件diagcfg exe 这个文件非常可疑 因为在比较两次系统信息之间只运行了 广外女生 这个木马 所以有理由相信diagcfg exe就是木马留在系统中的后门程序 这时打开任务管理器 可以发现其中有一个diagcfg exe的进程 这就是木马的原身 但这个时候千万不要删除diagcfg exe 否则系统就无法正常运行了 木马一般都会在注册表中设置一些键值以便以后在系统每次重新启动时能够自动运行 从Regsnp1 Regsnp2 htm中可以看到哪些注册表项发生了变化 此时若看到 HKEY LOCAL MACHINE SOFTWARE Classes exefile shell open command Oldvalue String 1 Newvalue String C WINNT System32 diagcfg exe 1 则说明这个键值由原来的 1 被修改成了C WINNT System32 DIAGCFG EXE 1 这就使得以后每次运行任何可执行文件时都要先运行C WINNT System32 diagcfg exe这个程序 找出木马监听的端口 使用fport可以轻松的实现这一点 在命令行中运行fport exe 可以看到 C tool fport fportFPortv1 33 TCP IPProcesstoPortMapperCopyright2000byFoundstone Inc PidProcessPortProtoPath584tcpsvcs 7TCPC WINNT System32 tcpsvcs exe584tcpsvcs 9TCPC WINNT System32 tcpsvcs exe584tcpsvcs 13TCPC WINNT System32 tcpsvcs exe584tcpsvcs 17TCPC WINNT System32 tcpsvcs exe584tcpsvcs 19TCPC WINNT System32 tcpsvcs exe836inetinfo 80TCPC WINNT System32 inetsrv inetinfo exe408svchost 135TCPC WINNT system32 svchost exe 836inetinfo 443TCPC WINNT System32 inetsrv inetinfo exe8System 445TCP464msdtc 1025TCPC WINNT System32 msdtc exe684MSTask 1026TCPC WINNT system32 MSTask exe584tcpsvcs 1028TCPC WINNT System32 tcpsvcs exe836inetinfo 1029TCPC WINNT System32 inetsrv inetinfo exe8System 1030TCP464msdtc 3372TCPC WINNT System32 msdtc exe1176DIAGCFG 6267TCPC WINNT System32 DIAGCFG EXE 注意这行 836inetinfo 7075TCPC WINNT System32 inetsrv inetinfo exe584tcpsvcs 7UDPC WINNT System32 tcpsvcs exe584tcpsvcs 9UDPC WINNT System32 tcpsvcs exe584tcpsvcs 13UDPC WINNT System32 tcpsvcs exe584tcpsvcs 17UDPC WINNT System32 tcpsvcs exe584tcpsvcs 19UDPC WINNT System32 tcpsvcs exe584tcpsvcs 68UDPC WINNT System32 tcpsvcs exe408svchost 135UDPC WINNT system32 svchost exe8System 445UDP228services 1027UDPC WINNT system32 services exe836inetinfo 3456UDPC WINNT System32 inetsrv inetinfo exe 虚拟执行法 为了检测多态性病毒 提出了虚拟执行法 它是一种软件分析器 用软件方法来模拟和分析程序的运行 如果发现隐蔽性病毒或多态性病毒嫌疑时 启动虚拟执行模块 监视病毒的运行 待病毒自身的密码译码以后 再运用特征代码法来识别病毒的种类 分析法 分析法的目的在于 1 确认被观察的磁盘引导区和程序中是否含有2 确认病毒的类型和种类 判定其是否是一种新病毒 3 搞清楚病毒体的大致结构 提取特征识别用的字符串或特征字 用于增添到病毒代码库供扫描和识别程序用 4 详细分析病毒代码 为制定相应的反病毒措施制定方案 人工智能陷阱技术和宏病毒陷阱技术 人工智能陷阱是一种监测计算机行为的常驻式扫描技术 它将所有计算机病毒所产生的行为归纳起来 一旦发现内存中的程序有任何不当的行为 系统就会有所警觉 并告知使用者 这种技术的优点是执行速度快 操作简便 且可以侦测到各式计算机病毒 其缺点就是程序设计难度大 且不容易考虑周全 在这千变万化的计算机病毒世界中 人工智能陷阱扫描技术是一个具有主动保护功能的技术 宏病毒陷阱技术结合了搜索法和人工智能陷阱技术 依行为模式来侦测已知及未知的宏病毒 其中 配合OLE2技术 可将宏与文件分开 加快扫描速度 而且可以有效地将宏病毒彻底清除 先知扫描法 先知扫描技术将专业人员用来判断程序是否存在计算机病毒代码的方法 分析归纳成专家系统和知识库 再利用软件模拟技术 SoftwareEmulation 伪执行新的计算机病毒 超前分析出新计算机病毒代码 对付未知的计算机病毒 利用原始备份和被检测程序相比较的方法适合于不需专用软件 可以发现异常情况的场合 是一种简单的基本的病毒检测方法 扫描特征串和识别特征字的方法适用于制作成查病毒软件的方式供广大PC机用户使用 方便而又迅速 但对新出现的病毒会出现漏检的情况 需要与分析和比较法相结合 分析病毒的方法主要是由专业人员识别病毒 研制反病毒系统时使用 要求较多的专业知识 是反病毒研究不可缺少的方法 计算机病毒的诊断方法 手工检测工具软件 Debug UltraEdit EditPlus SoftICE TRW Ollydbg等 优点 Aver发现并分析新病毒缺点 不可能普及自动检测自动检测是指通过一些自动诊断软件来判断系统是否有毒的方法 优点 易于普及缺点 滞后性 高速模式匹配 查找的速度是评价一个查毒引擎的关键因素之一 算法种类 单模式匹配算法 KMP QS BM等多模式匹配算法 DFSA 基于二叉树的算法问题描述设待处理 动态 文本为单模式匹配是从文本中查找一个模式串多模式匹配就是通过一次查找从文本中发现多个P1 P2 Pq 最简单的查找算法 BF算法 Brute Force算法匹配过程 单模式匹配 BM算法 bad character位移 字符a在P中出现 bad character位移 字符a在P中不出现 计算公式 good suffix位移 只有u的前缀v在P中重现 good suffix位移 u的一次重现且其前一个字符与b不同 首先定义两个条件 cond1 j s 对每个k j k m s k或者P k s P k cond2 j s 如果s j那么 然后对于最后 取两者最大值作为右移值 经典多模式匹配DFSA算法 1 DFSA算法的预处理过程 1 转向函数g state1 char state2模式集合 he she his hers 2 失效函数f当发生字符失配时 失效函数指明下一个应处理的状态 规定 所有第一层状态的失效函数 对于非第一层的状态s 若其父状态为r 存在某个字符a g r a s 其失效函数为 状态为追溯状态s的祖先状态所得到的最近一个使存在的状态 3 输出函数outputOutput s 根节点到叶子节点路径上字符组成的字符串 当f s s 时 output s U output s 2 DFSA算法的查找过程 1 从有限自动机的0状态出发 逐个取出 P 中模式Pk中的字符c 并按转向函数g s c 或失效函数f s 进入下一状态 2 当输出函数output s 不为空时 输出output s 用有限自动机扫描文本串 ushers 的过程 开始为0状态 因g 0 u 0 g 0 s 3 g 3 h 4 g 4 e 5 而output 5 he she 故输出 he she 因f 5 g f 4 e 2 g 2 r 8 g 8 s 9 output 9 hers 故输出 hers 即文本串 ushers 中含有he she hers这三个模式串 扫描引擎的结构 自动诊断的源码分析 讨论自动诊断病毒 查毒 的最简单方法 特征码扫描法自动诊断程序至少要包括两个部分 病毒特征码 VirusPattern VirusSignature 库扫描引擎 ScanEngine 病毒特征码意义重大获得方法手工自动 扫描引擎是杀毒软件的精华部分考虑杀毒速度待杀毒文件的类型支持的硬盘格式其他特殊技术虚拟执行行为识别等等 简单的查毒程序 VirScan是一个简单的示例程序 其功能 根据病毒特征码发现特定病毒 CIH和Klez VirScan从程序入口点开始查找病毒特征码 对抗Klez病毒会卸载杀毒引擎的功能 CIH病毒不会动态地改变程序入口点处的标记 我们可以自接从入口点处开始 Klez病毒会动态的改变程序入口点处的前16个字节 所以 VirScan跳过了前16个字节 构造病毒库virus pattern 病毒库virus pattern的结构如下 Klez A1 00 00 00 00 50 64 89 25 00 00 00 00 83 EC 58 53 56 57 89 Cih 55 8D 44 24 F8 33 DB 64 87 03 初始化病毒库 转化函数 字符 55 数字 30经过转换后的格式为 unsignedcharKlezSignature 0 xA1 0 x00 0 x00 0 x00 0 x00 0 x50 0 x64 0 x89 0 x25 0 x00 0 x00 0 x00 0 x00 0 x83 0 xEC 0 x58 0 x53 0 x56 0 x57 0 x89 unsignedcharCihSignature 0 x55 0 x8D 0 x44 0 x24 0 xF8 0 x33 0 xDB 0 x64 0 x87 0 x03 保护VirScan程序 首先 编写一个普通的DLL 该DLL将导出一个名字为DontAllowForDeletion的函数 BOOLWINAPIDontAllowForDeletion LPSTRStr HANDLEhFile if hFile CreateFile Str GENERIC READ FILE SHARE READ NULL OPEN EXISTING FILE ATTRIBUTE READONLY NULL INVALID HANDLE VALUE returnFALSE returnTRUE 然后 在VirScan的启动时 调用DLL的导出函数 实现对VirScan程序的保护 DontAllowDeletion DLLFUNC GetProcAddress hLib DontAllowForDeletion DontAllowDeletion TmpPath TmpPath为VirScan在系统中的物理位置 病毒查找模块 查找前需要定位文件 定位PE入口 查找KlezSetFilePointer hFile pCodeBytes 16 NULL FILE BEGIN ReadFile hFile pBytes sizeof KlezSignature 查找CIH病毒SetFilePointer hFile pCodeBytes NULL FILE BEGIN ReadFile hFile pBytes sizeof CihSignature 演示程序 2计算机病毒的清除 清除病毒 将感染病毒的文件中的病毒模块摘除 并使之恢复为可以正常使用的文件的过程称为病毒清除 杀毒的不安全因素 清除过程可能破坏文件有的需要格式化才能清除清除的方法分类引导型病毒的清除原理文件型病毒的清除原理特殊病毒的清除原理 引导型病毒的清除原理 引导型病毒感染时的破坏行为有 1 硬盘主引导扇区 2 硬盘或软盘的BOOT扇区 3 为保存原主引导扇区 BOOT扇区 病毒可能随意地将它们写入其他扇区 而毁坏这些扇区 4 引导型病毒发做 执行破坏行为造成种种损坏 根据感染和破坏部位的不同 可以分以下方法进行修复 第一种 硬盘主引导扇区染毒 是可以修复的 1 用无毒软盘启动系统 2 寻找一台同类型 硬盘分区相同的无毒机器 将其硬盘主引导扇区写入一张软盘中 将此软盘插入染毒机器 将其中采集的主引导扇区数据写入染毒硬盘 即可修复 第二种 硬盘 软盘BOOT扇区染毒也可以修复 寻找与染毒盘相同版本的无毒系统软盘 执行SYS命令 即可修复 第三种 引导型病毒如果将原主引导扇区或BOOT扇区覆盖式写入根目录区 被覆盖的根目录区完全损坏 不可能修复 第四种 如果引导型病毒将原主引导扇区或BOOT扇区覆盖式写入第一FAT表时 第二FAT表未破坏 则可以修复 可将第二FAT表复制到第一FAT表中 第五种 引导型病毒占用的其他部分存储空间 一般都采用 坏簇 技术和 文件结束簇 技术占用 这些被空间也是可以收回的 文件型病毒的消毒原理 覆盖型文件病毒清除该型病毒是一种破坏型病毒 由于该病毒硬性地覆盖掉了一部分宿主程序 使宿主程序被破坏 即使把病毒杀掉 程序也已经不能修复 覆盖型外的文件病毒原则上都可以被清除干净根据感染的逆过程来清除 清除交叉感染病毒 交叉感染 有时一台计算机内同时潜伏着几种病毒 当一个健康程序在这个计算机上运行时 会感染多种病毒 引起交叉感染 清除的关键 搞清楚多种病毒的感染顺序按感染先后次序的逆序清楚 感染顺序 病毒1 病毒2 病毒3在杀毒时 病毒3 病毒2 病毒1 计算机病毒的清除方法 手工清除病毒的方法使用Debug Regedit SoftICE和反汇编语言等简单工具进行跟踪 清除的方法 优点 可以处理新病毒或疑难病毒 Worm等 缺点 需要高技术 复杂自动清除病毒方法使用杀毒软件自动清除染毒文件中的病毒代码 使之复原 优点 方便 易于普及缺点 滞后 不能完全奏效 针对典型病毒的查杀方法 Outlook漏洞病毒的查杀恶意代码查杀方法宏病毒查杀方法清除W32 Spybot Worm蠕虫病毒 Outlook漏洞病毒的查杀 Outlook漏洞病毒的查杀原理很简单 只要在附件或邮件体中搜索特定代码就可以 但邮件病毒查杀的关键是时效性 即实时拦截邮件并处理 病毒引擎的位置 服务器端 SMTPServer 反垃圾邮件系统客户端 Outlook FoxMail 绑定Add in客户端独立程序各种杀毒软件 其他客户端反垃圾软件 邮件狗 服务器端技术 客户端绑定技术 Outlook为例 1 引入三个对象 import C ProgramFiles CommonFiles Designer msaddndr dll import D MicrosoftOffice Office Mso9 dll import D MicrosoftOffice Office Msoutl9 olb 连接到Outlook 监视一些事件 if m outlook CreateInstance uuidof Outlook Application S OK Outlook InspectorsPtrinspectors 获得inspectorsif m outlook get Inspectors 当邮件在一个独立的窗口打开时 触发下列事件voidCOutlooksampleDlg NewInspector IDispatch disp 给该邮件一个事件newCEventSink this disp 当邮件显示在预览窗口时voidCEventSink SelectionChange longcount 0 if m explorer 0 Outlook SelectionPtr WEB恶意代码查杀方法 恶意代码经常通过修改注册表和系统配置来破坏系统的正常操作 影响用户的正常使用 被这种病毒感染后 要设法修复被修改和禁用各个注册表项 检查位置 网关客户端 魔法兔子等 修复方法是 首先新建一个文本文件 接着把扩展名改为reg 然后 把恢复脚本填入该文件中 最后 运行该文件就可以了 网关技术 客户端技术 实时文件监控 杀毒软件 禁止功能例如 禁止3721REGEDIT5 B83FC273 3522 4CC6 92EC 75CC86678DA43721 sCLSID HKEY LOCAL MACHINE SOFTWARE Microsoft InternetExplorer ActiveXCompatibility B83FC273 3522 4CC6 92EC 75CC86678DA4 CompatibilityFlags dword 00000400 修复脚本 REGEDIT4 修复RUN按钮 HKEY CURRENT USER Software Microsoft Windows CurrentVersion Policies Explorer NoRun dword 00000000 修复关闭按钮 HKEY CURRENT USER Software Microsoft Windows CurrentVersion Policies Explorer NoClose dword 00000000 修复注销按钮 HKEY CURRENT USER Software Microsoft Windows CurrentVersion Policies Explorer NoLogOff dword 00000000 取消隐藏盘符 HKEY CURRENT USER Software Microsoft Windows CurrentVersion Policies Explorer NoDrives dword 00000000 取消禁止注册表 HKEY CURRENT USER Software Microsoft Windows CurrentVersion Policies System DisableRegistryTools dword 00000000 取消禁止运行DOS程序 HKEY CURRENT USER Software Microsoft Windows CurrentVersion Policies WinOldApp Disabled dword 00000001 取消禁止进入DOS模式 HKEY CURRENT USER Software Microsoft Windows CurrentVersion Policies WinOldApp NoRealMode dword 00000001 取消开机提示窗口标题 HKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion Winlogon LegalNoticeCaption 取消开机提示窗口信息 HKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion Winlogon LegalNoticeText 重设IE标题 HKEY LOCAL MACHINE Software Microsoft InternetExplorer Main WindowTitle MicrosoftInternetExplorer HKEY CURRENT USER Software Microsoft InternetExplorer Main WindowTitle MicrosoftInternetExplorer 重置IE起始页 HKEY CURRENT USER Software Microsoft InternetExplorer Main StartPage 宏病毒查杀方法 方法1 用WordBasic语言以Word模板方式编制杀毒工具 在Word环境中杀毒 优点 杀毒准确 兼容性好缺点 适合手工 不宜商品化方法2 根据WordBFF格式 在Word环境外解剖病毒文档 模板 去掉病毒宏 缺点 第一 容易将原文档破坏 第二 很容易漏杀病毒 第三 要不断地随着Word版本升级和病毒变化而改变程序 易于商品化 杀毒和病毒入侵的原理完全相同查找感染标记 用新宏代替旧宏病毒 坏 好杀毒 好 坏以Maker病毒为例在Normal dot的 ThisDocument 中加入以下代码 PrivateSubDocument Open DimSaveDocument DocumentInfectedAsBooleanDimadAsObjectDimstrVirusNameAsStringDimintVBComponentNoAsInteger 病毒感染标记 如果要扫描自己 用 连接字符串可以避免误判自己 代码重用时 针对不同的病毒可修改以下两句ConstMarker thisisanother marker strVirusName Marker 将病毒所作的安全修改回来Options VirusProtection True 可能存在的宏代码数目intVBComponentNo Ac