信息安全基础 课件 7.病毒的检测与预防

信息安全基础InformationSecurityFundamentals7.3病毒的检测与防范计算机病毒防治本节内容病毒引起的异常情况病毒查杀的工作原理病毒的预防措施1.病毒引起的异常情况计算机系统运行速度明显降低系统容易死机文件改变、破坏磁盘空间迅速减少内存不足系统异常频繁重启动频繁产生错误信息2.病毒查杀的工作原理计算机病毒程序的构成感染标志：病毒在感染前，需要先通过识别感染标志判断计算机系统是否感染。若没有感染，则将病毒程序的主体设法引导安装在计算机系统，为其感染模块和破坏表现模块的引入、运行和实施做好准备。引导模块：实现将病毒程序引入计算机内存，并使得传染和表现模块处于活动状态。引导模块需要提供自我保护功能，避免在内存中的自身代码不被覆盖和清除。感染模块：（1）感染条件判断子模块：依据引导模块设置的传染条件，判断当前系统环境是否满足传染条件。（2）传染功能实现子模块：如果传染条件满足，则启动传染功能，将病毒程序附加在其他宿主程序上。破坏模块：包括两部分，一是激发控制，当病毒满足条件就发作；另一个就是破坏操作，不同病毒有不同的操作方法，典型的恶性病毒是疯狂拷贝、删除文件。特征代码法特征代码法是现在的大多数反病毒软件的静态扫描所采用的方法，是检测已知病毒最简单、开销最小的方法。当杀毒软件公司收集到一种新的病毒时，就会从这个病毒程序中截取一小段独一无二而且足以表示这种病毒的二进制代码，来当作扫描程序辨认此病毒的依据。这种独一无二的二进制代码就是所谓的病毒特征码。将病毒的特征码存放于病毒代码库文件中，在扫描病毒的时候将扫描对象与特征代码库比较，如果吻合，则判断为感染上病毒。特征代码法实现起来简单，对于查杀传统的文件型病毒特别有效，而且由于已知特征代码，清除病毒十分安全和彻底。2.病毒查杀的工作原理特征代码法的特点优点：检测准确、可识别病毒的名称、误报警率低、依据检测结果可做杀毒处理。缺点：速度慢。检索病毒时，必须对每种病毒特征代码逐一检查，随着病毒种类的增多，特征代码也增多，检索时间就会变长。不能检查多形性病毒。不能对付隐蔽性病毒。隐蔽性病毒如果先进驻内存，然后运行病毒检测工具，隐蔽性病毒就能先于检测工具将被查文件中的病毒代码剥去，检测工具只是在检查一个虚假的“好文件”，而不会报警，被隐蔽性病毒所蒙骗。不能检查未知病毒。对于从未见过的新病毒，病毒特征代码法自然无法知道其特征代码，因而无法检测这些新病毒。2.病毒查杀的工作原理校验和法病毒在感染程序时，大多都会使被感染的程序大小增加或者日期改变，检验和法就是根据病毒的这种行为来进行判断的。首先把硬盘中的某些文件（如计算磁盘中的实际文件或系统扇区的CRC校验和）的资料汇总并记录下来。在以后的检测过程中，重复此项动作并与前次记录进行比较，借此来判断这些文件是否被病毒感染。2.病毒查杀的工作原理校验和法的特点优点：方法简单，能发现未知病毒，被查文件的细微变化也能被发现。缺点：由于病毒感染并非文件改变的唯一原因，文件的改变常常是正常程序引起的，如常见的正常操作（如版本更新、修改参数等），所以检验和法误报率高。效率较低。不能识别病毒名称。不能对付隐蔽型病毒。2.病毒查杀的工作原理行为监测法病毒感染文件时，常常有一些不同于正常程序的行为。利用病毒的特有行为和特性监测病毒的方法称为行为监测法。通过对病毒多年的观察、研究，发现有一些行为是病毒的共同行为，而且比较特殊，而在正常程序中这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警。行为监测法就是引入一些人工智能技术，通过分析检查对象的逻辑结构，将其分为多个模块，分别引入虚拟机中执行并监测，从而查出使用特定触发条件的病毒。行为监测法的优点在于：不仅可以发现已知病毒，而且可以相当准确地预报未知的多数病毒。行为监测法的缺点在于：可能误报警，不能识别病毒名称，实现起来有一定的难度。2.病毒查杀的工作原理虚拟机技术多态性病毒代码实施密码化，而且每次所使用的密钥不同，把感染的病毒代码相互比较，也无法找出相同的可能作为特征的稳定的代码。对于这种病毒，特征代码法失效。虽然行为监测法可以检测多态性病毒，但是在检测出病毒后，因为不知道病毒的种类，难于进行杀毒处理。为了检测多态性病毒和一些未知病毒，可以应用新的检测方法——虚拟机技术（软件模拟法）。“虚拟机技术”即是在计算机中创造一个虚拟系统，通过生成现有操作系统的全新虚拟镜像，其具有真实系统完全一样的功能。将病毒在虚拟环境中激活，从而观察病毒的执行过程，根据其行为特征，从而判断是否为病毒。“虚拟机技术”主要对加壳和加密的病毒非常有效，因为这两类病毒在执行时最终还是要自身脱壳和解密，这样杀毒软件就可以在其“现出原形”之后通过特征码查毒法对其进行查杀。2.病毒查杀的工作原理虚拟机技术虚拟机技术是一种软件分析器，用软件方法来模拟和分析程序的运行。虚拟机技术一般结合特征代码法和行为监测法一起使用。在反病毒软件中引入虚拟机是由于综合分析了大多数已知病毒的共性，并基本可以认为在今后一段时间内的病毒大多会沿袭这些共性。由此可见，虚拟机技术是离不开传统病毒特征码技术的。