第16講病毒檢測

1、第16講 病毒檢測,,課前檢查,1、靜態(tài)病毒的傳播只能通過文件下載(拷貝)實現。,√,2、靜態(tài)病毒和動態(tài)病毒是絕對的，不會出現轉變。,X,3、病毒的啟動過程就是病毒的首次激活過程。,√,4、當內存中的病毒代碼能夠被系統的正常運行機制所執(zhí)行時，動態(tài)病毒就處于激活態(tài)。,X,5、Trojan.LMir.PSW.60是屬于什么類型的病毒？其主要作用是什么？,√,,1、動態(tài)病毒2、激活態(tài)3、病毒感染4、病毒破壞,,計算機病毒容易感染文件

2、的擴展名為（ ）本地計算機被感本地計算機被感染病毒的途徑可計算機病毒的特點是（ ）,A.Exe B.bat C.com D. doc,A. C,A.使用軟盤 B.軟盤表面受損C.機房電源不穩(wěn)定 D. 上網,A. D,A.傳播性 B.潛伏性 C.破壞性 D. 易讀性,A. B.C,1.方法 （1）計算機

3、病毒檢測方法？ （2）檢測技術的原理2.檢測工具與檢測技術 （1）檢測技術 （2）檢測工具3.檢測技術的歷史發(fā)展,第16講 病毒檢測,學習目標,2.知道檢測技術的工作原理,3.熟悉檢測技術的發(fā)展,,傳播途徑主要有兩種：一種是通過網絡傳播， 一種是通過移動硬件設備傳播。（1）本地計算機 首先在計算機本地進行查殺，切斷病毒發(fā)源地，徹底解決病毒帶來的安全威脅。（2）網絡

4、 網民們在收發(fā)電子郵件、瀏覽網頁、下載軟件、使用即時通訊軟件聊天、進行網絡游戲時，都有可能感染并傳播病毒。網絡連接的頻繁性與廣泛性，已被病毒充分利用，使其成為病毒防治的重要區(qū)域。（3）移動硬件設備,一、計算機病毒檢測方法,1、手工檢測含義：通過一些軟件工具（DEBUG.COM、PCTOOLS.EXE、NU.COM、SYSINFO.EXE等提供的功能） 進行病毒的檢測。要求：需要檢測者熟悉機器指令和操作系統基本過程：利用一

5、些工具軟件，對易遭病毒攻擊和修改的內存及磁盤的有關部分進行檢查，通過和正常情況下的狀態(tài)進行對比分析，來判斷是否被病毒感染。利弊：檢測費時費力，但可剖析新病毒，檢測識別未知病毒，可以檢測一些自動檢測工具不認識的新病毒。,2．自動檢測含義：通過一些診斷軟件來判讀一個系統或一個軟盤是否有毒的方法。要求：需要較好的診斷軟件。利弊：可方便地檢測大量的病毒，但只能識別已知病毒，因為自動檢測工具的發(fā)展總滯后于病毒發(fā)展,,主要檢測病毒方法：比較

6、法、搜索法、分析法、感染實驗法、軟件模擬法、行為檢測法。,,1．借助簡單工具檢測——指DEBUG等常規(guī)軟件工具要求檢測者必須具備的知識：分析工具的性能磁盤內部結構（如BOOT區(qū)、主引導區(qū)、FAT表和文件目錄等有關知識）磁盤文件結構（EXE文件頭部結構，重定位方法、EXE和COM文件加載文件的不同等）中斷矢量表內存管理（內存控制塊、環(huán)境參數和文件的PSP結構等）閱讀匯編程序的能力有關病毒的信息,,2．借助專用工具檢測——

7、指專門的計算機病毒檢測工具，如Norton等 一般來說，專用工具具備自動掃描磁盤的功能，可檢測磁盤的染毒情況。 病毒檢測工具只能識別已知計算機病毒，其發(fā)展總是滯后于計算機病毒的發(fā)展，從而對相當數量的未知計算機病毒無法識別。,,課堂檢測,計算機病毒會造成（ ）的損壞。,A. C,A.硬件 B.軟件 C.數據 D. 程序,A.B. C.D,,

8、D,二、反病毒技術的發(fā)展歷程,第一代反病毒技術：采取單純的計算機病毒特征判斷可以準確地清除計算機病毒，可靠性很高隨著病毒技術的發(fā)展，特別是加密和變形技術的應用，這種簡單的靜態(tài)掃描方式逐漸失去了作用第二代反病毒技術：采用靜態(tài)廣譜特征掃描方法檢測病毒可更多地檢測出變形病毒，但是誤報率也有所提高容易造成文件和數據的破壞,第三代反病毒技術：靜態(tài)掃描技術和動態(tài)仿真技術相結合查找病毒和清除病毒合二為一，形成一個整體解決方案能全面實現預

9、防、檢測和清除等反病毒所必備的各種手段以駐留內存方式防止病毒的入侵，凡是檢測到的計算機病毒都能清除，不會破壞文件和數據第四代反計算機病毒技術： 基于計算機病毒家族體系的命名規(guī)則、基于多位CRC校驗和掃描機理、啟發(fā)式智能代碼分析模塊、動態(tài)數據還原模塊、內存解毒模塊和自身免疫模塊等先進的解毒技術,,三、計算機病毒檢測技術原理,計算機病毒檢測技術：通過一定的技術手段判定出病毒的技術計算機病毒檢測技術種類：根據病毒在特征分類基礎

10、上的檢測技術 根據病毒程序中的關鍵字、特征程序段內容、病毒特征及感染方式、危機程度的變化對文件或數據段的檢驗和進行檢測 不針對具體病毒程序自身檢驗技術，即對某個文件或數據段進行檢驗和計算并保存其結果，以后定期或不定期地根據保存的結果對該文件或數據段進行檢驗，若出現差異，即表示該文件或數據段的完整性已遭到破壞，從而檢測到病毒的存在,反病毒程序計算各個可執(zhí)行程序的校驗和某些反病毒程序是常駐內存程序 反病毒程序常駐

11、內存中，搜索可能進入系統的計算機病毒，其目的是阻止任何病毒感染系統。少數工具可以從感染病毒的程序中清除病毒 少數工具反病毒工具雖可將染毒程序修復好，但有些修復效果不能保證。某些反病毒工具還可能產生虛假報警。反病毒技術的主要分類：病毒診斷技術、病毒治療技術、病毒預防技術,,四、病毒主要檢測技術和特點,1. 外觀檢測法2. 系統數據對比法3. 病毒簽名檢測法4. 特征代碼法5. 檢查常規(guī)內存數6. 校驗和

12、法7. 行為監(jiān)測法（實時監(jiān)控法）8. 軟件模擬法9. 啟發(fā)式代碼掃描技術10. 主動內核技術11. 病毒分析法12. 病毒感染法,1. 外觀檢測法,雖不能準確判斷系統感染了何種病毒，但可通過異?，F象來判斷病毒的存在 外觀檢測法是計算機病毒防治階段起重要作用的一個環(huán)節(jié)1．屏幕顯示異常2．聲音異常3．文件系統異常4．程序異常5．系統異常6．打印機、軟驅等外部設備異常,2. 系統數據對比法,計算機系

13、統的重要數據：主引導扇區(qū)、DOS分區(qū)引導扇區(qū)、軟盤的引導扇區(qū)、FAT表、中斷向量表和設備驅動程序頭等長度比較法及內容比較法依據：計算機病毒感染系統或文件，必然引起系統或文件的變化（長度的變化和內容的變化）注意：只靠檢測長度和內容是不充分的，只能將其作為檢測病毒的手段之一,內存比較法 依據：通常病毒要駐留內存，造成可用內存空間的減少 內存比較法是針對內存駐留計算機病毒進行檢測的方法中斷比較法 依據：計算機病

14、毒為實現其隱藏和傳染破壞的目的，常采用“截留盜用”技術，更改、接管中斷向量，使系統中斷向量轉向執(zhí)行計算機病毒控制部分。 方法：將正常系統的中斷向量與染毒系統的中斷向量進行比較，可發(fā)現是否有計算機病毒修改或盜用中斷向量,,3. 病毒簽名檢測法,計算機病毒簽名：即計算機病毒感染標記不同計算機病毒的簽名內容不同，位置也不同。并非所有計算機病毒都具備計算機病毒簽名。計算機病毒簽名檢測法的特點：必須預先知道計算機病毒簽名的內容和位

15、置 每一種計算機病毒簽名的獲得都要耗費大量勞力，因此用計算機病毒簽名的方法檢測計算機病毒，常常是低效、不適用的方法可能造成虛假報警,4. 特征代碼法,原理：計算機病毒程序通常具有明顯的特征代碼特征代碼可能是病毒的感染標記，由字母和數字組成串可能是一小段程序由若干指令組成，特征代碼不一定連續(xù)方法：通過搜索、比較計算機系統中是否含有與特征代碼數據庫中特征代碼匹配的特征代碼，從而確定系統是否染毒，感染了何種病毒。特點：依賴

16、于對病毒精確特征的了解，必須事先對病毒樣本做大量剖析分析計算機病毒需要很多時間，有時間滯后若病毒特殊代碼段的位置或代碼改動，則原檢測方法失敗,選擇代碼串規(guī)則不能隨意選擇病毒體內的一段作為特征代碼串代碼串不應含有病毒的數據區(qū)保持唯一性的前提下，代碼串應盡量短特征代碼串應最具代表性，足以區(qū)別于其他病毒程序特征代碼串應能區(qū)別于其他正常的非病毒程序實現步驟采集已知計算機病毒樣本從計算機病毒樣本中，抽取計算機病毒特征代碼將特

17、征代碼納入計算機病毒數據庫檢測文件,,優(yōu)缺點特征代碼法的優(yōu)點：檢測準確，快速可識別計算機病毒的具體類型誤報率低依據檢測結果，針對病毒類型可做殺毒處理特征代碼法的缺點：對于新計算機病毒，發(fā)現特征代碼的時間滯后搜集已知計算機病毒的特征代碼的研發(fā)開銷大在網絡上效率低，影響整個網絡性能,,高品質計算機病毒檢測工具應具有的屬性高速性：隨著計算機病毒數量的不斷增加，檢測計算機病毒的時間開銷就不斷增加誤報率低：具有檢測多態(tài)性

18、計算機病毒的能力：多態(tài)形計算機病毒能夠變換自己的外觀，如插入一些無害的指令隨機分散到代碼中，也可通過使用不同的密鑰進行加密來產生變種能對付隱蔽性計算機病毒：隱蔽性計算機病毒若先于病毒檢測工具進入內存，事先剝去病毒代碼，從而躲避檢測工具的檢測,,5. 檢查常規(guī)內存數,原理：病毒在發(fā)作、執(zhí)行時必將占用一定的系統資源。大多數病毒都常駐內存，并修改系統數據區(qū)記錄的系統內存數或內存控制塊中的數據方法：利用一些工具軟件，通過檢查內存的大小和內存

19、使用情況來判斷系統是否染毒：查閱有無可疑的駐留文件查看駐留文件有無可疑的中斷向量值通過內存信息查看駐留文件的大小是否合適檢查常規(guī)內存數的方法：查看系統內存總數，與正常情況進行比較檢查系統內存高端的內容，判斷其中的代碼是否可疑,6. 校驗和法,原理：針對正常程序內容計算其校驗和，將其寫入該程序或其他程序中保存。在程序應用中，定期或每次使用前，計算程序當前內容校驗和與原校驗和是否一致，從而發(fā)現病毒的存在特點：可發(fā)現已知病毒，

20、也可發(fā)現未知病毒校驗和法不能識別病毒的種類，不能報出病毒具體名稱校驗和法誤報率很高方法：在計算機病毒工具中納入校驗和在應用程序中放入校驗和和自我檢查功能將校驗和檢查程序常駐內存,優(yōu)缺點：校驗和法的優(yōu)點：方法簡單能發(fā)現未知計算機病毒能發(fā)現被檢查程序的細微變化校驗和法的缺點：必須預先記錄程序正常狀態(tài)的校驗和誤報率高不能識別計算機病毒的種類不能對付隱蔽性計算機病毒,,7. 行為監(jiān)測法（實時監(jiān)控法）,原理：病毒有

21、些行為是病毒的共同行為，且比較特殊，甚至罕見。程序運行時，監(jiān)視其行為，若發(fā)現病毒行為，立即報警檢測病毒的行為特征占用INT 13H修改DOS系統數據區(qū)的內存總量對.COM和.EXE文件做寫入操作計算機病毒與宿主程序的邦定和切換格式化磁盤或某些磁道等破壞行為掃描、試探特定網絡端口發(fā)送網絡廣播修改文件、文件夾屬性，添加共享等,病毒防火墻計算機病毒防火墻：基于實時反計算機病毒技術之上提出的，其宗旨是對系統實施實時監(jiān)控，對流

22、入、流出系統的數據中可能含有的計算機病毒代碼進行過濾。對計算機病毒的過濾有良好的實時性病毒防火墻的“雙向過濾”功能保證本地系統不會外傳播病毒病毒防火墻操作更簡單、更透明優(yōu)缺點優(yōu)點：可可發(fā)現已知病毒，也可較準確地預報未知多數病毒缺點：可能誤報警；不能識別病毒的名稱；實現有一定難度,,8. 軟件模擬法,軟件模擬法：專門用來檢測變形病毒，即多態(tài)性病毒變形病毒特征：病毒傳播到目標后，病毒自身代碼和結構在空間上、時間上具有不同的變化

23、。變形病毒類型：第一類：一維變形計算機病毒 當病毒傳播到一個目標后，其自身代碼與前一目標中的病毒代碼幾乎沒有3個連續(xù)字節(jié)是相同的，但其相對空間的排列位置是不變的 個別病毒遇到檢測時能進行自我加密或解密，或自我消失 有的病毒能在列目錄時能消失增加的字節(jié)數，或在加載跟蹤時能破壞跟蹤或逃之夭夭,變形病毒類型：第二類：二維變形計算機病毒 除了具備一維變形病毒的特征外，而且變化的代碼相互間的排列距離（相對空

24、間位置）也是變化的第三類：三維變形計算機病毒 除了具備二維變形病毒的特征外，而且能分裂后分別潛藏幾處，當病毒引擎激活后能自我恢復成一個完整的計算機病毒 計算機病毒在附著體上的空間位置是變化的，即潛藏位置不定第四類：四維變形計算機病毒 具備三維變形病毒的特征，而且這些特性隨時間動態(tài)變化 四維變形病毒大部分具備網絡自動傳播功能，能在網絡的不同角落到處隱藏,,檢測：一般而言，多態(tài)計算機病毒的變換方式：采用

25、等價代碼對原有代碼進行替換；改變與執(zhí)行次序無關的指令的次序；增加許多垃圾指令；對原有病毒代碼進行壓縮或加密。軟件模擬技術：又稱為解密引擎、虛擬機技術、虛擬執(zhí)行技術或軟件仿真技術 軟件模擬技術是一種軟件分析器，用軟件方法模擬一個程序運行環(huán)境，將可疑程序載入其中運行，在執(zhí)行過程中，待計算機病毒對自身進行解碼后，再運用特征代碼法來識別病毒的種類，并進行清除，從而實現對各類多態(tài)病毒的查殺。,,9. 啟發(fā)式代碼掃描技術,1. 計算

26、機病毒掃描技術：當前最主要的查殺方式 主要通過檢查文件、扇區(qū)和系統內存來搜索計算機病毒，用“標記”查找已知病毒。病毒標記就是病毒常用代碼的特征按殺毒方式分類：通用掃描：不依賴操作系統，可查找各種病毒專用掃描：專查某種計算機病毒按用戶操作方式分類：實時掃描：若出現計算機病毒，能夠立即發(fā)現請求掃描：只在運行時才能檢測計算機病毒檢測病毒的主要依據：病毒和正常程序之間存在很多區(qū)別,2．啟發(fā)式代碼掃描：又稱啟發(fā)式職能代碼分析

27、 將人工智能的知識和原理運用到計算機病毒檢測中 運用啟發(fā)式掃描技術的計算機病毒檢測軟件，實際上就是以人工智能的方式實現的動態(tài)反編譯代碼分析、比較器，通過對程序有關指令序列進行反編譯，逐步分析、比較，根據其動機判斷是否為計算機病毒。3．啟發(fā)式掃描通常應設立的標志： 為了對程序可能的操作進行加權統計和描述，計算機病毒檢測程序會對被檢測程序作疑似計算機病毒的標記。 如：TBScan定義的常用標志,,4．誤報/

28、漏報誤報：將一個本無計算機病毒的程序指證為染毒程序漏報：將一個計算機病毒程序作為正常程序處理產生原因：被檢測程序中含有病毒所使用或含有的可疑功能減少或避免誤報/漏報：準確把握病毒的行為和可疑功能調用集合的精確定義；對于常規(guī)程序代碼的識別能力；對于特定程序代碼的識別能力；類似“無罪假定”的功能。,,5．其他掃描技術CRC掃描：磁盤中的實際文件或系統扇區(qū)的CRC值（檢驗和），這些CRC值被殺毒軟件保存在自己的數據庫中，在運

29、行殺毒軟件時，用備份的CRC值與當前計算的值比較，可知文件是否已被修改或被計算機病毒感染。,,10. 主動內核技術,Active K（主動內核）技術的要點在于能夠在計算機病毒突破計算機系統軟、硬件的瞬間發(fā)生作用。一方面不會傷及計算機系統本身；另一方面對企圖入侵系統的計算機病毒具有徹底攔截并殺除的作用。 主動內核技術：從操作系統內核的深度，給操作系統和網絡系統打一“主動”的補丁，從安全角度對系統進行管理和檢查，對系統的漏洞進行修補

30、，任何文件在進入系統之前，作為主動內核的反病毒模塊都將首先使用各種手段對文件進行檢測處理。,11. 病毒分析法,使用病毒分析法的人——反計算機病毒技術人員使用病毒分析法的目的：即使用病毒分析法的工作順序確認被觀察的磁盤引導扇區(qū)和程序中是否有病毒確認病毒的類型和種類，判斷其是否是一種新病毒分析病毒的大致結構，提取特征字符串或特征字詳細分析病毒代碼，為制定相應的反病毒措施制定方案,使用病毒分析法的要求： 具有比較全面的有

31、關計算機、DOS結構和功能調用以及關于計算機病毒方面的各種知識。此外，還需要Debug、Provie等分析用工具軟件和專用的試驗用計算機。靜態(tài)分析：利用Debug等反匯編程序將計算機病毒反匯編后進行分析，分析病毒的組成模塊、病毒使用的系統調用，病毒采用的技巧、清除病毒的方法，特征碼的選取動態(tài)分析：利用Debug等調試工具在內存帶毒情況下，對病毒作動態(tài)跟蹤，觀察病毒的具體工作過程，在靜態(tài)分析基礎上理解病毒的工作原理,,12. 病毒感染

32、法,感染實驗法： 用于檢測病毒檢測工具不認識的新計算機病毒，可擺脫對計算機病毒檢測工具的依賴，自主地檢測可疑的新計算機病毒原理： 利用計算機病毒的最重要的基本特征——感染特性檢測未知引導型計算機病毒的感染實驗法檢測未知文件型計算機病毒的感染實驗法,檢測,4、（ ）檢測方法可檢測未知的病毒，可脫離于工具的依賴。,B.,A.病毒感染法 B.病毒分析

33、法 C.校驗和法 D. 主動內核技術 E.特征代碼法,A.,5、任何人都可使用病毒分析法對病毒進行檢測。,X,3、利用Debug等反匯編程序將計算機病毒反匯編后分析病毒的組成模塊等是采用（ )的靜態(tài)分析。,2、（ )既能發(fā)現已知病毒，又能發(fā)現未知病毒，但不能識別病毒種類。,C.,1、通過搜索、比較計算機系統中是否含有與特征代碼數據庫中特征代碼匹配的特征代碼