计算机安全-2.3.病毒防御技术n.ppt

网络与信息安全
病毒防御技术
1
第三节病毒防御技术
一、概述
二、杀毒技术
三、清除病毒
四、未来趋势
2
1反病毒技术概述
反病毒技术的发展历程
第一代反病毒技术
采用单纯的病毒特征代码分析,清除染毒文件中的病毒
第二代反病毒技术
采用静态广谱特征扫描技术检测病毒,可以检测变形病毒,但是误报率高
第三代反病毒技术
将静态扫描技术和动态仿真跟踪技术结合起来,将查找病毒和清除病毒合二为一
第四代反病毒技术
主动防御技术
3
反病毒技术的发展阶段
计算机反病毒发展史以1998年为界分为前十年和后十年两个重要阶段。
前十年历史主要是查杀感染文件型和引导区病毒的历史,后十年主要是针对蠕虫和木马的历史。
病毒技术也从以前以感染文件和复制自身,给电脑用户带来麻烦和恶作剧为目的,变成了以隐藏和对抗杀毒软件并最终实施盗号窃秘为目的。
2008年以来,病毒逃避杀毒软件追杀的能力在不断提升,内核级驱动、映像劫持、ROOTKIT、注册表关联、插入进程/线程、加壳加密等
计算机反病毒技术在与计算机病毒的较量中也得到了升华,与20年前相比已经已经有了质的飞跃。
4
计算机病毒防范的概念
计算机病毒防范,是指通过建立合理的计算机病毒防范体系和制度,及时发现计算机病毒侵入,并采取有效的手段阻止计算机病毒的传播和破坏,恢复受影响的计算机系统和数据
计算机病毒能利用读写文件进行感染,利用驻留内存、截取中断向量等方式能进行传染和破坏。预防计算机病毒就是要监视、跟踪系统内类似的操作,提供对系统的保护,最大限度地避免各种计算机病毒的传染破坏。
5
必须具有的安全意识
对计算机病毒应持有如下态度:
承认计算机病毒的客观存在
应该具有安全意识,积极采取预防措施,堵塞计算机病毒的传染途径
不惧怕病毒,树立必胜的信念;发现病毒,冷静处理
6
2 病毒检测方法综述
检测计算机病毒的方法有两种
手工检测
利用Debug、PCTools、SysInfo、WinHex等工具软件进行病毒的检测
这种方法比较复杂,费时费力
可以剖析病毒、可以检测一些自动检测工具不能识别的新病毒
自动检测
利用一些专业诊断软件来判断引导扇区、磁盘文件是否有毒的方法
自动检测比较简单,一般用户都可以进行,但需要较好的诊断软件
可方便地检测大量的病毒,自动检测工具的发展总是滞后于病毒的发展
7
手工检测
使用分析法的人一般不是普通用户,而是反病毒技术人员
使用分析法的目的在于:
确认被观察的引导扇区和程序中是否含有病毒
确认病毒的类型和种类,判定其是否是一种新病毒
搞清楚病毒体的大致结构,提取特征识别用的字符串或特征字,并增添到病毒代码库供病毒扫描和识别程序使用
详细分析病毒代码,为制定相应的反病毒措施制定方案
上述四个目的按顺序排列起来,正好大致是使用分析法的工作顺序
使用分析法要求具有比较全面的计算机体系结构、操作系统以及有关病毒技术的各种知识
8
2 自动检测关键技术
比较法
基于多位CRC校验
基于病毒特征码扫描分析
启发式智能代码分析
动态数据还原
内存扫描
人工免疫
9
比较法诊断的原理
比较法是用原始的正常备份与被检测的内容(引导扇区或被检测的文件)进行比较
长度比较法
内容比较法
内存比较法
中断比较法
10