计算机安全-2.3 病毒防御技术n.ppt

1网络与信息安全病毒防御技术2第三节病毒防御技术一、概述二、杀毒技术三、清除病毒四、未来趋势3 1反病毒技术概述反病毒技术的发展历程–第一代反病毒技术采用单纯的病毒特征代码分析,清除染毒文件中的病毒–第二代反病毒技术采用静态广谱特征扫描技术检测病毒,可以检测变形病毒,但是误报率高–第三代反病毒技术将静态扫描技术和动态仿真跟踪技术结合起来,将查找病毒和清除病毒合二为一–第四代反病毒技术主动防御技术4反病毒技术的发展阶段计算机反病毒发展史以1998年为界分为前十年和后十年两个重要阶段。前十年历史主要是查杀感染文件型和引导区病毒的历史,后十年主要是针对蠕虫和木马的历史。–病毒技术也从以前以感染文件和复制自身,给电脑用户带来麻烦和恶作剧为目的,变成了以隐藏和对抗杀毒软件并最终实施盗号窃秘为目的。–2008年以来,病毒逃避杀毒软件追杀的能力在不断提升,内核级驱动、映像劫持、ROOTKIT、注册表关联、插入进程/线程、加壳加密等–计算机反病毒技术在与计算机病毒的较量中也得到了升华,与20年前相比已经已经有了质的飞跃。5计算机病毒防范的概念计算机病毒防范,是指通过建立合理的计算机病毒防范体系和制度,及时发现计算机病毒侵入,并采取有效的手段阻止计算机病毒的传播和破坏,恢复受影响的计算机系统和数据–计算机病毒能利用读写文件进行感染,利用驻留内存、截取中断向量等方式能进行传染和破坏。预防计算机病毒就是要监视、跟踪系统内类似的操作,提供对系统的保护,最大限度地避免各种计算机病毒的传染破坏。6必须具有的安全意识对计算机病毒应持有如下态度:–承认计算机病毒的客观存在–应该具有安全意识,积极采取预防措施,堵塞计算机病毒的传染途径–不惧怕病毒,树立必胜的信念;发现病毒,冷静处理7 2 病毒检测方法综述检测计算机病毒的方法有两种–手工检测利用Debug、PCTools、SysInfo、WinHex等工具软件进行病毒的检测这种方法比较复杂,费时费力可以剖析病毒、可以检测一些自动检测工具不能识别的新病毒–自动检测利用一些专业诊断软件来判断引导扇区、磁盘文件是否有毒的方法自动检测比较简单,一般用户都可以进行,但需要较好的诊断软件可方便地检测大量的病毒,自动检测工具的发展总是滞后于病毒的发展8手工检测使用分析法的人一般不是普通用户,而是反病毒技术人员使用分析法的目的在于:–确认被观察的引导扇区和程序中是否含有病毒–确认病毒的类型和种类,判定其是否是一种新病毒–搞清楚病毒体的大致结构,提取特征识别用的字符串或特征字,并增添到病毒代码库供病毒扫描和识别程序使用–详细分析病毒代码,为制定相应的反病毒措施制定方案上述四个目的按顺序排列起来,正好大致是使用分析法的工作顺序使用分析法要求具有比较全面的计算机体系结构、操作系统以及有关病毒技术的各种知识9 2 自动检测关键技术比较法–基于多位CRC校验基于病毒特征码扫描分析启发式智能代码分析动态数据还原内存扫描人工免疫10 比较法诊断的原理比较法是用原始的正常备份与被检测的内容(引导扇区或被检测的文件)进行比较–长度比较法–内容比较法–内存比较法–中断比较法