病毒防护技术三反病毒技术.ppt

补充计算机病毒防护技术
概述
计算机病毒工作机制
反病毒技术
典型计算机病毒
计算机病毒查杀软件
反病毒技术
计算机病毒检测技术
计算机病毒清除
计算机病毒免疫
计算机病毒预防
病毒技术与反病毒技术存在着相互对立相互依存的关系,二者在彼此的较量中不断发展。
总的来讲病毒技术落后于反病毒技术。
计算机病毒的防治可分为:计算机病毒的检测、计算机病毒的清除、计算机病毒的免疫和计算机病毒的预防。
一、计算机病毒主要检测技术
检测计算机病毒方法有:外观检测法、特征代码法、系统数据对比法、实时监控法和软件模拟法等方法,这些方法依据的原理不同,实现时所需开销不同,检测范围也不同,各有所长。
1. 外观检测法
计算机病毒侵入计算机系统后,通常会使计算机系统的某些部分发生变化,进而引发一些异常现象,如屏幕显示异常、声音异常、文件系统异常、系统运行速度的异常、打印机并行端口的异常和通信串行口的异常等。
这些异常虽然不能准确地判断系统感染了何种计算机病毒,但是可以根据这些异常现象来判断计算机病毒的存在,尽早地发现计算机病毒,便于及时有效地进行处理。外观检测法是计算机病毒防治过程中起着重要辅助作用的一个环节,可通过其初步判断计算机是否感染了计算机病毒。
2. 比较法
进行原始的或者正常的预备检验对象的特征比较
由于病毒的感染会引起文件长度和内容、内存以及中断向量的变化,从这些特征的比较中可以发现异常,从而判断病毒的有无。
优点:简单,方便,不用专用的软件。
缺点:无法确认计算机病毒的种类和名称。

计算机病毒程序通常具有明显的特征代码,特征代码可能是计算机病毒的感染标记(由字母或数字组成串),如“快乐的星期天”计算机病毒代码中含有“Today is Sunday”, “1434”计算机病毒代码中含有“It is my birthday”等。
在被计算机病毒感染的文件或计算机中,总能找到这些特征代码。将这些己知计算机病毒的特征代码串收集起来就构成了计算机病毒特征代码数据库,这样,我们就可以通过搜索、比较计算机系统(可能是文件、磁盘、内存等)中是否含有与特征代码数据库中特征代码匹配的特征代码,来确定被检计算机系统是否感染了计算机病毒,并确定感染了何种计算机病毒。
1)实现步骤:
特征代码法被广泛应用于很多著名计算机病毒检测工具中,是目前被公认为是检测己知计算机病毒的最简单、开销最小的方法。特征代码法的实现步骤如下。
(1)采集己知计算机病毒样本。
(2)在计算机病毒样本中,抽取计算机病毒特征代码。
(3)将特征代码纳入计算机病毒数据库。
(4)检测文件。打开被检测文件,在文件中搜索,根据数据库中的计算机病毒特征代码, 检查文件中是否含有这些特征代码,如果发现计算机病毒特征代码,由特征代码与计算机病毒一一对应,便可以断定,被查文件所感染的是何种计算机病毒。
2)优缺点
特征代码法的优点如下:
(1)检测准确,快速;
(2)可识别计算机病毒的具体类型:
(3)误报率低:
(4)依据检测结果,针对具体计算机病毒类型,可做杀毒处理。