返回
计算机病毒原理及防范技术 第10章 病毒对抗技术

计算机病毒原理及防范技术 第10章 病毒对抗技术

ID:19457659

大小:457.00 KB

页数:55页

时间:2018-10-02

计算机病毒原理及防范技术 第10章 病毒对抗技术_第1页
计算机病毒原理及防范技术 第10章 病毒对抗技术_第2页
计算机病毒原理及防范技术 第10章 病毒对抗技术_第3页
计算机病毒原理及防范技术 第10章 病毒对抗技术_第4页
计算机病毒原理及防范技术 第10章 病毒对抗技术_第5页
资源描述:

《计算机病毒原理及防范技术 第10章 病毒对抗技术》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、计算机病毒原理及理论第十章病毒对抗技术第十章病毒对抗技术10.3病毒防御技术10.2病毒的清除10.1病毒的检测技术本章学习导读10.4病毒样本的获取方法本章小结本章学习导读本章主要讲解如何对抗病毒。首先介绍如何检测找到病毒,然后讲解如何将找到的病毒清除,接着讲解在发现病毒之前如何去防御病毒,最后讲解如何去获取病毒样本。10.1病毒的检测技术10.1.4校验检测技术10.1.3行为监测技术10.1.2特征值检测技术10.1.1危险信号10.1.5启发式扫描10.1.6虚拟机技术10.1.1危险信号1.磁盘的主引导扇区的信号检查硬盘主引导扇区是否被感染,可

2、用DEBUG编写一段程序,读出0面,0柱面,1扇区的内容。或者使用软件,在二级菜单中选物理扇区(Absolutesector),在提示下输入0面(side),0柱面(cylinder),1扇区(sector),读出主引导扇区。10.1.1危险信号2.可执行文件的信号对于寄生在可执行文件中的病毒来说,病毒程序一般通过修改原有可执行文件,使该文件执行首先转入病毒程序引导模块,该引导模块也完成把病毒程序的其它两个模块驻留及初始化的工作,然后把执行权交给执行文件,使系统及执行文件在带毒的状态下运行。10.1.1危险信号3.内存空间的信号计算机病毒在传染或执行时,

3、必然要占有一定的内存空间,并驻留在内存中,等待时机进行攻击或传染。10.1.1危险信号4.特征的信号一些常见的病毒具有很明显的特征,即病毒中含有特殊的字符串。用抗病毒软件检查文件中是否存在这些特征,从而判定是否发生感染。特征搜索法可以确诊病毒类型。10.1.2特征值检测技术计算机病毒的特征值是指计算机病毒本身在特定的寄生环境中确认自身是否存在的标记符号,即指病毒在传染宿主程序时,首先判断该病毒欲传染的宿主是否已染有病毒时,按特定的偏移量从文件中提出的特征值。10.1.2特征值检测技术1.传统的特征值搜索技术(1)采集已知的病毒样本。(2)在病毒样本中,抽

4、取特征值。(3)获取病毒特征值(4)将特征串纳入病毒特征数据库10.1.2特征值检测技术2.传统的病毒特征串搜索技术的缺陷(1)当被扫描的文件很长时,扫描所花时间也越多。(2)不容易选出合适的特征串,很多时候会发出假警报。(3)在新病毒的特征串还未加入病毒代码库时,老版本的扫毒程序无法识别出新病毒。(4)怀有恶意的计算机病毒制造者得到代码库后,会很容易地改变病毒体内的代码,生成一个新的变种,使扫描程序失去检测它的能力。(5)容易产生误警报。(6)不易识别Mutation Engine类病毒。(7)搜集已知病毒的特征代码,费用开销大。(8)在网络上使用效率

5、低。10.1.2特征值检测技术3.广谱特征串选取(1)提取变形病毒的多个感染样本。(2)在每个样本的相同位置抽取适当长度的病毒代码。(3)比较这些病毒特征串,依次记下各个样本完全相同的代码。(4)如果在各个样本的病毒特征串中,从第一组(有1个字节以上含1个字节)相同的特征串到第二组相同的特征串之间的代码,不仅常变换,而且在每一个样本中,它们之间的间距也不相同。如果是在32个字节内变化,可以用双“%%”百分号来过滤这些变化的代码。(5)按以上方法处理完病毒特征串,最后得到的就是病毒的广谱特征串。10.1.2特征值检测技术4.建立病毒广谱特征串选取注意事项(

6、1)病毒广谱特征串后面的汉字串中不得使用西文双引号。(2)双问号“??”和百分号“%%”可交叉使用。(3)当两组病毒特征代码之间的距离大于32个字节时,大于部分可增加一些双问号“??”来接续,或多用几个“%%”双百分号。(4)特征值中至少要有三组不变的病毒代码。10.1.2特征值检测技术特征值检测的优点1)当特征串选择得很好时,病毒检测软件让计算机用户使用起来方便快速,对病毒了解不多的人也能用它来发现病毒。2)不用专门软件,用编辑软件也能用特征串扫描法去检测特定病毒。3)可识别病毒的名称。4)误报警率低。5)依据检测结果,可做杀毒处理。10.1.3行为监

7、测技术利用病毒的特有行为特征性来监测病毒的方法,称为行为监测法。通过对病毒多年的观察、研究,发现病毒有一些共同行为。在正常应用程序中,这些行为比较罕见,这就是病毒的行为特性。10.1.3行为监测技术监测病毒的行为特征:(1)写注册表(2)自动联网请求(3)占用INT13H(4)修改DOS系统数据区的内存总量(5)对COM和EXE文件做写入动作(6)病毒程序与宿主程序的切换10.1.4校验检测技术将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存。在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和

8、是否一致,从而可以发现文件是否感染,这种方法叫校验和法,它既可发现已知病毒又可发

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。