欢迎来到天天文库
浏览记录
ID:38909630
大小:1.80 MB
页数:37页
时间:2019-06-21
《《反病毒技术概述》PPT课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、反病毒技术概述瑞星信息安全技术培训–反病毒技术-反病毒技术剖析反病毒技术剖析反病毒技术概述病毒诊断技术反病毒引擎技术剖析瑞星信息安全技术培训–反病毒技术概述反病毒技术概述Agenda反病毒技术概述特征值虚拟机技术启发式扫描病毒疫苗瑞星信息安全技术培训–反病毒技术概述反病毒技术概述病毒疫苗举例:“美丽莎”病毒修改Windows注册表项:HKEY_CURRENT_RSERSoftwareMicrosoftOffice,增加表项:Melissa并赋值为byKwyjibo瑞星信息安全技术培训–反病毒技术概述反病毒技术概述反病毒技术剖析反病毒技术概述病毒诊断技术反病毒引擎技术
2、剖析瑞星信息安全技术培训–反病毒技术概述Agenda病毒诊断技术病毒诊断技术计算机病毒比较法诊断原理计算机病毒校验法诊断原理计算机病毒扫描法诊断原理计算机病毒行为监测法诊断原理计算机病毒行为感染试验法诊断原理计算机病毒行为软件模拟法诊断原理计算机病毒分析法诊断的原理瑞星信息安全技术培训–反病毒技术概述病毒诊断技术病毒诊断技术-计算机病毒比较法瑞星信息安全技术培训–反病毒技术概述病毒诊断技术长度比较内容比较内存比较中断比较病毒诊断技术-计算机病毒比较法瑞星信息安全技术培训–反病毒技术概述病毒诊断技术长度比较病毒感染系统或文件长度的变化变化可能是合法的某些病毒感染文件时长度可
3、保持不变病毒诊断技术-计算机病毒比较法瑞星信息安全技术培训–反病毒技术概述病毒诊断技术内容比较病毒感染系统或文件内容的变化变化可能是合法的病毒诊断技术-计算机病毒比较法瑞星信息安全技术培训–反病毒技术概述病毒诊断技术内存比较病毒驻留内存必须在内存中申请空间与正常系统内存的占用空间进行比较对于隐蔽型病毒无效病毒诊断技术-计算机病毒比较法瑞星信息安全技术培训–反病毒技术概述病毒诊断技术中断比较病毒为实现隐蔽和传染,常更改、接管中断向量与正常系统中的中断向量进行比较,判断是否有修改和盗用病毒诊断技术计算机病毒比较法诊断原理计算机病毒校验法诊断原理计算机病毒扫描法诊断原理计算机病
4、毒行为监测法诊断原理计算机病毒行为感染试验法诊断原理计算机病毒行为软件模拟法诊断原理计算机病毒分析法诊断的原理瑞星信息安全技术培训–反病毒技术概述病毒诊断技术病毒诊断技术-计算机病毒扫描法瑞星信息安全技术培训–反病毒技术概述病毒诊断技术扫描法是用每一种病毒体含有的特定字符串对被检测的对象进行扫描。如果在被检测对象内部发现了某一种特定字符串,就表明发现了该字符串所代表的病毒。特征代码扫描法特征字扫描法对比诊断分析瑞星信息安全技术培训–反病毒技术概述病毒诊断技术-计算机病毒扫描法特征代码扫描法病毒扫描软件由两部分组成:一部分是病毒代码库,含有经过特别选定的各种计算机病毒的代码
5、串;另一部分是利用该代码库进行扫描的扫描程序。病毒诊断技术对比诊断分析病毒诊断技术-计算机病毒扫描法选择代码串的规则是:代表性避开数据区。尽量使特征代码长度简短区别于其它病毒及其变种将病毒与正常的非病毒程序区分开瑞星信息安全技术培训–反病毒技术概述反病毒技术对比诊断分析瑞星信息安全技术培训–反病毒技术概述反病毒技术病毒诊断技术-计算机病毒扫描法例如给定特征串:“E97C0010?37CB”“E97C00102737CB”“E97C00109C37CB”又例如:“E97C37CB”“E97C0037CB”“E97C001137CB”“E97C00112237CB”“E97C
6、001122334437CB”(不匹配)瑞星信息安全技术培训–反病毒技术概述反病毒技术病毒诊断技术-计算机病毒扫描法特征串扫描的优点当特征串选择得很好时,软件操作方便用PCTOOLS等软件也能用特征串扫描法去检测特定病毒。可识别病毒的名称误报警率低依据检测结果,可做杀毒处理特征串扫描的缺点当文件很长时费时间多不易选出合适的特征串新病毒的特征串未加入病毒代码库时,无法识别出新病毒代码库泄密会影响检测能力容易产生误报不易识别MutationEngine类病毒搜集已知病毒的特征代码,费用开销大在网络上使用效率低病毒诊断技术-计算机病毒扫描法特征字扫描法速度更快、误报警更少,但仍
7、然存在特征代码扫描法所具有的一些缺点。只需从病毒体内抽取很少几个关键的特征字组成特征字库。需要处理的字节很少,而又不必进行串匹配,加快了识别速度。瑞星信息安全技术培训–反病毒技术概述反病毒技术对比诊断分析病毒诊断技术-行为监测法诊断原理检测的行为包括占用INT13H修改DOS系统数据区的内存总量以COM和EXE文件做写入动作病毒程序与宿主程序的切换瑞星信息安全技术培训–反病毒技术概述反病毒技术对比诊断分析病毒诊断技术-行为感染试验法行为感染试验法感染实验是一种简单实用的检测病毒方法。当病毒检测工具不能发现病毒时,使用感染实验法
此文档下载收益归作者所有