第16講(病毒檢測)

1、1、靜態(tài)病毒的傳播只能通過文件下載、靜態(tài)病毒的傳播只能通過文件下載(拷貝拷貝)實現(xiàn)實現(xiàn)。2、靜態(tài)病毒和動態(tài)病毒是絕對的，不會出現(xiàn)轉(zhuǎn)變、靜態(tài)病毒和動態(tài)病毒是絕對的，不會出現(xiàn)轉(zhuǎn)變。X3、病毒的啟動過程就是病毒的首次激活過程。、病毒的啟動過程就是病毒的首次激活過程。4、當(dāng)內(nèi)存中的病毒代碼能夠被系統(tǒng)的正常運(yùn)、當(dāng)內(nèi)存中的病毒代碼能夠被系統(tǒng)的正常運(yùn)行機(jī)制所執(zhí)行時，動態(tài)病毒就處于激活態(tài)。行機(jī)制所執(zhí)行時，動態(tài)病毒就處于激活態(tài)。X5、Trojan.LMir.PSW.60是屬于什么類型的病毒？是屬于什么類型的病毒？其主要作用是什么？其主要作用是什么？A.Exe B.bat C.com D. docA. CA.使用

2、軟盤使用軟盤 B.軟盤表面受損軟盤表面受損C.機(jī)房電源不穩(wěn)定機(jī)房電源不穩(wěn)定 D. 上網(wǎng)上網(wǎng)A. DA.傳播性傳播性 B.潛伏性潛伏性 C.破壞性破壞性 D. 易讀性易讀性A. B.C1.能正確使用工具檢測病毒能正確使用工具檢測病毒2.能采用合適的方法和技術(shù)檢測病毒能采用合適的方法和技術(shù)檢測病毒1.了解了解檢測方法、檢測技術(shù)檢測方法、檢測技術(shù)2.知道知道檢測技術(shù)的工作原理檢測技術(shù)的工作原理 3.熟悉檢測技術(shù)的發(fā)展熟悉檢測技術(shù)的發(fā)展Where在哪兒檢測與查殺病毒？傳播途徑主要有兩種：一種是通過傳播途徑主要有兩種：一種是通過網(wǎng)絡(luò)傳播網(wǎng)絡(luò)傳播， 一種是通過一種是通過移動硬件設(shè)備移動硬件設(shè)備傳播。傳播。

3、（1 1）本地計算機(jī)本地計算機(jī) 首先在計算機(jī)本地進(jìn)行查殺，切斷病毒發(fā)源地，徹底首先在計算機(jī)本地進(jìn)行查殺，切斷病毒發(fā)源地，徹底解決病毒帶來的安全威脅。解決病毒帶來的安全威脅。（2 2）網(wǎng)絡(luò)網(wǎng)絡(luò) 網(wǎng)民們在收發(fā)電子郵件、瀏覽網(wǎng)頁、下載軟件、使用網(wǎng)民們在收發(fā)電子郵件、瀏覽網(wǎng)頁、下載軟件、使用即時通訊軟件聊天、進(jìn)行網(wǎng)絡(luò)游戲時，都有可能感染并傳即時通訊軟件聊天、進(jìn)行網(wǎng)絡(luò)游戲時，都有可能感染并傳播病毒。網(wǎng)絡(luò)連接的頻繁性與廣泛性，已被病毒充分利用播病毒。網(wǎng)絡(luò)連接的頻繁性與廣泛性，已被病毒充分利用，使其成為病毒防治的重要區(qū)域。，使其成為病毒防治的重要區(qū)域。（3 3）移動硬件設(shè)備移動硬件設(shè)備1借助簡單工具檢測借助

4、簡單工具檢測指指DEBUG等常規(guī)軟件工具等常規(guī)軟件工具要求檢測者必須具備的知識：要求檢測者必須具備的知識：分析工具的性能分析工具的性能磁盤內(nèi)部結(jié)構(gòu)（如磁盤內(nèi)部結(jié)構(gòu)（如BOOT區(qū)、主引導(dǎo)區(qū)、區(qū)、主引導(dǎo)區(qū)、FAT表和文件目錄等有表和文件目錄等有關(guān)知識）關(guān)知識）磁盤文件結(jié)構(gòu)（磁盤文件結(jié)構(gòu)（EXE文件頭部結(jié)構(gòu)，重定位方法、文件頭部結(jié)構(gòu)，重定位方法、EXE和和COM文件加載文件的不同等）文件加載文件的不同等）中斷矢量表中斷矢量表內(nèi)存管理（內(nèi)存控制塊、環(huán)境參數(shù)和文件的內(nèi)存管理（內(nèi)存控制塊、環(huán)境參數(shù)和文件的PSP結(jié)構(gòu)等）結(jié)構(gòu)等）閱讀匯編程序的能力閱讀匯編程序的能力有關(guān)病毒的信息有關(guān)病毒的信息 2借助專用工具

5、檢測借助專用工具檢測指專門的計算機(jī)病毒檢測工具，如指專門的計算機(jī)病毒檢測工具，如Norton等等 一般來說，專用工具具備自動掃描磁盤的功能，可檢測磁盤一般來說，專用工具具備自動掃描磁盤的功能，可檢測磁盤的染毒情況。的染毒情況。 病毒檢測工具只能識別已知計算機(jī)病毒，其發(fā)展總是滯后于病毒檢測工具只能識別已知計算機(jī)病毒，其發(fā)展總是滯后于計算機(jī)病毒的發(fā)展，從而對相當(dāng)數(shù)量的未知計算機(jī)病毒無法識計算機(jī)病毒的發(fā)展，從而對相當(dāng)數(shù)量的未知計算機(jī)病毒無法識別。別。A. CA.硬件硬件 B.軟件軟件 C.數(shù)據(jù)數(shù)據(jù) D. 程序程序A.B. C.DD第一代反病毒技術(shù)：第一代反病毒技術(shù)：采取單純的計算機(jī)病毒特征判斷采取單

6、純的計算機(jī)病毒特征判斷u可以準(zhǔn)確地清除計算機(jī)病毒，可靠性很高可以準(zhǔn)確地清除計算機(jī)病毒，可靠性很高u隨著病毒技術(shù)的發(fā)展，特別是加密和變形技術(shù)的應(yīng)用，這隨著病毒技術(shù)的發(fā)展，特別是加密和變形技術(shù)的應(yīng)用，這種簡單的靜態(tài)掃描方式逐漸失去了作用種簡單的靜態(tài)掃描方式逐漸失去了作用第二代反病毒技術(shù)：第二代反病毒技術(shù)：采用靜態(tài)廣譜特征掃描方法檢測病毒采用靜態(tài)廣譜特征掃描方法檢測病毒u可更多地檢測出變形病毒，但是誤報率也有所提高可更多地檢測出變形病毒，但是誤報率也有所提高u容易造成文件和數(shù)據(jù)的破壞容易造成文件和數(shù)據(jù)的破壞第三代反病毒技術(shù)：第三代反病毒技術(shù)：靜態(tài)掃描技術(shù)和動態(tài)仿真技術(shù)相結(jié)合靜態(tài)掃描技術(shù)和動態(tài)仿真技術(shù)

7、相結(jié)合查找病毒和清除病毒合二為一，形成一個整體解決方案查找病毒和清除病毒合二為一，形成一個整體解決方案能全面實現(xiàn)預(yù)防、檢測和清除等反病毒所必備的各種手段能全面實現(xiàn)預(yù)防、檢測和清除等反病毒所必備的各種手段以駐留內(nèi)存方式防止病毒的入侵，凡是檢測到的計算機(jī)病以駐留內(nèi)存方式防止病毒的入侵，凡是檢測到的計算機(jī)病毒都能清除，不會破壞文件和數(shù)據(jù)毒都能清除，不會破壞文件和數(shù)據(jù)第四代反計算機(jī)病毒技術(shù)：第四代反計算機(jī)病毒技術(shù)： 基于計算機(jī)病毒家族體系的命名規(guī)則、基于多位基于計算機(jī)病毒家族體系的命名規(guī)則、基于多位CRC校驗和校驗和掃描機(jī)理、啟發(fā)式智能代碼分析模塊、動態(tài)數(shù)據(jù)還原模塊、內(nèi)掃描機(jī)理、啟發(fā)式智能代碼分析模塊

8、、動態(tài)數(shù)據(jù)還原模塊、內(nèi)存解毒模塊和自身免疫模塊等先進(jìn)的解毒技術(shù)存解毒模塊和自身免疫模塊等先進(jìn)的解毒技術(shù)計算機(jī)病毒檢測技術(shù)：計算機(jī)病毒檢測技術(shù)：通過一定的技術(shù)手段判定出病毒的技術(shù)通過一定的技術(shù)手段判定出病毒的技術(shù)計算機(jī)病毒檢測技術(shù)種類：計算機(jī)病毒檢測技術(shù)種類：根據(jù)病毒在特征分類基礎(chǔ)上的檢測技術(shù)根據(jù)病毒在特征分類基礎(chǔ)上的檢測技術(shù) 根據(jù)病毒程序中的關(guān)鍵字、特征程序段內(nèi)容、病毒特征及感根據(jù)病毒程序中的關(guān)鍵字、特征程序段內(nèi)容、病毒特征及感染方式、危機(jī)程度的變化染方式、危機(jī)程度的變化對文件或數(shù)據(jù)段的檢驗和進(jìn)行檢測對文件或數(shù)據(jù)段的檢驗和進(jìn)行檢測 不針對具體病毒程序自身檢驗技術(shù)，即對某個文件或數(shù)據(jù)段不針對具體

9、病毒程序自身檢驗技術(shù)，即對某個文件或數(shù)據(jù)段進(jìn)行檢驗和計算并保存其結(jié)果，以后定期或不定期地根據(jù)保存進(jìn)行檢驗和計算并保存其結(jié)果，以后定期或不定期地根據(jù)保存的結(jié)果對該文件或數(shù)據(jù)段進(jìn)行檢驗，若出現(xiàn)差異，即表示該文的結(jié)果對該文件或數(shù)據(jù)段進(jìn)行檢驗，若出現(xiàn)差異，即表示該文件或數(shù)據(jù)段的完整性已遭到破壞，從而檢測到病毒的存在件或數(shù)據(jù)段的完整性已遭到破壞，從而檢測到病毒的存在反病毒程序計算各個可執(zhí)行程序的校驗和反病毒程序計算各個可執(zhí)行程序的校驗和某些反病毒程序是常駐內(nèi)存程序某些反病毒程序是常駐內(nèi)存程序 反病毒程序常駐內(nèi)存中，搜索可能進(jìn)入系統(tǒng)的計算機(jī)病毒，反病毒程序常駐內(nèi)存中，搜索可能進(jìn)入系統(tǒng)的計算機(jī)病毒，其目的是

10、阻止任何病毒感染系統(tǒng)。其目的是阻止任何病毒感染系統(tǒng)。少數(shù)工具可以從感染病毒的程序中清除病毒少數(shù)工具可以從感染病毒的程序中清除病毒 少數(shù)工具反病毒工具雖可將染毒程序修復(fù)好，但有些修復(fù)效少數(shù)工具反病毒工具雖可將染毒程序修復(fù)好，但有些修復(fù)效果不能保證。某些反病毒工具還可能產(chǎn)生虛假報警。果不能保證。某些反病毒工具還可能產(chǎn)生虛假報警。反病毒技術(shù)的主要分類：反病毒技術(shù)的主要分類：病毒診斷技術(shù)、病毒治療技術(shù)、病毒預(yù)防技術(shù)病毒診斷技術(shù)、病毒治療技術(shù)、病毒預(yù)防技術(shù) 1. 外觀檢測法外觀檢測法2. 系統(tǒng)數(shù)據(jù)對比法系統(tǒng)數(shù)據(jù)對比法3. 病毒簽名檢測法病毒簽名檢測法4. 特征代碼法特征代碼法5. 檢查常規(guī)內(nèi)存數(shù)檢查常規(guī)

11、內(nèi)存數(shù)6. 校驗和法校驗和法7. 行為監(jiān)測法（實時監(jiān)控法）行為監(jiān)測法（實時監(jiān)控法）8. 軟件模擬法軟件模擬法9. 啟發(fā)式代碼掃描技術(shù)啟發(fā)式代碼掃描技術(shù)10. 主動內(nèi)核技術(shù)主動內(nèi)核技術(shù)11. 病毒分析法病毒分析法12. 病毒感染法病毒感染法 雖不能準(zhǔn)確判斷系統(tǒng)感染了何種病毒，但可通過異常現(xiàn)象雖不能準(zhǔn)確判斷系統(tǒng)感染了何種病毒，但可通過異?，F(xiàn)象來判斷病毒的存在來判斷病毒的存在 外觀檢測法是計算機(jī)病毒防治階段起重要作用的一個環(huán)節(jié)外觀檢測法是計算機(jī)病毒防治階段起重要作用的一個環(huán)節(jié)1屏幕顯示異常屏幕顯示異常2聲音異常聲音異常3文件系統(tǒng)異常文件系統(tǒng)異常4程序異常程序異常5系統(tǒng)異常系統(tǒng)異常6打印機(jī)、軟驅(qū)等外部

12、設(shè)備異常打印機(jī)、軟驅(qū)等外部設(shè)備異常計算機(jī)系統(tǒng)的重要數(shù)據(jù)：計算機(jī)系統(tǒng)的重要數(shù)據(jù)：主引導(dǎo)扇區(qū)、主引導(dǎo)扇區(qū)、DOS分區(qū)引導(dǎo)扇區(qū)、軟盤的引分區(qū)引導(dǎo)扇區(qū)、軟盤的引導(dǎo)扇區(qū)、導(dǎo)扇區(qū)、FAT表、中斷向量表和設(shè)備驅(qū)動程序頭等表、中斷向量表和設(shè)備驅(qū)動程序頭等長度比較法及內(nèi)容比較法長度比較法及內(nèi)容比較法依據(jù)：計算機(jī)病毒感染系統(tǒng)或文件，必然引起系統(tǒng)或文件的依據(jù)：計算機(jī)病毒感染系統(tǒng)或文件，必然引起系統(tǒng)或文件的變化（長度的變化和內(nèi)容的變化）變化（長度的變化和內(nèi)容的變化）注意：只靠檢測長度和內(nèi)容是不充分的，只能將其作為檢測注意：只靠檢測長度和內(nèi)容是不充分的，只能將其作為檢測病毒的手段之一病毒的手段之一內(nèi)存比較法內(nèi)存比較法

13、依據(jù)：通常病毒要駐留內(nèi)存，造成可用內(nèi)存空間的減少依據(jù)：通常病毒要駐留內(nèi)存，造成可用內(nèi)存空間的減少 內(nèi)存比較法是針對內(nèi)存駐留計算機(jī)病毒進(jìn)行檢測的方法內(nèi)存比較法是針對內(nèi)存駐留計算機(jī)病毒進(jìn)行檢測的方法中斷比較法中斷比較法 依據(jù)：計算機(jī)病毒為實現(xiàn)其隱藏和傳染破壞的目的，常采依據(jù)：計算機(jī)病毒為實現(xiàn)其隱藏和傳染破壞的目的，常采用用“截留盜用截留盜用”技術(shù)，更改、接管中斷向量，使系統(tǒng)中斷向技術(shù)，更改、接管中斷向量，使系統(tǒng)中斷向量轉(zhuǎn)向執(zhí)行計算機(jī)病毒控制部分。量轉(zhuǎn)向執(zhí)行計算機(jī)病毒控制部分。 方法：將正常系統(tǒng)的中斷向量與染毒系統(tǒng)的中斷向量進(jìn)行方法：將正常系統(tǒng)的中斷向量與染毒系統(tǒng)的中斷向量進(jìn)行比較，可發(fā)現(xiàn)是否有計算

14、機(jī)病毒修改或盜用中斷向量比較，可發(fā)現(xiàn)是否有計算機(jī)病毒修改或盜用中斷向量計算機(jī)病毒簽名：計算機(jī)病毒簽名：即計算機(jī)病毒感染標(biāo)記即計算機(jī)病毒感染標(biāo)記不同計算機(jī)病毒的簽名內(nèi)容不同，位置也不同。不同計算機(jī)病毒的簽名內(nèi)容不同，位置也不同。并非所有計算機(jī)病毒都具備計算機(jī)病毒簽名。并非所有計算機(jī)病毒都具備計算機(jī)病毒簽名。計算機(jī)病毒簽名檢測法的特點：計算機(jī)病毒簽名檢測法的特點：必須預(yù)先知道計算機(jī)病毒簽名的內(nèi)容和位置必須預(yù)先知道計算機(jī)病毒簽名的內(nèi)容和位置 每一種計算機(jī)病毒簽名的獲得都要耗費大量勞力，因此用每一種計算機(jī)病毒簽名的獲得都要耗費大量勞力，因此用計算機(jī)病毒簽名的方法檢測計算機(jī)病毒，常常是低效、不適計算機(jī)病

15、毒簽名的方法檢測計算機(jī)病毒，常常是低效、不適用的方法用的方法可能造成虛假報警可能造成虛假報警原理：原理：計算機(jī)病毒程序通常具有明顯的特征代碼計算機(jī)病毒程序通常具有明顯的特征代碼u特征代碼可能是病毒的感染標(biāo)記，由字母和數(shù)字組成串特征代碼可能是病毒的感染標(biāo)記，由字母和數(shù)字組成串u可能是一小段程序由若干指令組成，特征代碼不一定連續(xù)可能是一小段程序由若干指令組成，特征代碼不一定連續(xù)方法：方法：通過搜索、比較計算機(jī)系統(tǒng)中是否含有與特征代碼數(shù)通過搜索、比較計算機(jī)系統(tǒng)中是否含有與特征代碼數(shù)據(jù)庫中特征代碼匹配的特征代碼，從而確定系統(tǒng)是否染毒，據(jù)庫中特征代碼匹配的特征代碼，從而確定系統(tǒng)是否染毒，感染了何種病毒。

16、感染了何種病毒。特點：特點：u依賴于對病毒精確特征的了解，必須事先對病毒樣本做大量剖析依賴于對病毒精確特征的了解，必須事先對病毒樣本做大量剖析u分析計算機(jī)病毒需要很多時間，有時間滯后分析計算機(jī)病毒需要很多時間，有時間滯后u若病毒特殊代碼段的位置或代碼改動，則原檢測方法失敗若病毒特殊代碼段的位置或代碼改動，則原檢測方法失敗選擇代碼串規(guī)則選擇代碼串規(guī)則u不能隨意選擇病毒體內(nèi)的一段作為特征代碼串不能隨意選擇病毒體內(nèi)的一段作為特征代碼串u代碼串不應(yīng)含有病毒的數(shù)據(jù)區(qū)代碼串不應(yīng)含有病毒的數(shù)據(jù)區(qū)u保持唯一性的前提下，代碼串應(yīng)盡量短保持唯一性的前提下，代碼串應(yīng)盡量短u特征代碼串應(yīng)最具代表性，足以區(qū)別于其他病毒

17、程序特征代碼串應(yīng)最具代表性，足以區(qū)別于其他病毒程序u特征代碼串應(yīng)能區(qū)別于其他正常的非病毒程序特征代碼串應(yīng)能區(qū)別于其他正常的非病毒程序?qū)崿F(xiàn)步驟實現(xiàn)步驟u采集已知計算機(jī)病毒樣本采集已知計算機(jī)病毒樣本u從計算機(jī)病毒樣本中，抽取計算機(jī)病毒特征代碼從計算機(jī)病毒樣本中，抽取計算機(jī)病毒特征代碼u將特征代碼納入計算機(jī)病毒數(shù)據(jù)庫將特征代碼納入計算機(jī)病毒數(shù)據(jù)庫u檢測文件檢測文件優(yōu)缺點優(yōu)缺點特征代碼法的優(yōu)點：特征代碼法的優(yōu)點：u檢測準(zhǔn)確，快速檢測準(zhǔn)確，快速u可識別計算機(jī)病毒的具體類型可識別計算機(jī)病毒的具體類型u誤報率低誤報率低u依據(jù)檢測結(jié)果，針對病毒類型可做殺毒處理依據(jù)檢測結(jié)果，針對病毒類型可做殺毒處理特征代碼法的

18、缺點：特征代碼法的缺點：u對于新計算機(jī)病毒，發(fā)現(xiàn)特征代碼的時間滯后對于新計算機(jī)病毒，發(fā)現(xiàn)特征代碼的時間滯后u搜集已知計算機(jī)病毒的特征代碼的研發(fā)開銷大搜集已知計算機(jī)病毒的特征代碼的研發(fā)開銷大u在網(wǎng)絡(luò)上效率低，影響整個網(wǎng)絡(luò)性能在網(wǎng)絡(luò)上效率低，影響整個網(wǎng)絡(luò)性能高品質(zhì)計算機(jī)病毒檢測工具應(yīng)具有的屬性高品質(zhì)計算機(jī)病毒檢測工具應(yīng)具有的屬性u高速性：高速性：隨著計算機(jī)病毒數(shù)量的不斷增加，檢測計算機(jī)隨著計算機(jī)病毒數(shù)量的不斷增加，檢測計算機(jī)病毒的時間開銷就不斷增加病毒的時間開銷就不斷增加u誤報率低：誤報率低：u具有檢測多態(tài)性計算機(jī)病毒的能力：具有檢測多態(tài)性計算機(jī)病毒的能力：多態(tài)形計算機(jī)病毒多態(tài)形計算機(jī)病毒能夠變換

19、自己的外觀，如插入一些無害的指令隨機(jī)分散到能夠變換自己的外觀，如插入一些無害的指令隨機(jī)分散到代碼中，也可通過使用不同的密鑰進(jìn)行加密來產(chǎn)生變種代碼中，也可通過使用不同的密鑰進(jìn)行加密來產(chǎn)生變種u能對付隱蔽性計算機(jī)病毒：能對付隱蔽性計算機(jī)病毒：隱蔽性計算機(jī)病毒若先于病隱蔽性計算機(jī)病毒若先于病毒檢測工具進(jìn)入內(nèi)存，事先剝?nèi)ゲ《敬a，從而躲避檢測毒檢測工具進(jìn)入內(nèi)存，事先剝?nèi)ゲ《敬a，從而躲避檢測工具的檢測工具的檢測原理：原理：病毒在發(fā)作、執(zhí)行時必將占用一定的系統(tǒng)資源。大多數(shù)病毒在發(fā)作、執(zhí)行時必將占用一定的系統(tǒng)資源。大多數(shù)病毒都常駐內(nèi)存，并修改系統(tǒng)數(shù)據(jù)區(qū)記錄的系統(tǒng)內(nèi)存數(shù)或內(nèi)存病毒都常駐內(nèi)存，并修改系統(tǒng)數(shù)據(jù)區(qū)

20、記錄的系統(tǒng)內(nèi)存數(shù)或內(nèi)存控制塊中的數(shù)據(jù)控制塊中的數(shù)據(jù)方法：方法：利用一些工具軟件，通過檢查內(nèi)存的大小和內(nèi)存使用情利用一些工具軟件，通過檢查內(nèi)存的大小和內(nèi)存使用情況來判斷系統(tǒng)是否染毒：況來判斷系統(tǒng)是否染毒：查閱有無可疑的駐留文件查閱有無可疑的駐留文件查看駐留文件有無可疑的中斷向量值查看駐留文件有無可疑的中斷向量值通過內(nèi)存信息查看駐留文件的大小是否合適通過內(nèi)存信息查看駐留文件的大小是否合適檢查常規(guī)內(nèi)存數(shù)的方法：檢查常規(guī)內(nèi)存數(shù)的方法：查看系統(tǒng)內(nèi)存總數(shù)，與正常情況進(jìn)行比較查看系統(tǒng)內(nèi)存總數(shù)，與正常情況進(jìn)行比較檢查系統(tǒng)內(nèi)存高端的內(nèi)容，判斷其中的代碼是否可疑檢查系統(tǒng)內(nèi)存高端的內(nèi)容，判斷其中的代碼是否可疑原理：

21、原理：針對正常程序內(nèi)容計算其校驗和，將其寫入該程序或其針對正常程序內(nèi)容計算其校驗和，將其寫入該程序或其他程序中保存。在程序應(yīng)用中，定期或每次使用前，計算程序他程序中保存。在程序應(yīng)用中，定期或每次使用前，計算程序當(dāng)前內(nèi)容校驗和與原校驗和是否一致，從而發(fā)現(xiàn)病毒的存在當(dāng)前內(nèi)容校驗和與原校驗和是否一致，從而發(fā)現(xiàn)病毒的存在特點：特點：u可發(fā)現(xiàn)已知病毒，也可發(fā)現(xiàn)未知病毒可發(fā)現(xiàn)已知病毒，也可發(fā)現(xiàn)未知病毒u校驗和法不能識別病毒的種類，不能報出病毒具體名稱校驗和法不能識別病毒的種類，不能報出病毒具體名稱u校驗和法誤報率很高校驗和法誤報率很高方法：方法：u在計算機(jī)病毒工具中納入校驗和在計算機(jī)病毒工具中納入校驗和u

22、在應(yīng)用程序中放入校驗和和自我檢查功能在應(yīng)用程序中放入校驗和和自我檢查功能u將校驗和檢查程序常駐內(nèi)存將校驗和檢查程序常駐內(nèi)存優(yōu)缺點：優(yōu)缺點：校驗和法的優(yōu)點：校驗和法的優(yōu)點：u方法簡單方法簡單u能發(fā)現(xiàn)未知計算機(jī)病毒能發(fā)現(xiàn)未知計算機(jī)病毒u能發(fā)現(xiàn)被檢查程序的細(xì)微變化能發(fā)現(xiàn)被檢查程序的細(xì)微變化校驗和法的缺點：校驗和法的缺點：u必須預(yù)先記錄程序正常狀態(tài)的校驗和必須預(yù)先記錄程序正常狀態(tài)的校驗和u誤報率高誤報率高u不能識別計算機(jī)病毒的種類不能識別計算機(jī)病毒的種類u不能對付隱蔽性計算機(jī)病毒不能對付隱蔽性計算機(jī)病毒原理：原理：病毒有些行為是病毒的共同行為，且比較特殊，甚至罕病毒有些行為是病毒的共同行為，且比較特殊

23、，甚至罕見。程序運(yùn)行時，監(jiān)視其行為，若發(fā)現(xiàn)病毒行為，立即報警見。程序運(yùn)行時，監(jiān)視其行為，若發(fā)現(xiàn)病毒行為，立即報警檢測病毒的行為特征檢測病毒的行為特征u占用占用INT 13Hu修改修改DOS系統(tǒng)數(shù)據(jù)區(qū)的內(nèi)存總量系統(tǒng)數(shù)據(jù)區(qū)的內(nèi)存總量u對對.COM和和.EXE文件做寫入操作文件做寫入操作u計算機(jī)病毒與宿主程序的邦定和切換計算機(jī)病毒與宿主程序的邦定和切換u格式化磁盤或某些磁道等破壞行為格式化磁盤或某些磁道等破壞行為u掃描、試探特定網(wǎng)絡(luò)端口掃描、試探特定網(wǎng)絡(luò)端口u發(fā)送網(wǎng)絡(luò)廣播發(fā)送網(wǎng)絡(luò)廣播u修改文件、文件夾屬性，添加共享等修改文件、文件夾屬性，添加共享等病毒防火墻病毒防火墻計算機(jī)病毒防火墻：計算機(jī)病毒防火

24、墻：基于實時反計算機(jī)病毒技術(shù)之上提出的，基于實時反計算機(jī)病毒技術(shù)之上提出的，其宗旨是對系統(tǒng)實施實時監(jiān)控，對流入、流出系統(tǒng)的數(shù)據(jù)中可其宗旨是對系統(tǒng)實施實時監(jiān)控，對流入、流出系統(tǒng)的數(shù)據(jù)中可能含有的計算機(jī)病毒代碼進(jìn)行過濾。能含有的計算機(jī)病毒代碼進(jìn)行過濾。u對計算機(jī)病毒的過濾有良好的實時性對計算機(jī)病毒的過濾有良好的實時性u病毒防火墻的病毒防火墻的“雙向過濾雙向過濾”功能保證本地系統(tǒng)不會外傳播病毒功能保證本地系統(tǒng)不會外傳播病毒u病毒防火墻操作更簡單、更透明病毒防火墻操作更簡單、更透明優(yōu)缺點優(yōu)缺點u優(yōu)點：可可發(fā)現(xiàn)已知病毒，也可較準(zhǔn)確地預(yù)報未知多數(shù)病毒優(yōu)點：可可發(fā)現(xiàn)已知病毒，也可較準(zhǔn)確地預(yù)報未知多數(shù)病毒u缺

25、點：可能誤報警；不能識別病毒的名稱；實現(xiàn)有一定難度缺點：可能誤報警；不能識別病毒的名稱；實現(xiàn)有一定難度軟件模擬法：軟件模擬法：專門用來檢測變形病毒，即多態(tài)性病毒專門用來檢測變形病毒，即多態(tài)性病毒變形病毒特征：變形病毒特征：病毒傳播到目標(biāo)后，病毒自身代碼和結(jié)構(gòu)在空病毒傳播到目標(biāo)后，病毒自身代碼和結(jié)構(gòu)在空間上、時間上具有不同的變化。間上、時間上具有不同的變化。變形病毒類型：變形病毒類型：第一類：一維變形計算機(jī)病毒第一類：一維變形計算機(jī)病毒 當(dāng)病毒傳播到一個目標(biāo)后，其自身代碼與前一目標(biāo)中的病毒代碼幾當(dāng)病毒傳播到一個目標(biāo)后，其自身代碼與前一目標(biāo)中的病毒代碼幾乎沒有乎沒有3個連續(xù)字節(jié)是相同的，但其相對空

26、間的排列位置是不變的個連續(xù)字節(jié)是相同的，但其相對空間的排列位置是不變的 個別病毒遇到檢測時能進(jìn)行自我加密或解密，或自我消失個別病毒遇到檢測時能進(jìn)行自我加密或解密，或自我消失 有的病毒能在列目錄時能消失增加的字節(jié)數(shù)，或在加載跟蹤時能破有的病毒能在列目錄時能消失增加的字節(jié)數(shù)，或在加載跟蹤時能破壞跟蹤或逃之夭夭壞跟蹤或逃之夭夭變形病毒類型：變形病毒類型：第二類：二維變形計算機(jī)病毒第二類：二維變形計算機(jī)病毒 除了具備一維變形病毒的特征外，而且變化的代碼相互間的排列除了具備一維變形病毒的特征外，而且變化的代碼相互間的排列距離（相對空間位置）也是變化的距離（相對空間位置）也是變化的第三類：三維變形計算機(jī)病

27、毒第三類：三維變形計算機(jī)病毒 除了具備二維變形病毒的特征外，而且能分裂后分別潛藏幾處，當(dāng)除了具備二維變形病毒的特征外，而且能分裂后分別潛藏幾處，當(dāng)病毒引擎激活后能自我恢復(fù)成一個完整的計算機(jī)病毒病毒引擎激活后能自我恢復(fù)成一個完整的計算機(jī)病毒 計算機(jī)病毒在附著體上的空間位置是變化的，即潛藏位置不定計算機(jī)病毒在附著體上的空間位置是變化的，即潛藏位置不定第四類：四維變形計算機(jī)病毒第四類：四維變形計算機(jī)病毒 具備三維變形病毒的特征，而且這些特性隨時間動態(tài)變化具備三維變形病毒的特征，而且這些特性隨時間動態(tài)變化 四維變形病毒大部分具備網(wǎng)絡(luò)自動傳播功能，能在網(wǎng)絡(luò)的不同角落四維變形病毒大部分具備網(wǎng)絡(luò)自動傳播功能

28、，能在網(wǎng)絡(luò)的不同角落到處隱藏到處隱藏檢測：檢測：一般而言，多態(tài)計算機(jī)病毒的變換方式：一般而言，多態(tài)計算機(jī)病毒的變換方式：采用等價代碼對原有代碼進(jìn)行替換；采用等價代碼對原有代碼進(jìn)行替換；改變與執(zhí)行次序無關(guān)的指令的次序；改變與執(zhí)行次序無關(guān)的指令的次序；增加許多垃圾指令；增加許多垃圾指令；對原有病毒代碼進(jìn)行壓縮或加密。對原有病毒代碼進(jìn)行壓縮或加密。軟件模擬技術(shù)：軟件模擬技術(shù)：又稱為解密引擎、虛擬機(jī)技術(shù)、虛擬執(zhí)行技術(shù)或軟又稱為解密引擎、虛擬機(jī)技術(shù)、虛擬執(zhí)行技術(shù)或軟件仿真技術(shù)件仿真技術(shù) 軟件模擬技術(shù)是一種軟件分析器，用軟件方法模擬一個程序運(yùn)行軟件模擬技術(shù)是一種軟件分析器，用軟件方法模擬一個程序運(yùn)行環(huán)境，

29、將可疑程序載入其中運(yùn)行，在執(zhí)行過程中，待計算機(jī)病毒對環(huán)境，將可疑程序載入其中運(yùn)行，在執(zhí)行過程中，待計算機(jī)病毒對自身進(jìn)行解碼后，再運(yùn)用特征代碼法來識別病毒的種類，并進(jìn)行清自身進(jìn)行解碼后，再運(yùn)用特征代碼法來識別病毒的種類，并進(jìn)行清除，從而實現(xiàn)對各類多態(tài)病毒的查殺。除，從而實現(xiàn)對各類多態(tài)病毒的查殺。1. 計算機(jī)病毒掃描技術(shù)：計算機(jī)病毒掃描技術(shù)：當(dāng)前最主要的查殺方式當(dāng)前最主要的查殺方式 主要通過檢查文件、扇區(qū)和系統(tǒng)內(nèi)存來搜索計算機(jī)病毒，用主要通過檢查文件、扇區(qū)和系統(tǒng)內(nèi)存來搜索計算機(jī)病毒，用“標(biāo)記標(biāo)記”查找已知病毒。病毒標(biāo)記就是病毒常用代碼的特征查找已知病毒。病毒標(biāo)記就是病毒常用代碼的特征按殺毒方式分類

30、：按殺毒方式分類：u通用掃描：通用掃描：不依賴操作系統(tǒng)，可查找各種病毒不依賴操作系統(tǒng)，可查找各種病毒u專用掃描：專用掃描：專查某種計算機(jī)病毒專查某種計算機(jī)病毒按用戶操作方式分類：按用戶操作方式分類：u實時掃描：實時掃描：若出現(xiàn)計算機(jī)病毒，能夠立即發(fā)現(xiàn)若出現(xiàn)計算機(jī)病毒，能夠立即發(fā)現(xiàn)u請求掃描：請求掃描：只在運(yùn)行時才能檢測計算機(jī)病毒只在運(yùn)行時才能檢測計算機(jī)病毒檢測病毒的主要依據(jù)：檢測病毒的主要依據(jù)：病毒和正常程序之間存在很多區(qū)別病毒和正常程序之間存在很多區(qū)別2啟發(fā)式代碼掃描：又稱啟發(fā)式職能代碼分析啟發(fā)式代碼掃描：又稱啟發(fā)式職能代碼分析 將人工智能的知識和原理運(yùn)用到計算機(jī)病毒檢測中將人工智能的知識和

31、原理運(yùn)用到計算機(jī)病毒檢測中 運(yùn)用啟發(fā)式掃描技術(shù)的計算機(jī)病毒檢測軟件，實際上就是以運(yùn)用啟發(fā)式掃描技術(shù)的計算機(jī)病毒檢測軟件，實際上就是以人工智能的方式實現(xiàn)的動態(tài)反編譯代碼分析、比較器，通過對人工智能的方式實現(xiàn)的動態(tài)反編譯代碼分析、比較器，通過對程序有關(guān)指令序列進(jìn)行反編譯，逐步分析、比較，根據(jù)其動機(jī)程序有關(guān)指令序列進(jìn)行反編譯，逐步分析、比較，根據(jù)其動機(jī)判斷是否為計算機(jī)病毒。判斷是否為計算機(jī)病毒。3啟發(fā)式掃描通常應(yīng)設(shè)立的標(biāo)志：啟發(fā)式掃描通常應(yīng)設(shè)立的標(biāo)志： 為了對程序可能的操作進(jìn)行加權(quán)統(tǒng)計和描述，計算機(jī)病毒檢為了對程序可能的操作進(jìn)行加權(quán)統(tǒng)計和描述，計算機(jī)病毒檢測程序會對被檢測程序作疑似計算機(jī)病毒的標(biāo)記。

32、測程序會對被檢測程序作疑似計算機(jī)病毒的標(biāo)記。 如：如：TBScan定義的常用標(biāo)志定義的常用標(biāo)志4誤報誤報/漏報漏報誤報：將一個本無計算機(jī)病毒的程序指證為染毒程序誤報：將一個本無計算機(jī)病毒的程序指證為染毒程序漏報：將一個計算機(jī)病毒程序作為正常程序處理漏報：將一個計算機(jī)病毒程序作為正常程序處理產(chǎn)生原因：產(chǎn)生原因：被檢測程序中含有病毒所使用或含有的可疑功能被檢測程序中含有病毒所使用或含有的可疑功能減少或避免誤報減少或避免誤報/漏報：漏報：準(zhǔn)確把握病毒的行為和可疑功能調(diào)用集合的精確定義；準(zhǔn)確把握病毒的行為和可疑功能調(diào)用集合的精確定義；對于常規(guī)程序代碼的識別能力；對于常規(guī)程序代碼的識別能力；對于特定程序

33、代碼的識別能力；對于特定程序代碼的識別能力；類似類似“無罪假定無罪假定”的功能。的功能。5其他掃描技術(shù)其他掃描技術(shù)CRC掃描：掃描：磁盤中的實際文件或系統(tǒng)扇區(qū)的磁盤中的實際文件或系統(tǒng)扇區(qū)的CRC值（檢驗和）值（檢驗和），這些，這些CRC值被殺毒軟件保存在自己的數(shù)據(jù)庫中，在運(yùn)行殺毒值被殺毒軟件保存在自己的數(shù)據(jù)庫中，在運(yùn)行殺毒軟件時，用備份的軟件時，用備份的CRC值與當(dāng)前計算的值比較，可知文件是否值與當(dāng)前計算的值比較，可知文件是否已被修改或被計算機(jī)病毒感染。已被修改或被計算機(jī)病毒感染。 Active K（主動內(nèi)核）技術(shù)的要點在于能夠在計算機(jī)病毒突（主動內(nèi)核）技術(shù)的要點在于能夠在計算機(jī)病毒突破計算機(jī)系統(tǒng)軟、硬件的瞬間發(fā)生作用。一方面不會傷及計算破計算機(jī)系統(tǒng)軟、硬件的瞬間發(fā)生作用。一方面不會傷及計算機(jī)系統(tǒng)本身；另一方面對企圖入侵系統(tǒng)的計算機(jī)病毒具有徹底機(jī)系統(tǒng)本身；另一方面對企圖入侵系統(tǒng)的計算機(jī)病毒具有徹底攔截并殺除的作用。攔截并殺除的作用。 主動內(nèi)核技術(shù)：從操作系統(tǒng)內(nèi)核的深度，給操作系統(tǒng)和網(wǎng)絡(luò)主動內(nèi)核技術(shù)：從操作系統(tǒng)內(nèi)核的深度，給操作系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)打一系統(tǒng)打一“主動主動”的補(bǔ)丁，從安全角度對系統(tǒng)進(jìn)行管理和檢查的補(bǔ)丁，從安全角度對系統(tǒng)進(jìn)行管理和檢查，對系統(tǒng)的漏洞進(jìn)行修補(bǔ)，任何文件在進(jìn)入系統(tǒng)之前，作為主，對系