計算機(jī)病毒與防范技術(shù) 第7章

計算機(jī)病毒與防范技術(shù)第7章病毒對抗技術(shù)反病毒技術(shù)綜述病毒的檢測技術(shù)與原理啟發(fā)式代碼掃描技術(shù)虛擬機(jī)查毒技術(shù)病毒實(shí)時監(jiān)控技術(shù)計算機(jī)病毒的免疫技術(shù)反病毒引擎技術(shù)剖析反病毒技術(shù)綜述反病毒技術(shù)的產(chǎn)生與發(fā)展簡介從“消毒軟件”到“防毒卡”早期的消毒程序是一對一的，即一個程序清除一種病毒90年我國最早的一個防病毒卡誕生在深圳的“華星”公司93-94年防病毒卡迪銷售達(dá)到了一個頂峰“查殺防三合一”實(shí)時反病毒軟件的誕生20世紀(jì)90年代末期，出現(xiàn)了具有實(shí)時防病毒功能的反病毒軟件反病毒技術(shù)綜述反病毒技術(shù)的發(fā)展歷程第一代反病毒技術(shù)采用單純的病毒特征代碼分析，清除染毒文件中的病毒第二代反病毒技術(shù)采用靜態(tài)廣譜特征掃描技術(shù)檢測病毒，可以檢測變形病毒，但是誤報率高反病毒技術(shù)綜述第三代反病毒技術(shù)將靜態(tài)掃描技術(shù)和動態(tài)仿真跟蹤技術(shù)結(jié)合起來，將查找病毒和清除病毒合二為一全面實(shí)現(xiàn)防、查、殺等反病毒所必備的各種手段，以駐留內(nèi)存方式防止病毒的入侵，能清除檢測到的病毒，不會破壞文件和數(shù)據(jù)反病毒技術(shù)綜述第四代反病毒技術(shù)基于病毒家族體系的命名規(guī)則、基于多位CRC校驗(yàn)和掃描機(jī)理、啟發(fā)式智能代碼分析模塊、動態(tài)數(shù)據(jù)還原模塊(能查出隱蔽性極強(qiáng)的壓縮加密文件中的病毒)、內(nèi)存解毒模塊、自身免疫模塊等先進(jìn)的解毒技術(shù)反病毒技術(shù)綜述啟發(fā)式掃描，源于人工智能技術(shù)，是基于給定的判斷規(guī)則和定義的掃描技術(shù)，若發(fā)現(xiàn)被掃描程序中存在可疑的程序功能指令，則作出存在病毒的預(yù)警或判斷如今殺毒軟件仍然是以特征檢測殺毒為住，行為啟發(fā)式掃描檢測技術(shù)為輔反病毒技術(shù)綜述主動內(nèi)核(ActiveK)技術(shù)與實(shí)時監(jiān)視傳統(tǒng)的反病毒技術(shù)，基于被動式的防御理念這種理念最大的缺點(diǎn)在于將防治病毒的基礎(chǔ)建立在病毒侵入操作系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)以后，作為上層應(yīng)用軟件的反病毒產(chǎn)品，才能借助于操作系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)所提供的功能來被動地防治病毒反病毒技術(shù)綜述主動內(nèi)核(ActiveK)技術(shù)，是在操作系統(tǒng)和網(wǎng)絡(luò)的內(nèi)核中嵌入反病毒功能，使反病毒成為系統(tǒng)本身的底層模塊，實(shí)現(xiàn)各種反毒模塊與操作系統(tǒng)和網(wǎng)絡(luò)無縫連接，而不是一個系統(tǒng)外部的應(yīng)用軟件主動內(nèi)核技術(shù)能夠在病毒突破計算機(jī)系統(tǒng)軟、硬件的瞬間發(fā)生作用反病毒技術(shù)綜述計算機(jī)病毒的防治技術(shù)分成四個方面病毒預(yù)防技術(shù)病毒檢測技術(shù)病毒消除技術(shù)病毒免疫技術(shù)計算機(jī)病毒的檢測技術(shù)與原理檢測計算機(jī)病毒的方法有兩種手工檢測利用Debug、PCTools、SysInfo、WinHex等工具軟件進(jìn)行病毒的檢測這種方法比較復(fù)雜，費(fèi)時費(fèi)力可以剖析病毒、可以檢測一些自動檢測工具不能識別的新病毒計算機(jī)病毒的檢測技術(shù)與原理自動檢測利用一些專業(yè)診斷軟件來判斷引導(dǎo)扇區(qū)、磁盤文件是否有毒的方法自動檢測比較簡單，一般用戶都可以進(jìn)行，但需要較好的診斷軟件可方便地檢測大量的病毒，自動檢測工具的發(fā)展總是滯后于病毒的發(fā)展計算機(jī)病毒的檢測技術(shù)與原理特征值檢測技術(shù)一些常見的病毒具有很明顯的特征，即病毒中含有特殊的字符串。用抗病毒軟件檢查文件中是否存在這些特征，從而判定是否發(fā)生感染計算機(jī)病毒的特征值有別于病毒標(biāo)識，特征值是指一種病毒有別于另一種病毒的字符串，有時簡稱特征串計算機(jī)病毒的檢測技術(shù)與原理其局限性在于只能診斷已知的計算機(jī)病毒，而優(yōu)越性在于能確診計算機(jī)病毒的類型特征值數(shù)據(jù)庫可以定義如下：如果行頭第一個字符為空格，則視為注釋行每行中用一個或多個鏈接的空格分隔病毒特征值、病毒名、備注三個部分，每一部分中不能有空格，病毒名中可以用下橫線連接多個單詞計算機(jī)病毒的檢測技術(shù)與原理傳統(tǒng)的特征值搜索技術(shù)實(shí)現(xiàn)步驟：采集已知的病毒樣本在病毒樣本中，抽取特征值抽取的特征值應(yīng)比較特殊，不要與普通正常程序代碼吻合抽取的特征值要有適當(dāng)長度計算機(jī)病毒的檢測技術(shù)與原理獲取病毒特征值的方法把病毒在計算機(jī)屏幕上出現(xiàn)的信息作為病毒的特征串用病毒標(biāo)識作為病毒的特征值從病毒代碼的任何地方開始取出連續(xù)的、不大于64字節(jié)且不含空格（ASCII值為32）的字符串都可以作為計算機(jī)病毒的特征串將特征串納入病毒特征數(shù)據(jù)庫在實(shí)際應(yīng)用中，使用掃描引擎實(shí)現(xiàn)病毒特征的匹配FA7A2C00H

計算機(jī)病毒的檢測技術(shù)與原理傳統(tǒng)的病毒特征串搜索技術(shù)只能診斷已知的計算機(jī)病毒病毒特征值檢測方法對從未見過的新病毒，因無法事先知道其特征值，因而無法檢測這些新病毒計算機(jī)病毒的檢測技術(shù)與原理傳統(tǒng)的病毒特征串搜索技術(shù)的缺陷源于以下兩個方面：（1）抽取特征串時未對特征串進(jìn)行分析，沒有對同種病毒的多個同種染毒宿主上相同位置處的特征串進(jìn)行比較，找出共同點(diǎn)，再以此為特征串（2）搜索病毒時只是單純地依次比較特征串，沒有智能化處理計算機(jī)病毒的檢測技術(shù)與原理廣譜特征串過濾技術(shù)，該技術(shù)在一定程度上可以彌補(bǔ)以上缺陷廣譜特征串建立的方法如下：（1）提取變形病毒的多個感染樣本，最好是對同一宿主的多次單獨(dú)感染樣本，不是多次重復(fù)感染計算機(jī)病毒的檢測技術(shù)與原理（2）在每個樣本的相同位置抽取適當(dāng)長度的病毒代碼，這是傳統(tǒng)意義的病毒特征串（3）比較這些病毒特征串，依次記下各個樣本完全相同的代碼，如果一定位置上的代碼各個樣本不是完全相同或根本不同，那么把這些常變換的代碼用兩個問號“??”來代替，每一個雙問號代表一個字節(jié)計算機(jī)病毒的檢測技術(shù)與原理廣譜特征串例子B8??42????????%%B440%%%%B8??57建立病毒廣譜特征串有以下幾個注意事項(xiàng)：上述病毒廣譜特征串后面的漢字串中不得使用西文雙引號雙問號“??”和百分號“%%”可交叉使用計算機(jī)病毒的檢測技術(shù)與原理當(dāng)兩組病毒特征代碼之間的距離大于32個字節(jié)時，大于部分可增加一些雙問號來接續(xù)，或多用幾個雙百分號。每一個雙百分號最多可代表32個字節(jié)特征值中至少要有三組不變的病毒代碼計算機(jī)病毒的檢測技術(shù)與原理特征值檢測方法的優(yōu)點(diǎn)是：檢測準(zhǔn)確快速、可識別病毒的名稱、誤報警率低、并且依據(jù)檢測結(jié)果可做解毒處理其缺點(diǎn)是：速度慢不能檢查未知病毒和多態(tài)性病毒不能對付隱蔽性病毒計算機(jī)病毒的檢測技術(shù)與原理校驗(yàn)和檢測技術(shù)根據(jù)正常文件的信息(包括文件名稱、大小、時間、日期及內(nèi)容)，計算其校驗(yàn)和定期地或每次使用文件前，檢查文件現(xiàn)有信息算出的校驗(yàn)和與原來保存的校驗(yàn)和是否一致計算機(jī)病毒的檢測技術(shù)與原理運(yùn)用校驗(yàn)和法查病毒一般采用三種方式在檢測病毒工具中納入校驗(yàn)和法在應(yīng)用程序中，放入校驗(yàn)和法自我檢查功能將校驗(yàn)和檢查程序常駐內(nèi)存計算機(jī)病毒的檢測技術(shù)與原理比較的對象可分為系統(tǒng)數(shù)據(jù)文件的頭部文件的屬性文件的內(nèi)容計算機(jī)病毒的檢測技術(shù)與原理校驗(yàn)和檢測技術(shù)的優(yōu)點(diǎn)是：方法簡單，能發(fā)現(xiàn)未知病毒，被查文件的細(xì)微變化也能發(fā)現(xiàn)其缺點(diǎn)是：必須預(yù)先記錄正常文件的校驗(yàn)和，會誤報警，不能識別病毒名稱，不能對付隱蔽型病毒，并且效率低計算機(jī)病毒的檢測技術(shù)與原理行為監(jiān)測技術(shù)利用病毒的特有行為特性監(jiān)測病毒的方法，稱為行為監(jiān)測法，也稱為人工智能陷阱法通過對病毒多年的觀察、研究，人們發(fā)現(xiàn)病毒有一些行為，是病毒的共同行為，而且比較特殊，在正常程序中，這些行為比較罕見計算機(jī)病毒的檢測技術(shù)與原理常見的病毒行為特性占用INT13H修改DOS系統(tǒng)數(shù)據(jù)區(qū)的內(nèi)存總量對可執(zhí)行文件做寫入動作病毒程序與宿主程序的切換搜索API函數(shù)地址計算機(jī)病毒的檢測技術(shù)與原理極少數(shù)正常程序也有類似的病毒行為，稱為類病毒行為：殺病毒工具去寫有毒的可執(zhí)行程序某些安裝程序動態(tài)修改可執(zhí)行程序加密程序?qū)Ρ患用艹绦虻膶懭胄袨橛嬎銠C(jī)病毒的檢測技術(shù)與原理感染實(shí)驗(yàn)法診斷的原理這種方法的原理是利用了病毒的最重要的基本特征：感染特性檢測未知引導(dǎo)型病毒的感染實(shí)驗(yàn)法檢測未知文件型病毒的感染實(shí)驗(yàn)法計算機(jī)病毒的檢測技術(shù)與原理分析法診斷的原理使用分析法的人一般不是普通用戶，而是反病毒技術(shù)人員使用分析法要求具有比較全面的計算機(jī)體系結(jié)構(gòu)、操作系統(tǒng)以及有關(guān)病毒技術(shù)的各種知識分析法是反病毒工作中不可或缺的重要技術(shù)計算機(jī)病毒的檢測技術(shù)與原理使用分析法的目的在于：確認(rèn)被觀察的引導(dǎo)扇區(qū)和程序中是否含有病毒確認(rèn)病毒的類型和種類，判定其是否是一種新病毒搞清楚病毒體的大致結(jié)構(gòu)，提取特征識別用的字符串或特征字，并增添到病毒代碼庫供病毒掃描和識別程序使用詳細(xì)分析病毒代碼，為制定相應(yīng)的反病毒措施制定方案啟發(fā)式代碼掃描技術(shù)啟發(fā)式代碼掃描技術(shù)源于人工智能技術(shù)，是基于給定的判斷規(guī)則和定義的掃描技術(shù)若發(fā)現(xiàn)被掃描程序中存在可疑的程序功能指令，則作出存在病毒的預(yù)警或判斷啟發(fā)式代碼掃描技術(shù)啟發(fā)式代碼分析掃描技術(shù)是對傳統(tǒng)的特征代碼掃描法查毒技術(shù)的改進(jìn)在特征代碼掃描技術(shù)的基礎(chǔ)上，利用對病毒代碼的分析，獲得一些統(tǒng)計的、靜態(tài)的啟發(fā)式知識，形成一種靜態(tài)的啟發(fā)式代碼掃描分析技術(shù)啟發(fā)式代碼掃描技術(shù)病毒和正常程序的區(qū)別在windows下，一般正常的應(yīng)用程序不會往系統(tǒng)目錄中釋放可執(zhí)行程序然后進(jìn)行自刪除，或者直接搜索其他可執(zhí)行程序進(jìn)行修改病毒程序通常最初的指令是重定位、直接寫盤操作、解碼指令，或搜索某路徑下的可執(zhí)行程序等相關(guān)操作指令序列啟發(fā)式代碼掃描技術(shù)一個運(yùn)用啟發(fā)式掃描技術(shù)的病毒檢測軟件，實(shí)際上就是以特定方式實(shí)現(xiàn)的動態(tài)解釋器或反編譯器，通過對有關(guān)指令序列的反編譯逐步理解和確定其蘊(yùn)藏的真正動機(jī)啟發(fā)式代碼掃描技術(shù)早期的啟發(fā)式掃描軟件采用代碼反編譯技術(shù)，反編譯出被檢測文件代碼在軟件內(nèi)部保存病毒行為的必用代碼使用“靜態(tài)代碼分析法”和“代碼相似比較法”判定是否含有病毒啟發(fā)式代碼掃描技術(shù)可疑程序功能的權(quán)值與報警標(biāo)準(zhǔn)對可疑的程序代碼指令序列按照安全和可疑的等級進(jìn)行排序，根據(jù)病毒可能使用和具備的特點(diǎn)而授以不同的加權(quán)值例如，格式化磁盤的功能操作很少出現(xiàn)在正常的應(yīng)用程序中，而在病毒程序中出現(xiàn)的幾率極高，于是這類操作指令序列可獲得較高的加權(quán)值啟發(fā)式代碼掃描技術(shù)如果一個程序的加權(quán)值的總和超過一個事先定義的閥值，那么，病毒檢測程序就可以聲稱“發(fā)現(xiàn)病毒”僅僅一項(xiàng)可疑的功能操作遠(yuǎn)不足以觸發(fā)“病毒報警”的裝置啟發(fā)式代碼掃描技術(shù)為了避免“狼來了”的謊報和虛報，病毒檢測程序常把多種可疑功能操作同時并發(fā)的情況定為發(fā)現(xiàn)病毒的報警標(biāo)準(zhǔn)啟發(fā)式掃描技術(shù)有時也會把一個本無病毒的程序判斷為染毒程序，這就是所謂的查毒程序虛警或謊報現(xiàn)象啟發(fā)式代碼掃描技術(shù)減少和避免誤報(謊報)，必須努力做好以下幾點(diǎn)準(zhǔn)確把握病毒行為，精確定義可疑功能調(diào)用集合，除非滿足兩個以上的病毒重要特征，否則不予報警增強(qiáng)對常規(guī)正常程序的識別能力增強(qiáng)對特定程序的識別能力類似“無罪假定”的功能啟發(fā)式代碼掃描技術(shù)啟發(fā)式掃描主要分為兩類——靜態(tài)啟發(fā)式掃描和動態(tài)啟發(fā)式掃描靜態(tài)啟發(fā)式掃描程序有一個巨大的代碼數(shù)據(jù)庫，數(shù)據(jù)庫把每一個代碼串(稱為特征碼)與它所代表的行為特征聯(lián)系在一起，并給每一個行為特征賦一個加權(quán)值動態(tài)啟發(fā)式掃描技術(shù)主要增加了對CPU的模擬。模擬了一個基本運(yùn)行環(huán)境的計算機(jī)，對可能是病毒的文件先進(jìn)行模擬運(yùn)行，等加密病毒自解密后再進(jìn)行靜態(tài)啟發(fā)式掃描啟發(fā)式代碼掃描技術(shù)啟發(fā)式代碼掃描技術(shù)中的幾個關(guān)鍵問題代碼數(shù)據(jù)庫的建立對病毒行為特征的提取是啟發(fā)式掃描技術(shù)效果好壞的關(guān)鍵病毒特征權(quán)值的設(shè)定對各個特征碼進(jìn)行統(tǒng)計分析，根據(jù)具有這種特征碼的文件是病毒的可能性的大小來分配權(quán)值權(quán)值底線的設(shè)置針對不同的情況對安全性的要求不同，權(quán)值底線的設(shè)置可以根據(jù)具體情況來進(jìn)行啟發(fā)式代碼掃描技術(shù)傳統(tǒng)掃描技術(shù)與啟發(fā)式掃描技術(shù)的結(jié)合傳統(tǒng)的掃描技術(shù)基于對已知病毒的分析和研究，在檢測時能夠更準(zhǔn)確、減少誤報對待此前根本沒有出現(xiàn)過的新病毒，有可能產(chǎn)生漏報的嚴(yán)重后果啟發(fā)式代碼掃描技術(shù)基于規(guī)則和定義的啟發(fā)式代碼分析技術(shù)則可以檢測新病毒傳統(tǒng)掃描技術(shù)與啟發(fā)式掃描技術(shù)的結(jié)合，可以使病毒檢測軟件的檢出率提高到前所未有的水平，而另一方面，又大大降低了總的誤報率啟發(fā)式代碼掃描技術(shù)啟發(fā)式判定結(jié)果傳統(tǒng)式判定結(jié)果可能的真正結(jié)果干凈干凈非?？赡芨蓛舾蓛粲卸竞芸赡苡卸居卸靖蓛艨赡苡卸居卸居卸敬_實(shí)染毒啟發(fā)式代碼掃描技術(shù)啟發(fā)式反毒技術(shù)的未來展望在相當(dāng)長的時間里虛報和漏報的概率不可能達(dá)到0%，因?yàn)椴《驹诒举|(zhì)上也是程序，某些正常程序可能使用具有病毒特征的功能(可疑功能調(diào)用)反毒技術(shù)的進(jìn)步也會從另一方面激發(fā)和促使病毒制作者不斷研制出更新的病毒，具有某種反啟發(fā)式掃描技術(shù)的功能，從而可以逃避這類檢測技術(shù)的檢測虛擬機(jī)查毒技術(shù)虛擬機(jī)（VM）是一種軟件仿真器或軟件分析器，通過軟件軟件虛擬化、硬件虛擬化，讓程序中一個虛擬/仿真環(huán)境中運(yùn)行查毒的虛擬機(jī)是一個軟件模擬的CPU，它可以象真正CPU一樣取指令、譯碼、執(zhí)行，可以模擬一段代碼在真正CPU上運(yùn)行得到的結(jié)果虛擬機(jī)查毒技術(shù)虛擬機(jī)的基本工作原理和簡單流程給定一組機(jī)器碼序列，虛擬機(jī)自動從中取出第一條指令操作碼部分，判斷操作碼類型和尋址方式以確定該指令長度在相應(yīng)的函數(shù)中執(zhí)行該指令，并根據(jù)執(zhí)行后的結(jié)果確定下條指令的位置如此循環(huán)反復(fù)直到某個特定情況發(fā)生以結(jié)束工作虛擬機(jī)查毒技術(shù)設(shè)計虛擬機(jī)查毒的目的是為了對抗加密變形病毒虛擬執(zhí)行技術(shù)使用范圍遠(yuǎn)不止自動脫殼，它還可以應(yīng)用在跨平臺高級語言解釋器、惡意代碼分析、調(diào)試器虛擬機(jī)查毒技術(shù)虛擬分析是計算機(jī)實(shí)現(xiàn)了模擬人工反編譯、智能動態(tài)跟蹤、分析代碼運(yùn)行的過程，其效率更高、更準(zhǔn)確病毒可能實(shí)施的破壞在虛擬機(jī)監(jiān)控下，不會真正發(fā)生虛擬機(jī)可以抓住一些病毒“經(jīng)常使用的手段”和“常見的特點(diǎn)”，最終生成廣義病毒行為描述算法，獲得病毒行為的啟發(fā)性知識虛擬機(jī)技術(shù)仍然與傳統(tǒng)技術(shù)相結(jié)合，并沒有拋棄已知病毒的特征知識庫實(shí)時監(jiān)控技術(shù)病毒實(shí)時監(jiān)控會在文件打開、關(guān)閉、清除、寫入等操作時檢查文件是否是病毒攜帶者根據(jù)用戶的決定選擇不同的處理方案，如清除病毒、禁止訪問該文件、刪除該文件或簡單地忽略，從而有效地避免病毒在本地計算機(jī)上的感染傳播實(shí)時監(jiān)控技術(shù)病毒實(shí)時監(jiān)控的設(shè)計主要存在以下幾個難點(diǎn)驅(qū)動程序的編寫不同于普通用戶態(tài)程序的編寫，其難度很大驅(qū)動程序與Ring3下客戶程序的通信問題驅(qū)動程序所占用資源問題實(shí)時監(jiān)控技術(shù)Windows9x下病毒實(shí)時監(jiān)控的實(shí)現(xiàn)主要依賴于以下三項(xiàng)技術(shù)虛擬設(shè)備驅(qū)動(VxD)編程可安裝文件系統(tǒng)鉤子(IFSHook)VxD與Ring3下客戶程序的通信(APC/EVENT)實(shí)時監(jiān)控技術(shù)WindowsNT/2000下病毒實(shí)時監(jiān)控的實(shí)現(xiàn)主要依賴于以下三項(xiàng)技術(shù)NT內(nèi)核模式驅(qū)動編程WindowsNT/2000下不再支持VxD攔截IRP驅(qū)動與Ring3下客戶程序的通信(命名的事件與信號量對象)計算機(jī)病毒的免疫技術(shù)目前已知的基于免疫的計算機(jī)病毒檢測系統(tǒng)的研究主要分為兩個方向一是以Forrest等人為代表的基于免疫算法的研究，主要探討免疫基本原理在病毒檢測的可行性一是以IBM試驗(yàn)室為代表的利用免疫框架構(gòu)建大規(guī)模免疫應(yīng)用系統(tǒng)的研究計算機(jī)病毒的免疫技術(shù)1994年，NewMexico大學(xué)的Forrest和她所在的研究小組最早將免疫學(xué)的原理應(yīng)用于計算機(jī)安全領(lǐng)域設(shè)計了一個用來保護(hù)計算機(jī)系統(tǒng)的人工免疫系統(tǒng)通過檢測非授權(quán)使用，維護(hù)數(shù)據(jù)文件的完整性和阻止病毒的擴(kuò)散來提高計算機(jī)系統(tǒng)的安全性計算機(jī)病毒的免疫技術(shù)最突出的特點(diǎn)就是繼承了人體免疫系統(tǒng)中區(qū)分自體(self)和”非自體”(non-self)的機(jī)制自體是指合法用戶行為、未被破壞的數(shù)據(jù)等”非自體”是指非授權(quán)用戶的行為、病毒和惡意代碼或網(wǎng)絡(luò)攻擊等計算機(jī)病毒的免疫技術(shù)基于文件異常的病毒檢測設(shè)計了一個否定選擇算法，用來檢測被保護(hù)數(shù)據(jù)和程序文件中的變化，以發(fā)現(xiàn)計算機(jī)病毒主要思路是通過監(jiān)視文件的異常變動來監(jiān)控可能的病毒感染和一般的病毒異常檢查工具的主要不同在于其檢測手段是多個概率意義上的檢測器計算機(jī)病毒的免疫技術(shù)基于進(jìn)程異常的檢測系統(tǒng)異常檢測通過和正常模式(系統(tǒng)，文件，進(jìn)程，用戶行為等等)的比較發(fā)現(xiàn)攻擊的可能性根據(jù)Unix系統(tǒng)環(huán)境中的合法行為來定義自體，通過對進(jìn)程的監(jiān)視，發(fā)現(xiàn)入侵系統(tǒng)的惡