5-1-1反病毒軟件的編制技術(shù)和最新查毒技術(shù)介紹_第1頁
5-1-1反病毒軟件的編制技術(shù)和最新查毒技術(shù)介紹_第2頁
5-1-1反病毒軟件的編制技術(shù)和最新查毒技術(shù)介紹_第3頁
5-1-1反病毒軟件的編制技術(shù)和最新查毒技術(shù)介紹_第4頁
5-1-1反病毒軟件的編制技術(shù)和最新查毒技術(shù)介紹_第5頁
已閱讀5頁,還剩13頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、Virus.計(jì)算機(jī)病毒與防治課程小組教學(xué)單元5-1分析反病毒軟件的編制技術(shù)分析反病毒軟件的編制技術(shù) 主動(dòng)防御技術(shù)主動(dòng)防御技術(shù) 計(jì)算機(jī)病毒特征碼計(jì)算機(jī)病毒特征碼 靜態(tài)啟發(fā)式查毒技術(shù)靜態(tài)啟發(fā)式查毒技術(shù) 第一講第一講反病毒軟件的編制技術(shù)和最新查毒技術(shù)介紹反病毒軟件的編制技術(shù)和最新查毒技術(shù)介紹 計(jì)算機(jī)病毒與防治課程小組動(dòng)態(tài)啟發(fā)式查毒技術(shù)動(dòng)態(tài)啟發(fā)式查毒技術(shù) 反病毒軟件的編制技術(shù) 隨著網(wǎng)絡(luò)的發(fā)展和各種移動(dòng)存儲(chǔ)設(shè)備的普及,計(jì)算機(jī)病毒的傳播途徑日益增多,相信經(jīng)常使用計(jì)算機(jī)的朋友,都使用過殺毒軟件。那么殺毒軟件是根據(jù)什么原理來查、殺病毒的呢?殺毒軟件都包括哪些結(jié)構(gòu)?大家一起來討論大家一起來討論 6.1 計(jì)算機(jī)病

2、毒特征碼所謂的病毒特征碼可以說就是病毒的“指紋”,當(dāng)殺毒軟件公司收集到一個(gè)新的病毒時(shí),他們就會(huì)從這個(gè)病毒程序中截取一小段獨(dú)一無二而且足以表示這個(gè)病毒的二進(jìn)制程序代碼,來當(dāng)作查毒程序辨認(rèn)此病毒的依據(jù),而這段獨(dú)一無二的二進(jìn)制程序代碼就是所謂的病毒碼。二進(jìn)制程序代碼是計(jì)算機(jī)的最基本語言,在計(jì)算機(jī)中所有可以執(zhí)行的程序幾乎都是由二進(jìn)制程序代碼所組成。 6.1 計(jì)算機(jī)病毒特征碼 例如,如果有一個(gè)Windows的程序被病毒感染,那么殺毒軟件公司就必須先研究出Windows文件的格式,看看Windows文件是怎么被系統(tǒng)執(zhí)行,以便找出Windows程序的進(jìn)入點(diǎn),因?yàn)椴《揪褪遣厣碓谶@個(gè)地方來取得控制權(quán)并進(jìn)行傳染及

3、破壞,知道病毒程序在一個(gè)Windows文件中所存在的位置之后,就可以從這個(gè)區(qū)域來找出一段特殊的病毒特征碼供查毒程序使用。計(jì)算機(jī)病毒與防治課程小組6.1 計(jì)算機(jī)病毒特征碼計(jì)算機(jī)病毒與防治課程小組 在殺毒軟件公司中都有技術(shù)人員專門在為各種不同類型的病毒提取病毒特征碼,可是當(dāng)病毒愈來愈多,要找出每一個(gè)病毒都獨(dú)一無二的病毒碼可能就不太容易,有時(shí)甚至這些病毒碼還會(huì)誤判到一些不是病毒的正常文件,所以通常殺毒軟件公司在將病毒碼送給客戶前都必須先經(jīng)過一番嚴(yán)格的測試,才放在Internet上供使用者自由下載或做成產(chǎn)品出售。6.1 計(jì)算機(jī)病毒特征碼計(jì)算機(jī)病毒與防治課程小組目前的大多數(shù)殺病毒軟件采用的方法主要是特征

4、碼查毒方案與人工解毒并行,亦即在查病毒時(shí)采用特征碼查毒,在殺病毒時(shí)采用人工編制解毒代碼。但是,特征碼查毒方案也具有極大的局限性。特征碼的描述取決于人的主觀因素,從長達(dá)數(shù)千字節(jié)的病毒體中擷取十余字節(jié)的病毒特征碼,需要對(duì)病毒進(jìn)行跟蹤、反匯編以及其它分析,如果病毒本身具有反跟蹤技術(shù)和變形、解碼技術(shù),那么跟蹤和反匯編以獲取特征碼的情況將變得極其復(fù)雜。此外,要擷取一個(gè)病毒的特征碼,必然要獲取該病毒的樣本,再由于對(duì)特征碼的描述各個(gè)不同,特征碼方法在國際上很難得到廣域性支持。特征碼查病毒主要的技術(shù)缺陷表現(xiàn)在較大的誤查和誤報(bào)上,而殺病毒技術(shù)又導(dǎo)致了反病毒軟件的技術(shù)遲滯。 6.2最新查毒技術(shù)解析計(jì)算機(jī)病毒與防治

5、課程小組80年代末期,基于個(gè)人電腦病毒的誕生,隨即就有了清除病毒的工具反病毒軟件。這一時(shí)期,病毒所使用的技術(shù)還比較簡單,從而檢測相對(duì)容易,最廣泛使用的就是特征碼匹配的方法。然而為了躲避殺毒軟件的查殺,病毒開始了進(jìn)化,逐漸演變?yōu)樽冃蔚男问剑扛腥疽淮?,就?duì)自身變一次形,通過對(duì)自身的變形來躲避查殺。這樣一來,同一種病毒的變種病毒大量增加,殺毒軟件單純依靠病毒庫和特征碼技術(shù)已經(jīng)不能適應(yīng)如今的網(wǎng)絡(luò)安全。于是,便出現(xiàn)了廣譜特征碼的概念.6.2最新查毒技術(shù)解析廣譜特征碼技術(shù)在一段時(shí)間內(nèi),對(duì)于處理某些變形的病毒提供了一種方法,但是也使誤報(bào)率大大增加,所以采用廣譜特征碼的技術(shù)目前也不能有效的對(duì)新病毒和未知病毒

6、進(jìn)行查殺,那么,現(xiàn)如今種類繁多的殺毒軟件都有哪些新技術(shù)和新特征來適應(yīng)當(dāng)前的病毒威脅,又是如何實(shí)現(xiàn)的呢?目前最常用的是主動(dòng)防御技術(shù)和啟發(fā)式查毒技術(shù)。6.2最新查毒技術(shù)解析主動(dòng)防御技術(shù):由于傳統(tǒng)的基于病毒庫掃描的反病毒軟件都是很被動(dòng)的,只能在新病毒出現(xiàn)之后才能有應(yīng)付措施,一個(gè)病毒制造者所編寫的病毒很有可能在被殺毒軟件廠商截獲并添加到產(chǎn)品病毒庫之前進(jìn)入用戶電腦。此時(shí),由于該病毒的特征碼還未添加到殺毒軟件病毒庫中,殺毒軟件會(huì)將病毒認(rèn)為是正常文件而放過,使得用戶電腦被病毒所感染。因此,業(yè)界將能夠主動(dòng)檢測和攔截未知威脅的防御方法稱為“主動(dòng)防御”。6.2最新查毒技術(shù)解析 殺毒軟件具有滯后性,這是業(yè)界公認(rèn)的一

7、個(gè)殺毒軟件弊端,而主動(dòng)防御卻很好的解決了這個(gè)問題。 主動(dòng)防御技術(shù)主要是針對(duì)未知病毒提出來的病毒防殺技術(shù),在沒有病毒樣本的情況下,對(duì)病毒進(jìn)行全面而有效的全面防護(hù),阻止病毒的運(yùn)作,從技術(shù)層面上有效應(yīng)對(duì)未知病毒的肆虐,一是在未知病毒和未知程序方面,通過“行為判斷”技術(shù)識(shí)別大部分未被截獲的未知病毒和變種。另一方面,通過對(duì)漏洞攻擊行為進(jìn)行監(jiān)測,這樣可防止病毒利用系統(tǒng)漏洞對(duì)其它計(jì)算機(jī)進(jìn)行攻擊,從而阻止病毒的爆發(fā)。6.2最新查毒技術(shù)解析啟發(fā)式查毒技術(shù) 說到主動(dòng)防御,不得不提起啟發(fā)式查毒技術(shù),啟發(fā)式查毒技術(shù)屬于主動(dòng)防御的一種,是當(dāng)前對(duì)付未知病毒的主要手段,從工作原理上可分為靜態(tài)啟發(fā)和動(dòng)態(tài)啟發(fā)兩種。 啟發(fā)式指“

8、自我發(fā)現(xiàn)的能力”或“運(yùn)用某種方式或方法去判定事物的知識(shí)和技能”,是殺毒軟件能夠分析文件代碼的邏輯結(jié)構(gòu)是否含有惡意程序特征,或者通過在一個(gè)虛擬的安全環(huán)境中前攝性的執(zhí)行代碼來判斷其是否有惡意行為。在業(yè)界前者被稱為靜態(tài)代碼分析,后者被成為動(dòng)態(tài)虛擬機(jī)。計(jì)算機(jī)病毒與防治課程小組6.2最新查毒技術(shù)解析計(jì)算機(jī)病毒與防治課程小組 靜態(tài)啟發(fā)技術(shù)指的是在靜止?fàn)顟B(tài)下通過病毒的典型指令特征識(shí)別病毒的方法,是對(duì)傳統(tǒng)特征碼掃描的一種補(bǔ)充。由于病毒程序與正常的應(yīng)用程序在啟動(dòng)時(shí)有很多區(qū)別,通常一個(gè)應(yīng)用程序在最初的指令,是檢查命令行輸入有無參數(shù)項(xiàng)、清屏和保存原來屏幕顯示等,而病毒程序則通常是最初的指令是直接寫盤操作、解碼指令,

9、或搜索某路徑下的可執(zhí)行程序等相關(guān)操作指令序列。 靜態(tài)啟發(fā)式就是通過簡單的反編譯,在不運(yùn)行病毒程序的情況下,核對(duì)病毒頭靜態(tài)指令從而確定病毒的一種技術(shù)。靜態(tài)啟發(fā)技術(shù)6.2最新查毒技術(shù)解析 而相比靜態(tài)啟發(fā)技術(shù),動(dòng)態(tài)啟發(fā)技術(shù)要復(fù)雜和先進(jìn)很多。動(dòng)態(tài)啟發(fā)式通過殺軟內(nèi)置的虛擬機(jī)技術(shù),給病毒構(gòu)建一個(gè)仿真的運(yùn)行環(huán)境,誘使病毒在殺軟的模擬緩沖區(qū)中運(yùn)行,如運(yùn)行過程中檢測到可疑的動(dòng)作,則判定為危險(xiǎn)程序并進(jìn)行攔截。這種方法更有助于識(shí)別未知病毒,對(duì)加殼病毒依然有效,但如果控制得不好,會(huì)出現(xiàn)較多誤報(bào)的情況。計(jì)算機(jī)病毒與防治課程小組動(dòng)態(tài)啟發(fā)技術(shù)6.2最新查毒技術(shù)解析計(jì)算機(jī)病毒與防治課程小組動(dòng)態(tài)啟發(fā)因?yàn)榭紤]資源占用的問題,因此目前只能使用比較保守的虛擬機(jī)技術(shù)。盡管如此,由于動(dòng)態(tài)啟發(fā)式判斷技術(shù)具有許多不可替代的優(yōu)勢,因此仍然是目前檢

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論