计算机病毒的检测清除与免疫

张仁斌李钢侯整风编著计算机病毒与反病毒技术清华大学出版社计算机病毒与反病毒技术©清华大学出版社张仁斌等编著1主要内容计算机病毒的防范措施计算机病毒的检测技术与原理启发式查毒技术虚拟机查毒技术实时监控技术引导型病毒的清除文件型病毒的清除计算机病毒的免疫方法第9章计算机病毒的检测、清除与免疫计算机病毒与反病毒技术©清华大学出版社张仁斌等编著29.1.1反病毒技术的产生与发展简介反病毒技术应运而生，并在与病毒对抗的过程中不断发展从“消毒软件”到“防毒卡”“查杀防三合一”实时反病毒软件的诞生反病毒技术的发展历程简单特征码采用单纯的病毒特征代码分析，清除染毒文件中的病毒广谱特征采用静态广谱特征扫描技术检测病毒，可以检测变形病毒，但是误报率高启发式扫描将静态扫描技术和动态仿真跟踪技术结合起来，将查找病毒和清除病毒合二为一虚拟机9.1反病毒技术综述计算机病毒与反病毒技术©清华大学出版社张仁斌等编著39.1.2计算机病毒防治技术的划分计算机病毒的防治技术分成四个方面病毒预防技术病毒检测技术病毒消除技术病毒免疫技术除了免疫技术因目前找不到通用的免疫方法而进展不大之外，其他三项技术都有相当的进展9.1反病毒技术综述计算机病毒与反病毒技术©清华大学出版社张仁斌等编著49.1.3主动内核(ActiveK)技术与实时监视传统的反病毒技术，基于被动式的防御理念这种理念最大的缺点在于将防治病毒的基础建立在病毒侵入操作系统或网络系统以后，作为上层应用软件的反病毒产品，才能借助于操作系统或网络系统所提供的功能来被动地防治病毒主动内核(ActiveK)技术，是在操作系统和网络的内核中嵌入反病毒功能，使反病毒成为系统本身的底层模块，实现各种反毒模块与操作系统和网络无缝连接，而不是一个系统外部的应用软件主动内核技术能够在病毒突破计算机系统软、硬件的瞬间发生作用9.1反病毒技术综述计算机病毒与反病毒技术©清华大学出版社张仁斌等编著59.1.4自动解压缩技术检查压缩文件中的病毒，首先必须搞清压缩文件的压缩算法，尔后根据压缩算法将病毒码压缩成病毒压缩码，最后根据病毒压缩码在压缩文件中查找还有另一种检查压缩文件中病毒的方法，是在搞清压缩文件的压缩算法和解压缩算法的基础上，先解压缩文件，尔后检查病毒码，最后将文件还原压缩9.1反病毒技术综述计算机病毒与反病毒技术©清华大学出版社张仁斌等编著69.2.1计算机病毒防范的概念计算机病毒防范，是指通过建立合理的计算机病毒防范体系和制度，及时发现计算机病毒侵入，并采取有效的手段阻止计算机病毒的传播和破坏，恢复受影响的计算机系统和数据计算机病毒能利用读写文件进行感染，利用驻留内存、截取中断向量等方式能进行传染和破坏。预防计算机病毒就是要监视、跟踪系统内类似的操作，提供对系统的保护，最大限度地避免各种计算机病毒的传染破坏9.2计算机病毒的防范策略计算机病毒与反病毒技术©清华大学出版社张仁斌等编著79.2.2必须具有的安全意识对计算机病毒应持有如下态度：承认计算机病毒的客观存在应该具有安全意识，积极采取预防措施，堵塞计算机病毒的传染途径不惧怕病毒，树立必胜的信念；发现病毒，冷静处理9.2计算机病毒的防范策略计算机病毒与反病毒技术©清华大学出版社张仁斌等编著89.2.3预防计算机病毒的一般措施计算机病毒的预防措施可概括为两点勤备份严防守9.2计算机病毒的防范策略计算机病毒与反病毒技术©清华大学出版社张仁斌等编著99.3.1病毒检测方法综述检测计算机病毒的方法有两种手工检测利用Debug、PCTools、SysInfo、WinHex等工具软件进行病毒的检测这种方法比较复杂，费时费力可以剖析病毒、可以检测一些自动检测工具不能识别的新病毒自动检测利用一些专业诊断软件来判断引导扇区、磁盘文件是否有毒的方法自动检测比较简单，一般用户都可以进行，但需要较好的诊断软件可方便地检测大量的病毒，自动检测工具的发展总是滞后于病毒的发展9.3计算机病毒的诊断方法及其原理计算机病毒与反病毒技术©清华大学出版社张仁斌等编著109.3.2比较法诊断的原理比较法是用原始的正常备份与被检测的内容(引导扇区或被检测的文件)进行比较长度比较法内容比较法内存比较法中断比较法9.3计算机病毒的诊断方法及其原理计算机病毒与反病毒技术©清华大学出版社张仁斌等编著119.3.3校验和法诊断的原理根据正常文件的信息(包括文件名称、大小、时间、日期及内容)，计算其校验和，将该校验和写入文件中或写入其他文件(资料库)中保存在文件使用过程中，定期地或每次使用文件前，检查文件现有信息算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否已被感染运用校验和法查病毒一般采用三种方式在检测病毒工具中纳入校验和法，对被查的对象文件计算其正常状态的校验和，将校验和值写入被查文件中或检测工具中，而后进行比较在应用程序中，放入校验和法自我检查功能，将文件正常状态的校验和写入文件本身中，每当应用程序启动时，比较现行校验和与原校验和值，实现应用程序的自检测将校验和检查程序常驻内存，每当应用程序开始运行时，自动比较检查应用程序内部或其他文件中预先保存的校验和9.3计算机病毒的诊断方法及其原理计算机病毒与反病毒技术©清华大学出版社张仁斌等编著129.3.4扫描法诊断的原理扫描法是用每一种病毒体含有的特定病毒码(VirusPattern)对被检测的对象进行扫描。如果在被检测对象内部发现了某一种特定病毒码，就表明发现了该病毒码所代表的病毒特征代码扫描法通配符首尾扫描不匹配字节数9.3计算机病毒的诊断方法及其原理计算机病毒与反病毒技术©清华大学出版社张仁斌等编著139.3.5行为监测法诊断的原理利用病毒的特有行为特性监测病毒的方法，称为行为监测法，也称为人工智能陷阱法通过对病毒多年的观察、研究，人们发现病毒有一些行为，是病毒的共同行为，而且比较特殊，在正常程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警占用INT13H修改DOS系统数据区的内存总量对可执行文件做写入动作病毒程序与宿主程序的切换9.3计算机病毒的诊断方法及其原理计算机病毒与反病毒技术©清华大学出版社张仁斌等编著149.3.6感染实验法诊断的原理这种方法的原理是利用了病毒的最重要的基本特征：感染特性检测未知引导型病毒的感染实验法检测未知文件型病毒的感染实验法9.3计算机病毒的诊断方法及其原理计算机病毒与反病毒技术©清华大学出版社张仁斌等编著159.3.7软件模拟法诊断的原理软件模拟(SoftwareEmulation)法(即后文中将详细介绍的虚拟机对抗病毒技术)，是一种软件分析器，用软件方法来模拟和分析程序的运行：模拟CPU执行，在其设计的虚拟机器(VirtualMachine)下假执行病毒的变体引擎解码程序，安全并确实地将多态病毒解开，使其显露真实面目，再加以扫描主要用于检测多态型病毒9.3计算机病毒的诊断方法及其原理计算机病毒与反病毒技术©清华大学出版社张仁斌等编著169.3.8分析法诊断的原理使用分析法的人一般不是普通用户，而是反病毒技术人员使用分析法的目的在于：确认被观察的引导扇区和程序中是否含有病毒确认病毒的类型和种类，判定其是否是一种新病毒搞清楚病毒体的大致结构，提取特征识别用的字符串或特征字，并增添到病毒代码库供病毒扫描和识别程序使用详细分析病毒代码，为制定相应的反病毒措施制定方案上述四个目的按顺序排列起来，正好大致是使用分析法的工作顺序使用分析法要求具有比较全面的计算机体系结构、操作系统以及有关病毒技术的各种知识9.3计算机病毒的诊断方法及其原理计算机病毒与反病毒技术©清华大学出版社张仁斌等编著17简介启发式代码扫描技术源于人工智能技术，是基于给定的判断规则和定义的扫描技术，若发现被扫描程序中存在可疑的程序功能指令，则作出存在病毒的预警或判断启发式代码分析扫描技术是对传统的特征代码扫描法查毒技术的改进在特征代码扫描技术的基础上，利用对病毒代码的分析，获得一些统计的、静态的启发式知识，形成一种静态的启发式代码扫描分析技术9.4启发式代码扫描技术计算机病毒与反病毒技术©清华大学出版社张仁斌等编著189.4.1启发式代码扫描的基本原理病毒和正常程序的区别可以体现在许多方面，比较常见的如通常一个应用程序在最初的指令是检查命令行输入有无参数项、清屏和保存原来屏幕显示等，而病毒程序则从来不会这样做，它通常最初的指令是直接写盘操作、解码指令，或搜索某路径下的可执行程序等相关操作指令序列这些显著的不同之处，一个熟练的程序员在调试状态下只需一瞥便可一目了然启发式代码扫描技术实际上就是把人类的这种经验和知识移植到一个查病毒软件中的具体程序体现9.4启发式代码扫描技术计算机病毒与反病毒技术©清华大学出版社张仁斌等编著199.4.2可疑程序功能及其权值与相应标志可疑程序功能的权值与报警标准对以下可疑的程序代码指令序列按照安全和可疑的等级进行排序，根据病毒可能使用和具备的特点而授以不同的加权值格式化磁盘操作搜索和定位各种可执行程序的操作实现驻留内存的操作调用非常的或未公开的系统功能子程序调用中只执行入栈操作……如果一个程序的加权值的总和超过一个事先定义的阀值，那么，病毒检测程序就可以声称“发现病毒”；仅仅一项可疑的功能操作远不足以触发“病毒报警”的装置为了避免“狼来了”的谎报和虚报，病毒检测程序常把多种可疑功能操作同时并发的情况定为发现病毒的报警标准9.4启发式代码扫描技术计算机病毒与反病毒技术©清华大学出版社张仁斌等编著209.4.3关于虚警(谎报)启发式扫描技术有时也会把一个本无病毒的程序判断为染毒程序，这就是所谓的查毒程序虚警或谎报现象减少和避免误报(谎报)，必须努力做好以下几点准确把握病毒行为，精确定义可疑功能调用集合，除非满足两个以上的病毒重要特征，否则不予报警增强对常规正常程序的识别能力增强对特定程序的识别能力类似“无罪假定”的功能，首先假定程序和计算机是不含病毒的。许多启发式代码分析检毒软件具有自学习功能，能够记忆那些并非病毒的文件并在以后的检测过程中避免再报警9.4启发式代码扫描技术计算机病毒与反病毒技术©清华大学出版社张仁斌等编著219.4.4传统扫描技术与启发式扫描技术的结合传统的扫描技术基于对已知病毒的分析和研究，在检测时能够更准确、减少误报；但如果是对待此前根本没有出现过的新病毒，由于其知识库并不存在该类(种)病毒的特征数据，则有可能产生漏报的严重后果基于规则和定义的启发式代码分析技术则可以使新病毒不至于成为漏网之鱼传统扫描技术与启发式扫描技术的结合，可以使病毒检测软件的检出率提高到前所未有的水平，而另一方面，又大大降低了总的误报率9.4启发式代码扫描技术计算机病毒与反病毒技术©清华大学出版社张仁斌等编著229.4.5启发式反毒技术的未来展望任何改良的努力都会有不同程度的质量提高，但是不能企望在没有虚报为代价的前提下使检出率达到100%，或者反过来说，在相当长的时间里虚报和漏报的概率不可能达到0%，因为病毒在本质上也是程序，某些正常程序可能使用具有病毒特征的功能(可疑功能调用)反毒技术的进步也会从另一方面激发和促使病毒制作者不断研制出更新的病毒，具有某种反启发式扫描技术的功能，从而可以逃避这类检测技术的检测9.4启发式代码扫描技术计算机病毒与反病毒技术©清华大学出版社张仁斌等编著239.5.1虚拟机简介查毒的虚拟机是一个软件模拟的CPU，它可以象真正CPU一样取指令、译码、执行，可以模拟一段代码在真正CPU上运行得到的结果虚拟机的基本工作原理和简单流程给定一组机器码序列，虚拟机会自动从中取出第一条指令操作码部分，判断操作码类型和寻址方式以确定该指令长度，然后在相应的函数中执行该指令，并根据执行后的结果确定下条指令的位置，如此循环反复直