12：网络安全-反病毒技术(黑板)

1反病毒技术2反病毒技术1.反病毒技术概述2.管理控制措施3.杀毒技术4.清除病毒5.未来趋势3反病毒技术1.反病毒技术概述①反病毒技术的发展历程②计算机病毒防范的概念③计算机病毒防范的态度④反病毒技术的现状2.管理控制措施3.杀毒技术4.清除病毒5.未来趋势4回顾：病毒发展历史•1986年到1989年：计算机病毒的萌芽时期•1989年到1992年：由简单到复杂，由原始走向成熟•1992到1995年：开始具有多态性质•1995年到2000年：利用网络传播，出现宏病毒•2000年以后：成熟繁荣阶段5①反病毒技术的发展历程•第一代：单纯的病毒特征代码分析•第二代：静态广谱特征扫描技术•第三代：将静态扫描技术和动态仿真跟踪技术结合起来•第四代：主动防御技术6①反病毒技术的发展历程•以1998年为界分为两个阶段–前十年:查杀感染文件型和引导区病毒–后十年:针对蠕虫和木马•病毒技术从恶作剧到盗号窃秘为目的•病毒逃避杀毒软件追杀的能力在不断提升•计算机反病毒技术也随之提高7②计算机病毒防范的概念1.通过建立合理的计算机病毒防范体系和制度，及时发现计算机病毒侵入2.采取有效的手段阻止计算机病毒的传播和破坏3.恢复受影响的计算机系统和数据–计算机病毒技术：利用读写文件进行感染，利用驻留内存、截取中断向量等方式能进行传染和破坏–预防计算机病毒：监视、跟踪系统内类似的操作8③计算机病毒防范的态度•对计算机病毒应持有如下态度：1.承认计算机病毒的客观存在2.应该具有安全意识，积极采取预防措施，堵塞计算机病毒的传染途径3.不惧怕病毒，树立必胜的信念；发现病毒，冷静处理9④反病毒技术现状：成熟技术•以文件为中心–拦截文件存储–通过特征发现病毒–弱点：•被动反应，无法在病毒出现之前提供特征•无法有效查杀网络蠕虫10④反病毒技术现状：研究目标•启发式识别–静态启发式识别•利用特征来侦测已知恶意代码段–动态启发式识别•采用CPU模拟把静态可执行文件转化为动态行为•行为阻止–反溢出保护–截获及阻止恶意系统调用–第一代系统已经商业运行•过多的安全警告11反病毒技术1.反病毒技术概述2.管理控制措施3.杀毒技术4.清除病毒5.未来趋势12网络病毒进攻时序线发现漏洞完成补丁公布补丁黑客破解开发蠕虫/病毒释放蠕虫/病毒用户与黑客赛跑13实施管理控制措施的原因•蠕虫/病毒出现时间缩短，需要及时打补丁•补丁越来越多，需要进行管理•一些简单的管理控制措施可以降低蠕虫/病毒的感染率14预防计算机病毒的管理控制措施1.加大防护力：①安装使用防病毒软件②启用防火墙③正确使用口令2.增强免疫力：①使用高安全等级配置②及时下载安装软件补丁③关闭闲置端口，停止不需要的服务3.减少损失：使用普通用户帐户4.应急准备：定期备份重要文件15如何使用高安全等级配置16使用普通用户帐号的好处•即使病毒感染系统，也不能：–停止防火墙和反病毒程序的运行–危害系统文件和设置–安装恶意核心程序–影响其他帐号的程序及设置–篡改系统日志–等等……17反病毒技术1.反病毒技术概述2.管理控制措施3.病毒检测技术4.清除病毒5.未来趋势18反病毒技术1.反病毒技术概述2.管理控制措施3.病毒检测技术①手工方法②自动方法4.清除病毒5.未来趋势19病毒检测方法•检测计算机病毒的方法有两种–手工检测•利用Debug、PCTools、SysInfo、WinHex等工具软件•方法复杂，费时费力•优点：可以剖析病毒、检测自动检测工具不能识别的新病毒–自动检测•利用一些专业诊断软件来判断检查引导扇区、磁盘文件等•方法简单，依赖于诊断软件的检测水平•优点：可快速检测大量的病毒•缺点：发展总是滞后于病毒的发展20手工检测——分析法•手工检测的步骤和目的：–确认被观察的引导扇区和程序中是否含有病毒–确认病毒的类型和种类，判定其是否是一种新病毒–搞清楚病毒体的大致结构，提取特征识别用的字符串或特征字，并增添到病毒代码库供病毒扫描和识别程序使用–详细分析病毒代码，以便制定相应的反病毒措施•使用手工检测要求具有比较全面的计算机体系结构、操作系统以及有关病毒技术的各种知识21自动检测•(1)比较法–基于多位CRC校验•(2)扫描法•(3)启发式智能分析•(4)软件模拟法•(5)病毒免疫技术22(1)比较法•比较法是用原始的正常备份与被检测的内容(引导扇区或被检测的文件)进行比较–长度比较法–内容比较法–内存比较法–中断比较法•主要采用校验和法(1)比较法•校验和法诊断的原理–根据正常文件的信息计算其校验和，将该校验和写入文件中保存–定期或每次使用文件前，检查文件现有信息算出的校验和与原来保存的校验和是否一致，判断文件是否已被感染23(1)比较法•常用方式：–在检测病毒工具中纳入校验和法，对被查的对象文件进行比较–在应用程序中，放入校验和法自我检查功能，实现应用程序的自检测–将校验和检查程序常驻内存，每当应用程序开始运行时，自动进行比较2425(2)扫描法•扫描法是用每一种病毒体含有的特定病毒码(VirusPattern)对被检测的对象进行扫描。如果在被检测对象内部发现了某一种特定病毒码，就表明发现了该病毒码所代表的病毒•主要包括：–特征代码扫描法–特征字扫描法26(2)扫描法•第一代扫描器：字符串特征•第二代扫描器：近似精确扫描方法•算法扫描方法：特定病毒的专用扫描检测方法27(2)扫描法——问题与改进•随着病毒数目的增多，病毒特征码数量也在增多–为了解决搜索效率，对病毒特征进行分类•病毒通常只感染一部分已知对象类型–为特征字符串设置附加的标志字段，以指示该特征字符串是否可能在当前扫描对象中出现•为了对付特征码扫描，病毒采用加密等技术来实现逃避–……28(2)扫描法——优缺点•优点–检测方便快速–可识别病毒名称–误报警率低29(2)扫描法——优缺点•缺点–特征选择困难–无法检测新病毒–无法有效对付多态病毒–特征库增加时，检测效率降低(3)启发式智能分析——行为分析•利用病毒的特有行为特性监测病毒的方法，也称为行为监测法或人工智能法•病毒的特殊行为:–占用INT13H–修改DOS系统数据区的内存总量–对可执行文件做写入动作–病毒程序与宿主程序的切换–等等3031(3)启发式智能分析——代码扫描•启发式代码扫描技术源于人工智能技术，是基于给定的判断规则和定义的扫描技术，若发现被扫描程序中存在可疑的程序功能指令，则作出存在病毒的预警或判断•对特征代码扫描法的改进•在特征代码扫描技术的基础上，利用对病毒代码的分析，获得一些统计的、静态的启发式知识，形成一种静态的启发式代码扫描分析技术(3)启发式智能分析——代码扫描•病毒和正常程序的区别，熟练的程序员在调试状态下只需一瞥便可一目了然。启发式代码扫描技术实际上就是把人类的这种经验和知识移植到一个查病毒软件中的具体程序体现32(3)启发式智能分析——虚警问题•可疑程序功能的权值与报警标准–对可疑的程序代码指令序列进行排序，并授以不同的加权值–如果一个程序的加权值的总和超过一个事先定义的阈值，则声称“发现病毒”–为了避免虚警，常把多种可疑功能操作同时并发的情况定为发现病毒的报警标准33(3)启发式智能分析——虚警问题•减少和避免虚警(谎报)的方法：–准确把握病毒行为，精确定义可疑功能调用集合–增强对常规正常程序的识别能力；增强对特定程序的识别能力–类似“无罪假定”的功能，首先假定程序和计算机是不含病毒的。通过自学习功能，逐渐记住并非病毒的文件，避免再次报警3435传统扫描技术与启发式扫描技术的结合•传统的扫描技术基于对已知病毒的分析和研究，在检测时能够更准确、减少误报；但如果是对待此前根本没有出现过的新病毒，由于其知识库并不存在该类(种)病毒的特征数据，则有可能产生漏报的严重后果•基于规则和定义的启发式代码分析技术则可以使新病毒不至于成为漏网之鱼•传统扫描技术与启发式扫描技术的结合，可以使病毒检测软件的检出率提高到前所未有的水平，而另一方面，又大大降低了总的误报率36启发式反毒技术的未来展望•任何改良的努力都会有不同程度的质量提高，但是不能企望在没有虚报为代价的前提下使检出率达到100%，或者反过来说，在相当长的时间里虚报和漏报的概率不可能达到0%，因为病毒在本质上也是程序，某些正常程序可能使用具有病毒特征的功能(可疑功能调用)•反病毒技术的进步也会从另一方面激发和促使病毒制作者不断研制出更新的病毒，具有某种反启发式扫描技术的功能，从而可以逃避这类检测技术的检测37病毒反击•不管是特征码扫描还是启发式分析，前提是获得病毒程序的正确代码，如果病毒进行了代码隐藏，比如加密和变形，则往往可以逃避反病毒软件的查杀。38(4)软件模拟法•软件模拟(SoftwareEmulation)法(即虚拟机对抗病毒技术)，是一种软件分析器，用软件方法来模拟和分析程序的运行：–模拟CPU执行，在其设计的虚拟机器(VirtualMachine)下假执行病毒的变体解码程序，安全并确实地将多态病毒解开，使其显露真实面目，再加以扫描•主要用于检测多态型病毒虚拟机技术•查毒的虚拟机是一个软件模拟的CPU，它可以象真正CPU一样取指令、译码、执行，可以模拟一段代码在真正CPU上运行得到的结果•设计虚拟机查毒的目的是为了对抗加密变形病毒•虚拟执行技术使用范围远不止用于自动脱壳，它还可以应用在跨平台高级语言解释器、恶意代码分析、调试器39(5)病毒免疫技术•重入检测：–大部分驻留内存的病毒会在加载病毒代码之前，检查系统的内存状态，判断内存中是否有病毒，若存在(自身已被加载)，则不再加载病毒代码–感染文件之前，查看文件的状态(一般是查看感染标志)，检查该文件是否已被感染，如果被感染了则不再重复感染40(5)病毒免疫技术•基于重入检测的病毒免疫–优点：可以有效地防止某一种特定病毒的传染–缺点：•一个免疫程序只能预防一种计算机病毒•依赖于特定的免疫标志•不可能对一个对象加上所有病毒的免疫标识•能阻止传染，却不能阻止病毒的破坏行为4142IBM数字免疫系统•早在20世纪90年代初，IBM公司的怀特和他的同事们就梦想给计算机“接种”一种数字免疫系统(DigitalImmuneSystem，DIS)•为了对抗利用Internet进行传播的病毒，IBM公司开发了该数字免疫系统原型病毒分析机分析病毒行为和结构得到病毒特征码得到解决方案(抗体)3感染病毒的客户机客户机客户机管理机5624客户机客户机管理机独立的客户机77专用网络专用网络1IBM数字免疫系统示意图43反病毒技术•反病毒技术概述•管理控制措施•病毒检测技术•清除病毒•未来趋势44清除病毒的一般方法•发现病毒后，清除病毒的一般步骤是：1.升级杀毒软件，进入安全模式下全盘查杀2.删除注册表中的有关键值3.更改系统配置文件4.断开网络连接，重启系统，进入安全模式全盘杀毒5.系统安全模式查杀无效，到DOS下查杀。引导型病毒的清除•引导型病毒感染时常攻击计算机的硬盘主引导扇区•为保存原主引导扇区、BOOT扇区，病毒可能随意地将它们写入其他扇区，毁坏这些扇区中的信息•由于引导型病毒一般是常驻内存的，因此，清除病毒之前必须先清除内存中的病毒(或采用修复中断向量表等方法将其灭活)，否则难以清除干净45引导型病毒的清除•硬盘主引导扇区染毒时的修复方法：–(1)用无毒软盘启动系统–(2)寻找一台同类型、硬盘分区相同的无毒计算机，将其硬盘主引导扇区写入一张软盘中–(3)将此软盘插入染毒计算机，将其中采集的主引导扇区数据写入染毒硬盘0柱面0磁头1扇区，即可修复46文件型病毒的清除•基于隐蔽病毒自身的目的，病毒一般都要保证原文件代码还能正常地执行。这就意味着原文件能被妥善保存，从而为清除病毒、恢复原文件提供了可能•用解毒软件来解毒不保证能够完全复原，有可能会越解越糟，杀完毒之后文件反而不能执行。利用手工消毒也是如此。因此，用户必须勤备份自己的资料•手工清除病毒之前，应备份被感染文件，同时应注意防护措施。任何清除病毒的动作，都是危险操作4748反病毒技术•反病毒技术概述•管理控制措施•病毒检测技术•清除病