計算機病毒原理及理論 第十章病毒對抗技術(shù)第十章病毒對抗技術(shù)10.3病毒防御技術(shù)10.2病毒的清除10.1病毒的檢測技術(shù)

本章學習導讀10.4病毒樣本的獲取方法本章小結(jié)本章學習導讀本章主要講解如何對抗病毒。首先介紹如何檢測找到病毒，然后講解如何將找到的病毒清除，接著講解在發(fā)現(xiàn)病毒之前如何去防御病毒，最后講解如何去獲取病毒樣本。10.1病毒的檢測技術(shù)10.1.4校驗檢測技術(shù)

10.1.3行為監(jiān)測技術(shù)

10.1.2特征值檢測技術(shù)10.1.1危險信號10.1.5啟發(fā)式掃描10.1.6虛擬機技術(shù)

10.1.1危險信號1.磁盤的主引導扇區(qū)的信號檢查硬盤主引導扇區(qū)是否被感染，可用DEBUG編寫一段程序，讀出0面，0柱面，1扇區(qū)的內(nèi)容?；蛘呤褂密浖?，在二級菜單中選物理扇區(qū)（Absolutesector），在提示下輸入0面（side），0柱面（cylinder），1扇區(qū)（sector），讀出主引導扇區(qū)。10.1.1危險信號2.可執(zhí)行文件的信號對于寄生在可執(zhí)行文件中的病毒來說，病毒程序一般通過修改原有可執(zhí)行文件，使該文件執(zhí)行首先轉(zhuǎn)入病毒程序引導模塊，該引導模塊也完成把病毒程序的其它兩個模塊駐留及初始化的工作，然后把執(zhí)行權(quán)交給執(zhí)行文件，使系統(tǒng)及執(zhí)行文件在帶毒的狀態(tài)下運行。10.1.1危險信號3.內(nèi)存空間的信號計算機病毒在傳染或執(zhí)行時，必然要占有一定的內(nèi)存空間，并駐留在內(nèi)存中，等待時機進行攻擊或傳染。10.1.1危險信號4.特征的信號一些常見的病毒具有很明顯的特征，即病毒中含有特殊的字符串。用抗病毒軟件檢查文件中是否存在這些特征，從而判定是否發(fā)生感染。特征搜索法可以確診病毒類型。10.1.2特征值檢測技術(shù)計算機病毒的特征值是指計算機病毒本身在特定的寄生環(huán)境中確認自身是否存在的標記符號，即指病毒在傳染宿主程序時，首先判斷該病毒欲傳染的宿主是否已染有病毒時，按特定的偏移量從文件中提出的特征值。10.1.2特征值檢測技術(shù)1.傳統(tǒng)的特征值搜索技術(shù)（1）采集已知的病毒樣本。（2）在病毒樣本中，抽取特征值。（3）獲取病毒特征值（4）將特征串納入病毒特征數(shù)據(jù)庫10.1.2特征值檢測技術(shù)2.傳統(tǒng)的病毒特征串搜索技術(shù)的缺陷（1）當被掃描的文件很長時，掃描所花時間也越多。（2）不容易選出合適的特征串，很多時候會發(fā)出假警報。（3）在新病毒的特征串還未加入病毒代碼庫時，老版本的掃毒程序無法識別出新病毒。（4）懷有惡意的計算機病毒制造者得到代碼庫后，會很容易地改變病毒體內(nèi)的代碼，生成一個新的變種，使掃描程序失去檢測它的能力。（5）容易產(chǎn)生誤警報。（6）不易識別Mutation

Engine類病毒。（7）搜集已知病毒的特征代碼，費用開銷大。（8）在網(wǎng)絡(luò)上使用效率低。10.1.2特征值檢測技術(shù)3.廣譜特征串選?。?）提取變形病毒的多個感染樣本。（2）在每個樣本的相同位置抽取適當長度的病毒代碼。（3）比較這些病毒特征串，依次記下各個樣本完全相同的代碼。（4）如果在各個樣本的病毒特征串中，從第一組（有1個字節(jié)以上含1個字節(jié)）相同的特征串到第二組相同的特征串之間的代碼，不僅常變換，而且在每一個樣本中，它們之間的間距也不相同。如果是在32個字節(jié)內(nèi)變化，可以用雙“%%”百分號來過濾這些變化的代碼。（5）按以上方法處理完病毒特征串，最后得到的就是病毒的廣譜特征串。10.1.2特征值檢測技術(shù)4.建立病毒廣譜特征串選取注意事項（1）病毒廣譜特征串后面的漢字串中不得使用西文雙引號。（2）雙問號“？？”和百分號“%%”可交叉使用。（3）當兩組病毒特征代碼之間的距離大于32個字節(jié)時，大于部分可增加一些雙問號“？？”來接續(xù)，或多用幾個“%%”雙百分號。（4）特征值中至少要有三組不變的病毒代碼。10.1.2特征值檢測技術(shù)特征值檢測的優(yōu)點1）當特征串選擇得很好時，病毒檢測軟件讓計算機用戶使用起來方便快速，對病毒了解不多的人也能用它來發(fā)現(xiàn)病毒。2）不用專門軟件，用編輯軟件也能用特征串掃描法去檢測特定病毒。3）可識別病毒的名稱。4）誤報警率低。5）依據(jù)檢測結(jié)果，可做殺毒處理。10.1.3行為監(jiān)測技術(shù)利用病毒的特有行為特征性來監(jiān)測病毒的方法，稱為行為監(jiān)測法。通過對病毒多年的觀察、研究，發(fā)現(xiàn)病毒有一些共同行為。在正常應(yīng)用程序中，這些行為比較罕見，這就是病毒的行為特性。10.1.3行為監(jiān)測技術(shù)監(jiān)測病毒的行為特征：（1）寫注冊表（2）自動聯(lián)網(wǎng)請求（3）占用INT13H（4）修改DOS系統(tǒng)數(shù)據(jù)區(qū)的內(nèi)存總量（5）對COM和EXE文件做寫入動作（6）病毒程序與宿主程序的切換10.1.4校驗檢測技術(shù)將正常文件的內(nèi)容，計算其校驗和，將該校驗和寫入文件中或?qū)懭雱e的文件中保存。在文件使用過程中，定期地或每次使用文件前，檢查文件現(xiàn)在內(nèi)容算出的校驗和與原來保存的校驗和是否一致，從而可以發(fā)現(xiàn)文件是否感染，這種方法叫校驗和法，它既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒。10.1.4校驗檢測技術(shù)1.長度比較法及內(nèi)容比較法病毒感染系統(tǒng)或文件，必然引起系統(tǒng)或文件的變化，既包括長度的變化，又包括內(nèi)容的變化。因此，將無毒的系統(tǒng)或文件與被檢測的系統(tǒng)或文件的長度和內(nèi)容進行比較，即可發(fā)現(xiàn)病毒。長度比較法和內(nèi)容比較法就是從長度和內(nèi)容兩方面進行比較而得名。10.1.4校驗檢測技術(shù)2.內(nèi)存比較法這是一種對內(nèi)存駐留病毒進行檢測的方法。由于病毒駐留于內(nèi)存，必須在內(nèi)存中申請一定的空間，并對該空間進行占用、保護。因此，通過對內(nèi)存的檢測，觀察其空間變化，與正常系統(tǒng)內(nèi)存的占用和空間進行比較，可以判定是否，有病毒駐留其間。10.1.4校驗檢測技術(shù)3.中斷比較法病毒為實現(xiàn)其隱蔽和傳染破壞之目的，常采用“截留盜用”技術(shù)，更改、接管中斷向量，讓系統(tǒng)中斷向量轉(zhuǎn)向執(zhí)行病毒控制部分。因此，將正常系統(tǒng)的中斷向量與有毒系統(tǒng)的中斷向量進行比較，可以發(fā)現(xiàn)是否有病毒修改和盜用中斷向量。10.1.4校驗檢測技術(shù)4.文件校驗和對文件內(nèi)容（可含文件的屬性）的全部字節(jié)進行某種函數(shù)運算，這種運算所產(chǎn)生的適當字節(jié)長度的結(jié)果就叫做校驗和。這種校驗和在很大程度上代表了原文件的特征，一般文件的任何變化都可以反映在校驗和中。10.1.5啟發(fā)式掃描1.人工智能一個運用啟發(fā)式掃描技術(shù)的病毒檢測軟件，實際上就是以特定方式實現(xiàn)的動態(tài)調(diào)試器或反編譯器，通過對有關(guān)指令序列的反編譯逐步理解和確定其蘊藏的真正動機。10.1.5啟發(fā)式掃描2.掃描信號標志對于某個文件來說，被設(shè)置的標志越多，染毒的可能性就愈大。常規(guī)干凈程序極少會設(shè)置一個標志，但如果要作為可疑病毒報警的話，則至少要設(shè)置兩個以上標志。10.1.5啟發(fā)式掃描3.虛報正如任何其他的通用檢測技術(shù)一樣，啟發(fā)式掃描技術(shù)有時也會把一個本無病毒的程序指證為染毒程序，這就是所謂的查毒程序虛報謊報現(xiàn)象。虛報的原因很簡單——被檢測程序中含有屬于病毒所使用或含有的可疑功能。10.1.6虛擬機技術(shù)虛擬機技術(shù)，該技術(shù)也稱為軟件模擬法，它是一種軟件分析器，用軟件方法來模擬和分析程序的運行，而且程序的運行不會對系統(tǒng)起實際的作用（僅是模擬），因而不會對系統(tǒng)造成危害。其實質(zhì)都是讓病毒在虛擬的環(huán)境下執(zhí)行。10.2病毒的清除10.2.4病毒的去激活

10.2.3宏病毒的清除10.2.2文件型病毒的清除10.2.1引導型病毒的清除

10.2病毒的清除將染毒文件的病毒代碼摘除，使之恢復(fù)為可正常運行的健康文件，稱為病毒的清除，有時稱為對象恢復(fù)。清除可分為手工清除和自動清除兩種方法。10.2.1引導型病毒的清除引導型病毒感染時的攻擊部位有：（1）硬盤主引導扇區(qū)。（2）硬盤或軟盤的Boot扇區(qū)。10.2.1引導型病毒的清除1.消除引導扇區(qū)型病毒提取引導區(qū)覆蓋引導區(qū)

C>debugC>debug-L100盤號01-NDosboot.21s-NDosboot.21s-L-RCX-W100盤號01CX0000-Q

：200-W-Q10.2.1引導型病毒的清除2.消除硬盤主引導扇區(qū)型病毒（1）用無毒軟盤啟動系統(tǒng)。（2）尋找一臺同類型、硬盤分區(qū)相同的無毒機器，將其硬盤主引導扇區(qū)寫入一張軟盤中。（3）將此軟盤插入染毒機器，將其中采集的主引導扇區(qū)數(shù)據(jù)寫入染毒硬盤，即可修復(fù)。10.2.2文件型病毒的清除文件型病毒也稱為外殼型病毒。文件型病毒一般攻擊*.EXE或*.COM可執(zhí)行文件。清除文件型病毒一般需要做：①恢復(fù)原文件的數(shù)據(jù)；②刪除病毒的有關(guān)數(shù)據(jù)及程序段。10.2.3宏病毒的清除（1）打開宏菜單，在通用模板中刪除認為是病毒的宏。（2）打開帶有病毒宏的文檔（模板），然后打開宏菜單，在通用模板和病毒文件名模板中刪除認為是病毒的宏。（3）保存清潔文檔。10.2.4病毒的去激活清除內(nèi)存中的病毒，是指使RAM中的病毒進入非激活狀態(tài)，跟文件恢復(fù)一樣，需要OS和匯編語言知識。清除內(nèi)存中的病毒，需要檢測病毒的執(zhí)行過程，然后改變其執(zhí)行方式，使病毒失去傳染能力。10.3病毒防御技術(shù)10.3.4防火墻和防毒軟件

10.3.3數(shù)字免疫

10.3.2病毒的預(yù)防措施及方法10.3.1病毒入侵途徑分析

10.3.1病毒入侵途徑分析（1）系統(tǒng)啟動盤要專用，而且要加上寫保護，以防病毒侵入。（2）不要亂用其它來歷不明的程序或軟件，也不要使用非法復(fù)制或解密的軟件。（3）對于外來的機器或軟件要進行病毒的檢測，在確認無毒的情況下方可使用。（4）對于帶有硬盤的機器最好專機專用或?qū)Ｈ藢C，以防病毒侵入硬盤。（5）對于重要的系統(tǒng)盤，數(shù)據(jù)盤以及硬盤上的重要信息要經(jīng)常備份，以使系統(tǒng)或數(shù)據(jù)遭到破壞后能及時得到恢復(fù)。（6）網(wǎng)絡(luò)上的計算機用戶要遵守網(wǎng)絡(luò)軟件的使用規(guī)定，不能在網(wǎng)絡(luò)上隨意使用外來的軟件。10.3.2病毒的預(yù)防措施及方法通過采取技術(shù)上和管理上的措施，計算機病毒是完全可以防范的。最重要的是思想上要重視計算機病毒可能會給計算機安全運行帶來的危害。同樣是對于計算機病毒，有病毒防護意識的人和沒有病毒防護意識的人會采取完全不同的態(tài)度。10.3.3數(shù)字免疫數(shù)字免疫系統(tǒng)（DigitalImmuneSystem）是IBM公司和賽門鐵克（Symantec）公司提出的新概念。數(shù)字免疫系統(tǒng)主要是為企業(yè)級的信息系統(tǒng)服務(wù)的，它所“預(yù)防治療”的病癥很廣泛，既包括計算機病毒，也包括影響企業(yè)信息系統(tǒng)正常運行的諸多因素，如磁盤碎片引起的運行處理速度緩慢，經(jīng)常性的系統(tǒng)死機多，并且提供修復(fù)更新系統(tǒng)的工具。10.3.3數(shù)字免疫1.管理職能2.智能化的反病毒工具3.整理磁盤碎片4.事故防范與災(zāi)難恢復(fù)5.遠程支持10.3.4防火墻和防毒軟件1.防火墻所謂防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障。10.3.4防火墻和防毒軟件防火墻的功能主要表現(xiàn)在以下幾個方面：（1）防火墻是網(wǎng)絡(luò)安全的屏障（2）防火墻可以強化網(wǎng)絡(luò)安全策略（3）對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計（4）防止內(nèi)部信息的外泄10.3.4防火墻和防毒軟件2.防毒軟件殺毒軟件是用于消除電腦病毒、特洛伊木馬和惡意軟件、保護電腦安全的一類軟件的總稱。防毒軟件國內(nèi)也稱殺毒軟件防毒軟件通常集成監(jiān)控識別、病毒掃描和清除和自動升級等功能，有的防毒軟件還帶有數(shù)據(jù)恢復(fù)等功能。10.3.4防火墻和防毒軟件一些國內(nèi)外比較知名的防毒軟件（1）BitDefender（2）Kaspersky（3）F-SecureAnti-Virus（4）PC-cillin（5）ESETNod32（6）McAfeeVirusScan（7）NortonAntiVirus（8）瑞星（9）金山毒霸（10）江民（11）趨勢（12）微點主動防御軟件10.3.4防火墻和防毒軟件3.防毒軟件和防火墻比較（1）防火墻是用來阻擋端口攻擊，簡單的說，就是管理系統(tǒng)端口的。（2）防毒軟件，主要是用來防止網(wǎng)絡(luò)上的病毒、惡意代碼、惡意腳本病毒等來感染操作系統(tǒng)。（3）防火墻是起網(wǎng)絡(luò)隔離作用的；防毒軟件是起防毒殺毒作用的10.4病毒樣本的獲取方法10.4.4PE病毒樣本的提取

10.4.3宏病毒樣本的提取

10.4.2腳本病毒樣本的提取10.4.1企業(yè)獲取方法和個人獲取方法的異同

10.4.1企業(yè)獲取方法和個人獲取方法的異同1.企業(yè)的樣本獲取方法（1）通過自己在各個網(wǎng)段設(shè)置的節(jié)點截取樣本（2）通過公司的專用郵件系統(tǒng)獲?。?）通過病毒感染者提供（4）病毒編寫者自己提供10.4.1企業(yè)獲取方法和個人獲取方法的異同2.個人獲取病毒樣本對于個人用戶來說，當然沒有反病毒公司截獲病毒的那種條件。不過，要找一些病毒樣本來分析也不是一件難事情?？梢栽O(shè)置蜜罐。10.4.2腳本病毒樣本的提取腳本病毒是用腳本語言編寫而成，該語言功能非常強大，它們利用Windows系統(tǒng)的開放性特點，通過調(diào)用一些現(xiàn)成的Windows對象、組件，可以直接對文件系統(tǒng)、注冊表等進行控制，功能非常強大。10.4.2腳本病毒樣本的提取1.一次性加/解密的病毒樣本2.解密一處執(zhí)行一處的病毒樣本10