计算机病毒原理与防范--计算机病毒检测技术.ppt

计算机病毒原理与防范
任课教师:乔奎贤
第5章计算机病毒检测技术
反病毒技术的发展历程
计算机病毒检测技术原理
病毒主要检测技术和特点
反病毒技术的发展历程
第一代反病毒技术:采取单纯的计算机病毒特征判断
可以准确地清除计算机病毒,可靠性很高
随着病毒技术的发展,特别是加密和变形技术的应用,这种简单的静态扫描方式逐渐失去了作用
第二代反病毒技术:采用静态广谱特征扫描方法检测病毒
可更多地检测出变形病毒,但是误报率也有所提高
容易造成文件和数据的破坏
反病毒技术的发展历程
第三代反病毒技术:静态扫描技术和动态仿真技术相结合
查找病毒和清除病毒合二为一,形成一个整体解决方案
能全面实现预防、检测和清除等反病毒所必备的各种手段
以驻留内存方式防止病毒的入侵,凡是检测到的计算机病毒都能清除,不会破坏文件和数据
第四代反计算机病毒技术:
基于计算机病毒家族体系的命名规则、基于多位CRC校验和扫描机理、启发式智能代码分析模块、动态数据还原模块、内存解毒模块和自身免疫模块等先进的解毒技术
计算机病毒检测技术原理
计算机病毒检测技术:通过一定的技术手段判定出病毒的技术
计算机病毒检测技术种类:
根据病毒在特征分类基础上的检测技术
根据病毒程序中的关键字、特征程序段内容、病毒特征及感染方式、危机程度的变化
对文件或数据段的检验和进行检测
不针对具体病毒程序自身检验技术,即对某个文件或数据段进行检验和计算并保存其结果,以后定期或不定期地根据保存的结果对该文件或数据段进行检验,若出现差异,即表示该文件或数据段的完整性已遭到破坏,从而检测到病毒的存在
病毒检测技术的基本原理
反病毒程序计算各个可执行程序的校验和
某些反病毒程序是常驻内存程序
反病毒程序常驻内存中,搜索可能进入系统的计算机病毒,其目的是阻止任何病毒感染系统。
少数工具可以从感染病毒的程序中清除病毒
少数工具反病毒工具虽可将染毒程序修复好,但有些修复效果不能保证。某些反病毒工具还可能产生虚假报警。
反病毒技术的主要分类:
病毒诊断技术、病毒治疗技术、病毒预防技术
病毒主要检测技术和特点
外观检测法
系统数据对比法
病毒签名检测法
特征代码法
检查常规内存数
校验和法
行为监测法(实时监控法)
软件模拟法
启发式代码扫描技术
主动内核技术
病毒分析法
病毒感染法
外观检测法
虽不能准确判断系统感染了何种病毒,但可通过异常现象来判断病毒的存在
外观检测法是计算机病毒防治阶段起重要作用的一个环节





、软驱等外部设备异常