计算机病毒原理与防范--计算机病毒检测技术.ppt

计算机病毒原理与防范--计算机病毒检测技术
检测病毒的基本方法
2．借助专用工具检测
——指专门的计算机病毒检测工具，如Norton等
一般来说，专用工具具备自动扫描磁盘的功能，可检测磁盘的染毒情况。
断向量值
通过内存信息查看驻留文件的大小是否合适
检查常规内存数的方法：
查看系统内存总数，与正常情况进行比较
检查系统内存高端的内容，判断其中的代码是否可疑
校验和法
原理：针对正常程序内容计算其校验和，将其写入该程序或其他程序中保存。在程序应用中，定期或每次使用前，计算程序当前内容校验和与原校验和是否一致，从而发现病毒的存在
特点：
可发现已知病毒，也可发现未知病毒
校验和法不能识别病毒的种类，不能报出病毒具体名称
校验和法误报率很高
方法：
在计算机病毒工具中纳入校验和
在应用程序中放入校验和和自我检查功能
将校验和检查程序常驻内存
校验和法
优缺点：
校验和法的优点：
方法简单
能发现未知计算机病毒
能发现被检查程序的细微变化
校验和法的缺点：
必须预先记录程序正常状态的校验和
误报率高
不能识别计算机病毒的种类
不能对付隐蔽性计算机病毒
行为监测法（实时监控法）
原理：病毒有些行为是病毒的共同行为，且比较特殊，甚至罕见。程序运行时，监视其行为，若发现病毒行为，立即报警
检测病毒的行为特征
占用INT 13H
修改DOS系统数据区的内存总量

计算机病毒与宿主程序的邦定和切换
格式化磁盘或某些磁道等破坏行为
扫描、试探特定网络端口
发送网络广播
修改文件、文件夹属性，添加共享等
行为监测法（实时监控法）
病毒防火墙
计算机病毒防火墙：基于实时反计算机病毒技术之上提出的，其宗旨是对系统实施实时监控，对流入、流出系统的数据中可能含有的计算机病毒代码进行过滤。
对计算机病毒的过滤有良好的实时性
病毒防火墙的“双向过滤”功能保证本地系统不会外传播病毒
病毒防火墙操作更简单、更透明
优缺点
优点：可可发现已知病毒，也可较准确地预报未知多数病毒
缺点：可能误报警；不能识别病毒的名称；实现有一定难度
软件模拟法
软件模拟法：专门用来检测变形病毒，即多态性病毒
变形病毒特征：病毒传播到目标后，病毒自身代码和结构在空间上、时间上具有不同的变化。
变形病毒类型：
第一类：一维变形计算机病毒
当病毒传播到一个目标后，其自身代码与前一目标中的病毒代码几乎没有3个连续字节是相同的，但其相对空间的排列位置是不变的
个别病毒遇到检测时能进行自我加密或解密，或自我消失
有的病毒能在列目录时能消失增加的字节数，或在加载跟踪时能破坏跟踪或逃之夭夭
软件模拟法
变形病毒类型：
第二类：二维变形计算机病毒
除了具备一维变形病毒的特征外，而且变化的代码相互间的排列距离（相对空间位置）也是变化的
第三类：三维变形计算机病毒
除了具备二维变形病毒的特征外，而且能分裂后分别潜藏几处，当病毒引擎激活后能自我恢复成一个完整的计算机病毒
计算机病毒在附着体上的空间位置是变化的，即潜藏位置不定
第四类：四维变形计算机病毒
具备三维变形病毒的特征，而且这些特性随时间动态变化
四维变形病毒大部分具备网络自动传播功能，能在网络的不同角落到处隐藏
软件模拟法
检测：一般而言，多态计算机病毒的变换方式：
采用等价代码对原有代码进行替换；
改变与执行次序无关的指令的次序；
增加许多垃圾指令；
对原有病毒代码进行压缩或加密。
软件模拟技术：又称为解密引擎、虚拟机技术、虚拟执行技术或软件仿真技术
软件模拟技术是一种软件分析器，用软件方法模拟一个程序运行环境，将可疑程序载入其中运行，在执行过程中，待计算机病毒对自身进行解码后，再运用特征代码法来识别病毒的种类，并进行清除，从而实现对各类多态病毒的查杀。
启发式代码扫描技术
1. 计算机病毒扫描技术：当前最主要的查杀方式
主要通过检查文件、扇区和系统内存来搜索计算机病毒，用“标记”查找已知病毒。病毒标记就是病毒常用代码的特征
按杀毒方式分类：
通用扫描：不依赖操作系统，可查找各种病毒
专用扫描：专查某种计算机病毒
按用户操作方式分类：
实时扫描：若出现计算机病毒，能够立即发现
请求扫描：只在运行时才能检测计算机病毒
检测病毒的主要依据：病毒和正常程序之间存在很多区别
启发式代码扫描技术
2．启发式代码扫描：又称启发式职能代码分析
将人工智能的知识和原理运用到