当前位置:文档之家 › 计算机病毒检测技术

计算机病毒检测技术

  • 格式:ppt
  • 大小:265.00 KB
  • 文档页数:35

下载文档原格式

  / 35

合集下载

检测计算机病毒防范技术

检测计算机病毒防范技术

检测计算机病毒防范技术1、检测病毒技术计算机病毒的检测技术是指通过一定的技术手段判定出特定计算机病毒的一种技术。

它有两种:一种是根据计算机病毒的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化,在特征分类的基础上建立的病毒检测技术。

另一种是不针对具体病毒程序的自身校验技术。

即对某个文件或数据段进行检验和计算并保存其结果,以后定期或不定期地以保存的结果对该文件或数据段进行检验,若出现差异,即表示该文件或数据段完整性已遭到破坏,感染上了病毒,从而检测到病毒的存在。

2、清除病毒技术计算机病毒的清除技术是计算机病毒检测技术发展的必然结果,是计算机病毒传染程序的一种逆过程。

目前,清除病毒大都是在某种病毒出现后,通过对其进行分析研究而研制出来的具有相应解毒功能的软件。

这类软件技术发展往往是被动的,带有滞后性。

而且由于计算机软件所要求的精确性,解毒软件有其局限性,对有些变种病毒的清除无能为力。

目前市场上流行的Intel公司的PC_CILLIN、CentralPoint公司的CPA V,及我国的LANClear和Kill89等产品均采用上述三种防病毒技术。

3、计算机病毒的预防技术计算机病毒的预防技术就是通过一定的技术手段防止计算机病毒对系统的传染和破坏。

实际上这是一种动态判定技术,即一种行为规则判定技术。

也就是说,计算机病毒的预防是采用对病毒的规则进行分类处理,而后在程序运作中凡有类似的规则出现则认定是计算机病毒。

具体来说,计算机病毒的预防是通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作,尤其是写操作。

预防病毒技术包括:磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等。

例如,大家所熟悉的防病毒卡,其主要功能是对磁盘提供写保护,监视在计算机和驱动器之间产生的信号。

以及可能造成危害的写命令,并且判断磁盘当前所处的状态:哪一个磁盘将要进行写操作,是否正在进行写操作,磁盘是否处于写保护等,来确定病毒是否将要发作。

计算机病毒智能检测技术研究

计算机病毒智能检测技术研究
及 人 们 对计 算机 的依 赖 程 度 的加 深 ,计 算 机 病 毒 的危 害 程 度 也 呈 现 几何 倍数增 长。 19 9 9年 的 “ ls ”2 0 Mei a 、 0 0年 的 “ l e y u ” s Io o v 、 长 度 的变 化 , 而 获 取 文件 长度 的 非 法增 长 信 息 , 此 来 判 定病 毒 程 从 以 序 的存 在 。 通 过 长 度 增 加 的多 少 , 病 毒 库 文 件 大 小 进 行 对 比 , 可 与 就 20 0 3年 的 “ 击 波 Ba tr, 冲 lse” 以及 我 国 2 0 0 6年 著 名 的 “ 猫 烧 香 病 以 判断 病 毒 的种 类 和 类 型 。 有 时 文件 的 长度 是合 法 的 , 且 源 程 序 熊 但 而 毒 ”其 造 成 的经 济 损 失都 是上 亿 美 元。 伴 随 着 病 毒 攻 击和 破 坏 行 为 在 不 知 情 情 况 下 的修 改 也 可 能 造 成 长 度 的变 化 ,或 是 在 不 同版 本 的 , 的 日益 普 遍 化 和 多 样 化 , 息 系 统 安 全 受 到 了严 重 的 挑 战 , 此 , 信 因 剖 操 作 系统 性 也 会 引起 文 件 长 度 的变 化 , 此 , 度 检 测 法 不 能 识 别 保 因 长 析 计 算机 病 毒 的基 本原 理 并研 究相 应 的 防治 技术 ,保 障计 算机 系统 持 宿主 程 序 长 度 不 变 的病 毒 。 的安 全和 可 靠性 是 很 有 必 要 的 。 32 病 毒 签 名 检 测 法 。 些病 毒 感 染 宿 主 程序 时 , 在 宿 主 程 序 . 有 会 2 计算机病 毒的分类和特点 中 的 不 同位 置放 入 特 殊 感 染标 记 。 因 此 , 通过 病 毒样 本 剖 析 , 以 了 可 按 照我国 1 9 9 4年 2月 1 8日颁布实施 的《 中华人 民共和 国计 算 解 部 分病 毒 签 名 的 内 容和 位 置 ,然 后 通 过 对 可 疑 程 序 的特 定 位 置搜 机 信 息 系 统 安 全 保 护 条例 》 第 二 十 八 条 的定 义 ,计 算机 病 毒是 指 编 索病 毒 签名 的 方 式 , 获 取 病 毒 感 染 信 息 。 通 过 与病 毒 签 名 库 的 对 “ 来 并 制 或者 在计 算 机 程 序 中 插 入 的 破 坏 计 算 机 功 能 或 者 毁 坏 数据 ,影 响 比 , 取 相 应 的病 毒 种 类 和 类 型 。 该 法 的 局 限 性在 于 : 先 必须 通 过 获 首 计 算机 使 用 , 能 自我 复 制 的一 组 计 算 机 指 令 或 者 程 序 代 码 ” 并 。 剖 析 病 毒 , 握 各 种 病 毒 的 签 名 , 先知 道 病 毒 签 名 的 内 容 和 位 置 把 预 21 计 算机 病 毒 的功 能 结 构 计 算 机 病 毒 主要 由 感 染 机 制 、 . 载荷 其 次 , 由于 正 常 程 序 在 特 定 位 置 具 有 和 病 毒 签 名 完 全 相 同的 代 码 , 可

计算机病毒检测技术

计算机病毒检测技术

计算机病毒检测技术:计算机病毒检测第一:智能广谱扫描技术。

这一技术是为了躲避杀毒软件的查杀,通过对非连续性和转变性较大的病毒的所有字节进行分析,并且进行整合的一种高变种的病毒,被称为智能广谱扫描技术,这一技术是按照目前病毒的类型和形式的千变万化的情况研发而出的。

由于传统的病毒在目前一些杀毒软件中都有一定的资料,检测技术也就相对比较简单,那么为了使用杀毒软件找出病毒,必须要对进行改革,智能广谱扫描技术能够对病毒的每一个字节进行分析,在发现程序代码中的字节出现相同或者是相近的两个病毒编码就可以确定其为病毒。

这一技术的优点有准确性高,查找病毒速度快等优点,但是需要收集较多的信息,针对于新的病毒并没有杀毒功能,主要是针对已经存在的病毒进行杀毒。

计算机病毒检测第二:虚拟机技术。

虚拟机技术也就是用软件先虚拟一套运转环境,让病毒在虚拟的环境中进行,以此来分析病毒的执行行为,并且由于加密的病毒在执行的时候需要解密,那么就可以在解密之后通过特征码来查杀病毒,在虚拟的环境中病毒的运转情况都被监控那么在实际的环境中就可以有效的检测出计算机病毒。

虚拟机技术主要针对的是一些新生代的木马、蠕虫病毒等,这一技术具有提前预知性,识别速度较快等优点。

计算机病毒检测第三:特征码过滤技术。

在病毒样本中选择特征码,特征码在一般情况下选得较长,甚至可以达到数十字节,通过特征码对各个文件进行扫描,在发现这一特征码的时候就说明该文件感染了病毒。

一般在选择特征码的时候可以根据病毒程序的长度将文件分成几份,这能够有效的避开采用单一特征码误报病毒现象的发生,此外在选择特征码的时候要避开选出的信息是通用信息,应该具有一定的特征,还要避开选取出来的信息都是零字节的最后需要将选取出来的几段特征码,以及特征码的偏移量存入病毒库,再表示出病毒的名称也就可以。

特征码过滤技术具有检测准确快速,误报警率低,可识别病毒名称等优点,但是它也存在着一些缺点,例如:速度慢,不能够对付隐蔽性的病毒等,主要是针对已知病毒进行分析和记忆贮存。

计算机病毒原理与防范-计算机病毒检测技术

计算机病毒原理与防范-计算机病毒检测技术
• 检查系统内存高端的内容,来判断其中的 代码是否可疑
校验和法
• 特点 • 方法 • 优缺点
行为监测法(实时监控法)
• 监测病毒的行为特征 • 病毒防火墙 • 优缺点
软件模拟法
• 变形病毒类型
– 第一类变形计算机病毒的特性:具备普通计算机病毒所具有的基本特性 – 第二类变形计算机病毒的特性:除了具备一维变形计算机病毒的特性外,
病毒分析法
• (1)确认被观察的磁盘引导区和程序中是 否含有计算机病毒。
• (2)确认计算机病毒的类型和种类,判定 其是否是一种新计算机病毒。
• (3)搞清楚计算机病毒体的大致结构,提 取特征识别用的字符串或特征字,用于增 添到计算机病毒代码库以供计算机病毒扫 描和识别程序用。
• (4)详细分析计算机病毒代码,为制定相 应的反计算机病毒措施制定方案。
感染实验法
• 检测未知引导型计算机病毒的感染实验法 • 检测未知文件型计算机病毒的感染实验法
算法扫描法
• 针对多形态的计算机病毒的算法部分进行 扫描
语义分析法
• 恶意代码的语义分析 • 语义反洗方法
虚拟机分析法
• 虚拟机的类型 • 虚拟执行 • 反计算机病毒的虚拟机运行流程 • 反虚拟机技拟技术又称为解密引擎、虚拟机技术、虚拟执行技术或软件仿真
技术 – 新型病毒检测工具
启发式代码扫描技术
• 启发式扫描通常应设立的标志 • 误报/漏报 • 如何处理虚警谎报 • 传统扫描技术与启发式代码分析扫描技术
的结合运用 • 其他扫描技术 • 启发式反毒技术的未来展望
4.4 计算机网络病毒的检测
• 计算机病毒入侵检测 • 智能引导技术 • 嵌入式杀毒技术 • 未知病毒查杀技术
4.5 计算机病毒检测的作用

计算机病毒入侵检测技术研究

计算机病毒入侵检测技术研究

计算机病毒入侵检测技术研究一、现实背景随着计算机的广泛应用,计算机病毒的威胁也日益严重,病毒的入侵给用户造成了很大的损失,如丢失重要数据、系统崩溃等。

在这种情况下,计算机病毒入侵检测技术的研究和应用对计算机系统的安全性至关重要。

二、计算机病毒概述计算机病毒是指程序或代码,通过复制自己,并将其插入到本地计算机或网络机器中,并可以在系统上全盘运行的程序,其主要功能是破坏计算机系统,盗取用户隐私信息等。

计算机病毒的种类繁多,包括蠕虫、木马、恶意软件等。

三、计算机病毒入侵检测技术分类1. 基于特征的检测技术基于特征的检测技术是一种比较常见的病毒检测技术,它是检查计算机系统的文件和程序是否存在病毒特征的一种方法。

这种方法将计算机病毒的特征与已知的病毒库进行比较,如果匹配,则可以确定计算机中存在病毒。

这种技术的优点是检测的准确度比较高,但是不足之处就是检测速度可能较慢,同时也存在着漏报和误报的可能性。

2. 基于行为的检测技术基于行为的检测技术是一种通过检查计算机系统被感染时的行为来检测计算机病毒的方法。

这种技术通常通过监视计算机系统的系统调用、记录网络传输和文件访问等行为来检测病毒威胁。

这种方法的优点是可以检测到未知的病毒,但是它也存在着误报和漏报的问题,同时还需要不断地更新病毒数据库才能达到更高的检测准确度。

3. 基于特征和行为的综合检测技术基于特征和行为的综合检测技术是基于前两种技术的优点发展而来的一种方法,综合了这两种技术的优点。

通过比较计算机病毒的特征和行为,可以更准确地检测和识别病毒软件。

这种方法的优点是能够准确地检测到各种类型的病毒,但是它对计算机系统的资源消耗比较大。

四、计算机病毒入侵检测技术应用计算机病毒入侵检测技术已经广泛应用于各种计算机系统中。

例如,计算机病毒检测技术在企业内网中被广泛利用,许多公司采取基于特征的检测技术来保护自己的网络环境。

在互联网上,众多的防病毒软件也都采用了这种技术,以保护用户计算机不受病毒的侵害。

常见信息安全事件处理技术

常见信息安全事件处理技术

常见信息安全事件处理技术信息安全事件是指在信息系统的建设、使用和管理过程中出现的,违反信息安全规定导致的安全事件。

信息安全事件不仅有可能影响个人隐私,还可能普及整个组织和社会。

因此,及时正确地处理信息安全事件对于保护个人信息、维护安全和稳定非常重要。

以下是常见的信息安全事件处理技术:1.计算机病毒事件处理计算机病毒是指通过在计算机系统内部不断复制,破坏、篡改或转移数据的程序。

因此,计算机病毒已成为影响计算机网络安全的主要因素之一。

在计算机病毒事件处理中,主要采用以下技术:1.1 预防措施在计算机病毒预防措施方面,主要有以下技术:•安装安全软件:安装杀毒软件、防火墙等安全软件,及时升级软件,从而确保计算机系统的安全。

•安全设置:对计算机系统进行安全设置,关闭危险的系统服务和常用端口,也可以防止入侵者通过某些漏洞入侵系统。

•频繁备份:对重要数据进行备份,以备不时之需。

对于必须保密的数据,还应定期进行加密。

1.2 病毒检测和处理在计算机病毒检测和处理方面,主要有以下技术:•扫描病毒:使用杀毒软件对计算机系统进行扫描,检测是否存在病毒。

•隔离病毒:发现病毒后,及时将其隔离,防止病毒传播。

•清除病毒:使用杀毒软件清除病毒,应注意检测软件是否最新并完整。

•修复系统:病毒可能对计算机系统目录、注册表、启动文件等造成损坏,应及时恢复。

2.网络攻击事件处理网络攻击是指黑客通过网络对目标进行攻击或窃取、损坏、篡改或阻断网络流量的行为。

切记任何未明确授权的计算机行为都是不被允许的。

在网络攻击事件处理中,应采用以下技术:2.1 预防措施在预防网络攻击方面,我们主要有以下技术:•使用安全密码:使用强大的密码可以防止类似密码猜测等突发状况。

•应用更新补丁:及时进行应用更新,补充最新的应用程序漏洞,以防止未来的攻击。

•网络加密:使用安全协议对敏感内容进行加密和保护,防止未经授权的访问。

2.2 网络攻击检测和处理在网络攻击检测和处理中,我们主要有以下技术:•网络防火墙:设置网络防火墙,可以阻止黑客攻击、恶意流及其他恶意活动。

杀毒技术原理

杀毒技术原理
杀毒技术,指的是通过软件或硬件手段,对计算机病毒进行检测、识别、隔离、清除等操作的技术。

其原理主要包括四个方面:特征识别、行为监测、沙箱分析和反病毒引擎。

1. 特征识别
特征识别是杀毒技术中最基本的一种方法。

它通过对病毒代码的分析,找出病毒在被感染的系统中所具备的特征,如文件名、文件大小、文件类型、文件头等等。

这些特征被称作病毒的“签名”,杀毒软件通过对系统中的文件进行扫描,查找是否存在这些特征,以此判断该文件是否为病毒。

2. 行为监测
行为监测是一种较为智能的杀毒方法。

它通过对计算机系统中的程序、进程等行为进行监测,分析其行为模式,以此判断是否存在病毒。

例如,当一个程序在系统中执行时,如果它的行为模式与已知病毒的行为模式相似,那么该程序就有可能是病毒。

3. 沙箱分析
沙箱分析是一种比较高级的杀毒技术。

它通过创建一个虚拟的计算机环境,将疑似病毒的程序运行在其中,监测其行为和影响。

在沙箱环境中,病毒无法对真实系统造成威胁,同时分析人员能够观察到病毒的全部行为,以此确定其真实的特征和行为模式。

4. 反病毒引擎
反病毒引擎是杀毒软件中的核心部分,也是杀毒技术的重要组成部分。

它能够对病毒进行扫描、识别、隔离、清除等操作。

反病毒引擎通常包括多种检测技术,如特征识别、行为监测、沙箱分析等,同时也会不断更新病毒库,保证杀毒软件能够及时应对新出现的病毒。

综上所述,杀毒技术的原理是基于对病毒的特征、行为进行监测和分析,利用反病毒引擎等技术对病毒进行识别、隔离、清除等操作,从而保护计算机系统的安全和稳定。

浅析计算机病毒的检测技术


总之, 由于计 算机病毒的变种更新速度加快 , 表现形式也更加复 济、 文化、 军事和社会生活越来越 多的依赖计算机网络。 然而 , 计算机 杂 ,那 么计算机病毒检 测技术在计算机网络 安全运行防护中所起的 在给人们带来巨大便利的同时 , 也带来了不可忽视的问题 , 计算机病 作用就显得至关重要 , 因此受到了广泛 的重视。 相信随着计 算机病毒 毒 给网络系统的安全运行带来 了极 大的挑 战。2 0 0 3年 1月 2 5日, 检测技术 的不断改进和提高 ,将会有更加安全可靠的计算机病毒检 突 如其来 的“ 蠕虫王 ” 病毒 , 互联网世界制造 了类似于 “ .1 的恐 在 91 ” 测技 术 问世 , 好 维 护 网 络 安全 , 福于 全 世 界 。 更 造 怖袭击事件 , 很多国家的互联 网也受到了严重影响。同样 , 前两年的 5计算机病毒检测 方法技术的作用 “ 熊猫烧香” 病毒再次为计 算机 网络安全敲起了警钟。 那么 , 面对网络 计算机病毒检测技术在计算机 网络安全防护中起着至关重要的 世界的威胁 , 人类总在试 图寻找各种 方面来进行克服和攻 关。 入侵检 作用 , 主要有 : ①堵塞计算机病毒 的传 播途径 , 防计 算机病毒 的侵 严 测技术作 为解决计算机病毒危害的方法之一,对其进行研 究就成 为 害; ②计 算机病毒的可以对计算机数据和 文件安全构成威胁 , 么计 那 可能。 算机病毒检测技术可 以保护计 算机数据和文件安全;③可 以在 一定 2 计算机病毒的发展趋势 计 算机病毒的花样不断翻新 , 编程手段越来越高 , 防不胜 防。特 程度上打 击病毒制造者的猖獗违法行为 ;④ 最新病毒检测方法技术 别是 Itre 的广泛应用, nen t 促进了病毒 的空前活跃 , 网络蠕虫病毒传 的问世为以后更好应对多变的计算机病毒奠定了方法技术基础。 虽然 , 计算机病毒检测技术的作 用很大 , 但并不能完全防止计算 播更快更广 , n o 病毒更加复杂 ,带有黑客性质 的病毒和特洛 Wid ws 我们必须提高警惕 , 充分发挥主观能动性。 因此 , 加强 依木马等有害代码大量涌现。 中华人民共和 国工业和信息化部信 机病毒 的攻击 , 据《 I T行业从业人 员的职业道德教育、 快完善计算机病毒防止方面的 加 息安全协调司》 计算机病毒检测周报 (0 932 —2 0 .. 公布 的 2 0 ..9 0 944) 加强国际交流与合作 同样显得刻不容缓。 也许只有这样计 消 息称 :代 理 木 马” 变种 、木 马 下载 者 ” 变 种 、灰 鸽 子 ” 变种 、 法律 法规 、 “ 及 “ 及 “ 及 算机计算机病毒检测技术才能更好发挥作用,我们才能更好防止 日 “ U盘杀手 ” 变种、 及 网游大盗“ 变种等病毒及 变种对计算机安全 网 及 益变化和复杂 的计算机病毒 的攻击。 络的安全运行构成 了威胁。对计 算机病毒及变种的了解可 以使我们 6 结语 站在一定的高度上对变种病毒 有一个较清楚的认识 ,以便今后针对 随着计算机 网络技术 的不断发展 , 算机 给人 类经 济、 计 文化 、 军 其采取强而有效 的措施进行诊治 。变种病毒可以说是病毒发展的趋 事和社会活动带来更 多便利的同时 , 也带来了相 当巨大的安全挑战。 向,也就是说 :病毒主要朝着 能对抗反病 毒手段和有 目的的方向发 现代信息网络面 临着各种各样的安全威胁 , 有来 自网络外面的攻击 , 展。 比如网络黑客、 计算机病毒及变种等。 因此合理有效的计算机病毒检 3 计算 机 病 毒 检 测 的基 本 技 术 测技术是防治计算机病毒最有效, 最经济省 力, 也是最应该值 得重视 31计算机病毒入侵检测技术。计 算机病毒检测技术作 为计算 . 的问题。研 究计算机病毒检测技术有利于我们更好地防止计算机病 机病毒检测 的方法技术 之一 ,它是一种利用入侵者留下的痕迹等信 有利于 我们更好地维护计 算机 网络世界的安全 , 使得计算 息来有效地发现来 自外部或者 内部的非法入侵技术。它以探测与控 毒的攻击 , 机网络真正发挥其积极的作用 , 促进 人类经济、 文化 、 军事和社会活 制为技术本质 , 起着主动防御 的作用 , 是计算机网络安全 中较重要 的 动 的健 康 。 内 容。 参考文献 : 32 智能引擎技术。智 能引擎技术发展 了特征代码扫描法的优 . 【]- 1 新建 , e 郑康锋 , 辛阳 《 计算机病毒 原理与防治》 北 京邮 电大学出版 , 点, 同时也对其弊端进行 了改进 , 对病毒的变形变种 有着非常准确的 社 ,0 7年 8月第二版 . 20 智 能识别功能, 而且病毒扫描速度并不会 随着病毒库的增大而减慢。 【 郝文化. 2 】 《 防黑反毒 技术指南》 机械工业出版社 , 0 4年 1 , 20 月第 一版. 33嵌入式杀毒技术。嵌入式杀毒技术是对病毒 经常攻击的应 . [ 程胜利 , , 3 】 谈冉 熊文龙 等. 《 计算机病毒与其防治技术》 清华大学出版 , 用程序或者对 象提供重点保 护的技术 ,它利用操作 系统或者应 用程 社 ,0 4年 9月第一版. 20 序提供的内部接 口来实现。 它能对使用频率高 、 使用范围广的主要的 【 张仁斌 , 4 】 李钢 , 侯整风. 算机病毒 与反病毒技 术》清华大学出版社 , 《 计 . 应用软件 提供被动式的保护。 20 0 6年 6月 . 【】 建明 , 国军 , 5傅 彭 张焕国 《 计算机病毒与对抗》武汉大学 出版社 ,0 4 . 2 0 34 未知病毒查 杀技术。未知病毒查杀技术是继 虚拟执行 技术 . 后 的又 一 大技 术 突 破 , 结 合 了虚 拟 技 术 和 人 工 智 能技 术 , 它 实现 了对 年 版

计算机病毒检测技术分析与对比


HT ML脚 本 、 处 理脚 本 、 J 批 VB、S脚本 等 。
些分析对 比 , 使我们 能 够对各 种病 毒检 测技 术有 所认识 ,
4木马程序(r a)当病毒程序被激活或启动 ) To n: j
后 用 户 无 法 终 止 其 运 行 。广 义 上 说 , 所有 的 网 络 服
对 病毒 的检测技 术和发展趋 势发展 加以探讨 【 关键词】 病毒 ; 测; 检 查毒 引擎
这是我 国对于计算机病毒 的正式定义 。 但是在实际
情 况 中 ,所 有会 对 用 户 的计 算 机 安全 产 生威 胁 的 , 都 被 划入 了广 义 的病 毒 范 畴 。
2 计算机病 毒检测 技术
常见病毒检测 技术有 : 征码过滤 技术 、 能 特 智 广谱扫描技术 、 启发扫描技术 、 虚拟机技术 , 中特 其 征码过滤技术这些年来一直被使用 , 并且是 目前的
么 内容都不参加 比较) 。这就是商业公司宣称 的广 谱特征码的概念 。 虽然病毒本身可 以组合 自己的代
码 , 代 码 必 然 要 在 同 一 块 堆 栈 中运 作 , 要 在 第 但 只

个特 征码附近搜索第二个第三个 , 通过分散的特
描。 如果发现这种特征码, 这说明感染 了这种病毒 , 然后针对性地解 除病毒 。
种选取 的优 点是分成几段 获取特 征码 的方 法可 以
很 大 程 度 上 避 免 采 用 单 一特 征 码 误 报 病 毒 现 象 的
发生 , 也可 以避免特征码过于集 中造成的误报 。 2 从每 份 中 选 取通 常 为 1 或 3 字 节长 的 ) 6个 2个
特 征 串。 在 选 取 时 , 该 采 取如 下 的 原 则 : 应 首先 , 果 选 出来 的信 息 是通 用 信 息 , 如 即很 多文

计算机病毒的检测技术分析


ቤተ መጻሕፍቲ ባይዱ
职教之窗
5 9
箨执病寄筒 测援
☆ ☆ ☆ ☆ ☆ ☆ ☆ ☆ ☆ ☆ ☆ ☆ ☆ ☆ ☆ ☆ ☆ ☆ ☆ ☆ ☆ ☆ ☆ ☆ ☆ ☆ ☆ ☆ ☆ ☆ ☆
■ 徐

计算 机网络是信 息社会 的基 础 , 已经 进入 了社 目前 , 国外 一 些 研 究 机 构 已 经 研 发 出 了应 用 于 会 的各个 角落 , 济 、 经 文化 、 军事 和社 会生 活越来 越 不 同操作 系统的几种 典 型的计算 机病 毒 检测技 术 。 多地依赖计算 机 网络 。然而 , 算机 在给 人们 带来 这些计算机 病毒检测 技术 基本上 是基 于 服务 器 、 计 网 巨大便利 的同时 , 也带来 了不可忽视的 问题 , 计算机 络 以及 变种病毒 的。基于服务 器的入侵检测技术采 病毒给 网络 系 统 的安 全 运 行 带 来 了极 大 的 挑 战。 用 服务 器操作系统 的检测序列 作为主要输入源来检 20 03年 1 2 月 5日, 突如其 来 的“ 虫王 ” 毒 , 蠕 病 在互 测侵入行 为 , 而大 多数基 于计算 机变 种病 毒 的检测 联 网世 界 制 造 了 类 似 于 “ .1 的恐 怖 袭 击 事 件 , 9 1” 很 技术则 是以预 防 和消 除计 算 机病 毒 作 为终 结 目标 多 国家 的互联 网也受 到 了严重 影响 。同样 , 几年 的。早期 的计算 机病毒检测技术 主要用 来预防和消 前 的“ 猫烧 香 ” 毒 再 次 为 计 算 机 网络 安 全 敲 起 了 警 除传统 的计 算机病毒 , 而 , 了更好地 应对计算机 熊 病 然 为 钟 。那么 , 面对 网络世界 的威 胁 , 人类总 在试 图寻找 病毒 的花样 不断翻新 , 编程 手段越来越高 的形势 , 最 各种方面来进 行克服和攻关 。入侵检测技术 作为解 新 的计算 机病毒检测方法技术更 多地集中用于预防 决计算机病毒危 害 的方法之 一 , 对其 进行 研究就 成 和消除计算机变 种病 毒 , 打好计 算机病 毒 对抗 与反 为可能 。 。 对 抗 的攻 坚 战 。 计算机病毒 的花样不 断 翻新 , 程手段 越来 越 编 总之 , 由于计算机病毒 的变种更新速度加快 , 表 高, 防不 胜 防。特别是 It t ne 的广 泛应 用 , me 促进 了 现形式也更加 复杂 , 算 机病毒 检测技 术 在计算 机 计 病毒 的空前活跃 , 网络蠕虫病 毒传 播更快更 广 , n 网络安全运行 防护 中所起 的作用 就显 得至关 重要 , Wi. dw 病毒更加复杂 , 有黑 客性 质的病 毒 和特洛 伊 因此受 到了广泛的重视 。相信 随着计算 机病 毒检测 os 带 木马等有害代码 大量涌现 。据 中华人 民共 和国工 业 技 术 的 不 断 改 进 和 提 高 , 会 有 更 加 安 全 可 靠 的 计 将 和信息化部信息安 全协调司公布 的消息称 :代理 木 算机病毒检测技 术问世 , “ 更好维 护网络安全 , 造福于 马 ” 变 种 、木 马 下 载 者 ” 变 种 、灰 鸽 子 ” 变 种 、 及 “ 及 “ 及 全世界 。 “ U盘杀 手” 变种 、 及 网游 大 盗及 变种 等病毒 及变 种 三、 计算机病毒检 测方法技术的作用 对计算机 网络 的安 全运行构成 了威胁 。对计算机 病 计算机病 毒检测技术在计算机 网络安全防护中 毒及变种 的了解 可以使我们站在一定 的高度 上对变 起着至关重要 的作用 , 主要有 : ①堵塞计算 机病毒的 种病毒有一个较 清楚 的认 识 , 以便 今后 针 对其采 取 传播途径 , 严防计算 机病 毒 的侵害 。② 计算 机病 毒 强而有效 的措施进行诊 治。变种病毒可 以说是病 毒 可 以对计算机数 据和 文件安 全构 成威 胁 , 而计算 机 发展的趋 向, 也就是说 , 病毒主要朝着能对抗反病 毒 病毒检测技术 可以保 护计算机数据 和文 件安全。③ 手 段 和 有 目的 的方 向 发 展 。 可 以在 一 定 程 度 上 打 击 病 毒 制 造 者 的 猖 獗 违 法 行 计 算机病毒检测 的基本技 术 为 。④ 最 新 病 毒 检测 方 法 技 术 的 问世 为 以后 更好 地 1 .计算机病毒入侵检 测技 术 应对多变 的计算 机病毒奠定 了方法技术 基础。 计算机病毒检 测技 术作为计算机病毒检 测的方 虽然计算机病 毒检测 技 术的作 用很 大 , 但并 不 法技术之一 , 它是一种 利用 入侵者 留下的 痕迹等 信 能完全 防止计算 机病 毒的攻击 , 我们必须提高警惕 , 息来有效地 发现 来 自外 部 或 者 内部 的非 法 入侵 技 充分发挥 主观能动性 。因此 , 强 l 行业从 业人员 加 r r 术 。 它 以 探 测 与 控 制 为 技 术 本 质 , 着 主 动 防 御 的 的职业道德教育 、 起 加快 完善 计算 机病 毒 防治方 面的 作用 , 是计 算机网络安全 中较 重要 的内容 。 法律法规 、 加强 国际交流与合作 同样显得刻不容缓 。 2 .智 能 引 擎技 术 也 许 只 有 这 样 , 算 机 病 毒 检 测 技 术 才 能 更 好 发 挥 计 智能引擎技术 发展 了特征 代码 扫描 法 的优点 , 作用 , 我们才能更好 地 防止 日益 变化 和复 杂 的计 算 同时也对其弊端进 行 了改进 , 对病 毒 的变形 变种 有 机病毒 的攻击 。 着非常准确 的智 能识别 功能 , 而且 病毒 扫描 速度 并 随着计算机 网络技术 的 不断 发展 , 计算 机 给人 不会随着病毒库 的增大而减慢 。 类经济 、 文化 、 军事 和社 会 活 动带 来 更 多便 利 的同 3 .嵌 入 式 杀 毒 技 术 时, 也带来了相 当巨大 的安全 挑战 。现代 信息 网络 有 嵌人式杀毒技术是对病毒经常攻击 的应用程序或 面临着各种各样 的安 全威胁 , 来 自网络外 面 的攻 者对象提供重点保护的技术, 它利用操作系统或者应 击 , 比如网络黑客 、 算机病 毒 及变 种等 。因此 , 计 合 用程序提供的 内部接 口来实现。它能对使用频率高 、 理有效 的计算 机病毒检测技术是 防治计 算机病毒最 使用范围广的主要的应用软件提供被动式的保护。 有效 , 最经济省力 , 也是最应该值得 重视 的问题。研 4 .未 知 病 毒 查 杀 技 术 究计算机病毒检 测技术有利于我们更好 地防止计算 未知病毒查杀技术 是继虚拟执行技术后 的又一 机病毒的攻击 , 有利 于我们 更好 地维护 计算 机 网络 个 大的技 术突破 , 它结合 了虚 拟技术 和 人工 智能 技 世界的安全 , 使得计算 机 网络真 正发挥 其积 极 的作 术, 实现 了对未 知病 毒的准确查杀 。 用 , 进人类经济 、 促 文化 、 军事 和社会 活动的健康 。 二、计算机病 毒检测技术 的发展 现状 ( 作者单位 : 江苏省 东台市职业 高级 中学)
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
导扇区、FAT表、中断向量表和设备驱动程序头等
长度比较法及内容比较法 依据:计算机病毒感染系统或文件,必然引起系统或文件的 变化(长度的变化和内容的变化) 注意:只靠检测长度和内容是不充分的,只能将其作为检测 病毒的手段之一
5.3.2 系统数据对比法
内存比较法 依据:通常病毒要驻留内存,造成可用内存空间的减少 内存比较法是针对内存驻留计算机病毒进行检测的方法
计算机病毒签名检测法的特点: 必须预先知道计算机病毒签名的内容和位置
每一种计算机病毒签名的获得都要耗费大量劳力,因此用 计算机病毒签名的方法检测计算机病毒,常常是低效、不适 用的方法 可能造成虚假报警
5.3.4 特征代码法
原理:计算机病毒程序通常具有明显的特征代码
特征代码可能是病毒的感染标记,由字母和数字组成串 可能是一小段程序由若干指令组成,特征代码不一定连续
5.3.1 外观检测法
虽不能准确判断系统感染了何种病毒,但可通过异常现象 来判断病毒的存在
外观检测法是计算机病毒防治阶段起重要作用的一个环节 1.屏幕显示异常 2.声音异常 3.文件系统异常 4.程序异常 5.系统异常 6.打印机、软驱等外部设备异常
5.3.2 系统数据对比法
计算机系统的重要数据:主引导扇区、DOS分区引导扇区、软盘的引
5.2.2 检测病毒的基本方法
2.借助专用工具检测 ——指专门的计算机病毒检测工具,如Norton等
一般来说,专用工具具备自动扫描磁盘的功能,可检测磁盘 的染毒情况。
病毒检测工具只能识别已知计算机病毒,其发展总是滞后于 计算机病毒的发展,从而对相当数量的未知计算机病毒无法识 别。
5.3 病毒主要检测技术和特点
方法:通过搜索、比较计算机系统中是否含有与特征代码数 据库中特征代码匹配的特征代码,从而确定系统是否染毒, 感染了何种病毒。 特点:
依赖于对病毒精确特征的了解,必须事先对病毒样本做大量剖析 分析计算机病毒需要很多时间,有时间滞后 若病毒特殊代码段的位置或代码改动,则原检测方法失败
5.3.4 特征代码法
第四代反计算机病毒技术: 基于计算机病毒家族体系的命名规则、基于多位CRC校验和
扫描机理、启发式智能代码分析模块、动态数据还原模块、内 存解毒模块和自身免疫模块等先进的解毒技术
5.2 计算机病毒检测技术原理
计算机病毒检测技术:通过一定的技术手段判定出病毒的技术 计算机病毒检测技术种类: 根据病毒在特征分类基础上的检测技术
中断比较法 依据:计算机病毒为实现其隐藏和传染破坏的目的,常采
用“截留盗用”技术,更改、接管中断向量,使系统中断向 量转向执行计算机病毒控制部分。
方法:将正常系统的中断向量与染毒系统的中断向量进行 比较,可发现是否有计算机病毒修改或盗用中断向量
5.3.3 病毒签名检测法
计算机病毒签名:即计算机病毒感染标记 不同计算机病毒的签名内容不同,位置也不同。 并非所有计算机病毒都具备计算机病毒签名。
5.3.1 外观检测法 5.3.2 系统数据对比法 5.3.3 病毒签名检测法 5.3.4 特征代码法 5.3.5 检查常规内存数 5.3.6 校验和法 5.3.7 行为监测法(实时监控法) 5.3.8 软件模拟法 5.3.9 启发式代码扫描技术 5.3.10 主动内核技术 5.3.11 病毒分析法 5.3.12 病毒感染法
5.2.1 病毒检测技术的基本原理
反病毒程序计算各个可执行程序的校验和 某些反病毒程序是常驻内存程序
反病毒程序常驻内存中,搜索可能进入系统的计算机病毒, 其目的是阻止任何病毒感染系统。 少数工具可以从感染病毒的程序中清除病毒
少数工具反病毒工具虽可将染毒程序修复好,但有些修复效 果不能保证。某些反病毒工具还可能产生虚假报警。 反病毒技术的主要分类:
病毒诊断技术、病毒治疗技术、病毒预防技术
5.2.2 检测病毒的基本方法
1.借助简单工具检测——指DEBUG等常规软件工具 要求检测者必须具备的知识:
分析工具的性能 磁盘内部结构(如BOOT区、主引导区、FAT表和文件目录等 有关知识) 磁盘文件结构(EXE文件头部结构,重定位方法、EXE和COM 文件加载文件的不同等) 中断矢量表 内存管理(内存控制块、环境参数和文件的PSP结构等) 阅读汇编程序的能力 有关病毒的信息
选择代码串规则
不能随意选择病毒体内的一段作为特征代码串 代码串不应含有病毒的数据区 保持唯一性的前提下,代码串应尽量短 特征代码串应最具代表性,足以区别于其他病毒程序 特征代码串应能区别于其他正常的非病毒程序
实现步骤
采集已知计算机病毒样本 从计算机病毒样本中,抽取计算机病毒特征代码 将特征代码纳入计算机病毒数据库 检测文件
计算机病毒原理与防范
任课教师:乔奎贤
E-mail:cren616@
第5章 计算机病毒检测技术
5.1 反病毒技术的发展历程 5.2 计算机病毒检测技术原理 5.3 病毒主要检测技术和特点
5.1 反病毒技术的发展历程
第一代反病毒技术:采取单纯的计算机病毒特征判断 可以准确地清除计算机病毒,可靠性很高 随着病毒技术的发展,特别是加密和变形技术的应用,这 种简单的静态扫描方式逐渐失去了作用
根据病毒程序中的关键字、特征程序段内容、病毒特征及感 染方式、危机程度的变化 对文件或数据段的检验和进行检测
不针对具体病毒程序自身检验技术,即对某个文件或数据段 进行检验和计算并保存其结果,以后定期或不定期地根据保存 的结果对该文件或数据段进行检验,若出现差异,即表示该文 件或数据段的完整性已遭到破坏,从而检测到病毒的存在
第二代反病毒技术:采用静态广谱特征扫描方法检测病毒 可更多地检测出变形病毒,但是误报率也有所提高 容易造成文件和数据的破坏
ቤተ መጻሕፍቲ ባይዱ
5.1 反病毒技术的发展历程
第三代反病毒技术:静态扫描技术和动态仿真技术相结合 查找病毒和清除病毒合二为一,形成一个整体解决方案 能全面实现预防、检测和清除等反病毒所必备的各种手段 以驻留内存方式防止病毒的入侵,凡是检测到的计算机病 毒都能清除,不会破坏文件和数据