返回
算机病毒防治技术

算机病毒防治技术

ID:3761207

大小:143.50 KB

页数:62页

时间:2017-11-23

算机病毒防治技术_第1页
算机病毒防治技术_第2页
算机病毒防治技术_第3页
算机病毒防治技术_第4页
算机病毒防治技术_第5页
资源描述:

《算机病毒防治技术》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、计算机病毒防治技术上海交通大学信息安全工程学院本章的学习目标了解计算机病毒防治的现状掌握常用病毒防治技术了解病毒防治技术的缺陷掌握典型病毒防治方法防治技术概括成四个方面:检测清除预防被动防治免疫主动防治本章内容病毒防治技术现状目前的流行技术病毒防治技术的缺陷数据备份与数据恢复驱动程序设计病毒防治技术现状防病毒产品的历史一对一的防病毒产品防病毒卡自身不被感染但不能清楚磁盘病毒90年代中期,查杀防合一90年代末期开始,推出了实时防病毒产品新时期的防病毒产品趋势反黑客技术与反病毒技术相结合从入口拦截病毒(网络入口、系统入口)全面解决方案个性化定制(后期服务)区域化到国际化

2、病毒防治技术的几个阶段第一代反病毒技术采取单纯的病毒特征诊断,但是对加密、变形的新一代病毒无能为力。第二代反病毒技术采用静态广谱特征扫描技术,可以检测变形病毒,但是误报率高,杀毒风险大。第三代反病毒技术将静态扫描技术和动态仿真跟踪技术相结合。第四代反病毒技术基于多位CRC校验和扫描机理、启发式智能代码分析模块、动态数据还原模块(能查出隐蔽性极强的压缩加密文件中的病毒)、内存解毒模块、自身免疫模块等先进解毒技术,能够较好地完成查解毒的任务。第五代反病毒技术主要体现在反蠕虫病毒、恶意代码、邮件病毒等技术。这一代反病毒技术作为一种整体解决方案出现,形成了包括漏洞扫描、病毒

3、查杀、实时监控、数据备份、个人防火墙等技术的立体病毒防治体系。目前的流行技术虚拟机技术宏指纹识别技术驱动程序技术计算机监控技术数字免疫系统网络病毒防御技术立体防毒技术……虚拟机技术接近于人工分析的过程原理用程序代码虚拟出一个CPU来,同样也虚拟CPU的各个寄存器,甚至将硬件端口也虚拟出来,用调试程序调入“病毒样本”并将每一个语句放到虚拟环境中执行,这样我们就可以通过内存和寄存器以及端口的变化来了解程序的执行,从而判断是否中毒。加密、变形等病毒主要执行过程:在查杀病毒时,在机器虚拟内存中模拟出一个“指令执行虚拟机器”;在虚拟机环境中虚拟执行(不会被实际执行)可疑带毒文

4、件;在执行过程中,从虚拟机环境内截获文件数据,如果含有可疑病毒代码,则说明发现了病毒。杀毒过程是在虚拟环境下摘除可疑代码,然后将其还原到原文件中,从而实现对各类可执行文件内病毒的杀除。宏指纹识别技术宏指纹识别技术(MacroFinger)是基于Office复合文档BIFF格式精确查杀各类宏病毒的技术。其特点是:1、能够查杀Word、Excel、PowerPoint等各类Office文档中的宏病毒;2、能够查出Word、Excel、PowerPoint加密文件中的宏病毒;3、能够清除文档中未知名的宏,因此,从理论上来说可以查杀所有的未知宏病毒;4、可以修复部分宏病毒或

5、其他不合格杀毒产品破坏过的Office文档。驱动程序技术DOS设备驱动程序VxD(虚拟设备驱动)是微软专门为Windows制定的设备驱动程序接口规范。NT核心驱动程序WDM(WindowsDriverModel)是Windows驱动程序模型的简称。作用:开发监控程序、接近系统内核的程序32位内核技术首先,32位较16位大大扩展了内存寻址空间,这是显而易见的,但就反病毒技术而言,这一问题以前并没有引起我们足够的重视。其次,16位应用程序无法实现多任务、多线程调度。系统支持问题。计算机监控技术计算机监控技术(实时监控技术):注册表监控脚本监控内存监控邮件监控文件监控等优

6、点:解决了用户对病毒的“未知性”,或者说是“不确定性”问题。实时监控是先前性的,而不是滞后性的。监控病毒源技术邮件跟踪体系例如,消息跟踪查寻协议(MTQP-MessageTrackingQueryProtocol)网络入口监控防病毒体系例如,TVCS-TrendVirusControlSystem无缝连接技术嵌入式杀毒技术无缝连接是在充分掌握系统的底层协议和接口规范的基础上,开发出与之完全兼容的产品的技术。应用实例右键快捷方式硬盘格式的支持Office套件的支持等主动内核技术在操作系统和网络的内核中加入反病毒功能,使反病毒成为系统本身的底层模块,而不是一个系统外部的

7、应用软件是主动内核技术。应用难度大开源非开源检查压缩文件技术压缩文件是病毒的重要藏身地之一。杀毒思路:第一种:压缩病毒码第二种:先解压后查毒(需要虚拟执行技术)启发式代码扫描技术启发式指的“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能。”一个运用启发式扫描技术的病毒检测软件,实际上就是以特定方式实现的动态跟踪器或反编译器,通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。例如,一段程序以如下序列开始:MOVAH,5INT13h该程序实现调用格式化盘操作的BIOS指令功能,那么这段程序就高度可疑值得引起警觉,尤其是假如这段指令之前不存在取得

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。