計算機病毒查殺方法.ppt
《計算機病毒查殺方法.ppt》由會員分享,可在線閱讀,更多相關(guān)《計算機病毒查殺方法.ppt(86頁珍藏版)》請在裝配圖網(wǎng)上搜索。
計算機病毒查殺,,本章學習目標,掌握計算機病毒診斷知識掌握殺毒引擎掃描算法了解病毒診斷實驗理解計算機病毒清除知識,,本章內(nèi)容:計算機病毒的診斷原理方法源碼分析計算機病毒的清除典型病毒的查殺,1計算機病毒的診斷,內(nèi)容:計算機病毒的診斷原理計算機病毒的診斷方法高速模式匹配自動診斷的源碼分析,計算機病毒的診斷原理,用什么來判斷?染毒后的特征常用方法:比較法校驗和掃描法行為監(jiān)測法行為感染試驗法虛擬執(zhí)行法陷阱技術(shù)先知掃描分析法等等,比較法,比較法是用原始或正常的對象與被檢測的對象進行比較。手工比較法是發(fā)現(xiàn)新病毒的必要方法。比較法又包括:注冊表比較法工具RegMon弱點:正常程序也操作注冊表文件比較法通常比較文件的長度和內(nèi)容兩個方面工具FileMon弱點:長度和內(nèi)容的變化有時是合法的病毒可以模糊這種變化,,內(nèi)存比較法主要針對駐留內(nèi)存病毒判斷駐留特征中斷比較法將正常系統(tǒng)的中斷向量與有毒系統(tǒng)的中斷向量進行比較比較法的好處:簡單比較法的缺點:無法確認病毒,依賴備份,校驗和法,首先,計算正常文件內(nèi)容的校驗和并且將該校驗和寫入某個位置保存。然后,在每次使用文件前或文件使用過程中,定期地檢查文件現(xiàn)在內(nèi)容算出的校驗和與原來保存的校驗和是否一致,從而可以發(fā)現(xiàn)文件是否感染,這種方法叫校驗和法,它既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒。,,優(yōu)點:方法簡單能發(fā)現(xiàn)未知病毒被查文件的細微變化也能發(fā)現(xiàn)缺點:必須預(yù)先記錄正常態(tài)的校驗和會誤報警不能識別病毒名稱程序執(zhí)行附加延遲不對付隱蔽性病毒。,掃描法,掃描法是用每一種病毒體含有的特定字符串(Signature)對被檢測的對象進行掃描。如果在被檢測對象內(nèi)部發(fā)現(xiàn)了某一種特定字符串,就表明發(fā)現(xiàn)了該字符串所代表的病毒。掃描器由兩部分組成:特征串(Signature)和掃描算法(Scanner),,選擇代碼串的規(guī)則是:代碼串不應(yīng)含有病毒的數(shù)據(jù)區(qū),數(shù)據(jù)區(qū)是會經(jīng)常變化的。在保持唯一性的前提下,應(yīng)盡量使特征代碼長度短些,以減少時間和空間開銷。代碼串一定要在仔細分析了程序之后才能選出最具代表性的,足以將該病毒區(qū)別于其他病毒和該病毒的其他變種的代碼串。特征串必須能將病毒與正常的非病毒程序區(qū)分開。例如:給定特征串為“E97C0010?37CB”,則“E97C00102737CB”和“E97C00109C37CB”都能被識別出來.,,其優(yōu)點包括:(1)當特征串選擇得很好時,病毒檢測軟件讓計算機用戶使用起來方便快速,對病毒了解不多的人也能用它來發(fā)現(xiàn)病毒。(2)不用專門軟件,用編輯軟件也能用特征串掃描法去檢測特定病毒。(3)可識別病毒的名稱。(4)誤報警率低。(5)依據(jù)檢測結(jié)果,可做殺毒處理。,,缺點:(1)當被掃描的文件很長時,掃描所花時間也較多。(2)不容易選出合適的特征串,有時會發(fā)出假警報。(3)新病毒的特征串未加入病毒代碼庫時,老版本的掃毒程序無法識別出新病毒。(4)懷有惡意的計算機病毒制造者得到代碼庫后,會很容易地改變病毒體內(nèi)的代碼,生成一個新的變種,使掃描程序失去檢測它的能力。(5)容易產(chǎn)生誤警報。只要正常程序內(nèi)帶有某種病毒的特征串,即使該代碼段已不可能被執(zhí)行,而只是被殺死的病毒體殘余,掃描程序仍會報警。(6)不易識別變異類病毒。(7)搜集已知病毒的特征代碼,費用開銷大。(8)在網(wǎng)絡(luò)上使用效率低。,行為監(jiān)測法,利用病毒的特有行為特性來監(jiān)測病毒的方法稱為行為監(jiān)測法。常用行為:占用INT13H修改DOS系統(tǒng)數(shù)據(jù)區(qū)的內(nèi)存總量對COM和EXE文件做寫入動作寫注冊表自動聯(lián)網(wǎng)請求優(yōu)點:發(fā)現(xiàn)未知病毒缺點:難度大、誤報警,感染實驗法,這種方法的原理是利用了病毒的最重要的基本特征:感染特性。觀察正常程序和可疑程序的表現(xiàn)是非不同。,,1.檢測未知引導(dǎo)型病毒的感染實驗法a.先用一張軟盤,做一個清潔無毒的系統(tǒng)盤,用DEBUG程序,讀該盤的BOOT扇區(qū)進入內(nèi)存,計算其校驗和,并記住此值。同時把正常的BOOT扇區(qū)保存到一個文件中。上述操作必須保證系統(tǒng)環(huán)境是清潔無毒的b.在這張實驗盤上拷貝一些無毒的系統(tǒng)應(yīng)用程序。c.啟動可疑系統(tǒng),將實驗盤插入可疑系統(tǒng),運行實驗盤上的程序,重復(fù)一定次數(shù)。d.再在干凈無毒機器上,檢查實驗盤的BOOT扇區(qū),可與原BOOT扇區(qū)內(nèi)容比較,如果實驗盤BOOT扇區(qū)內(nèi)容已改變,可以斷定可疑系統(tǒng)中有引導(dǎo)型病毒。,,2.檢測未知文件型病毒的感染實驗法a.在干凈系統(tǒng)中制作一張實驗盤,上面存放一些應(yīng)用程序,這些程序應(yīng)保證無毒,應(yīng)選擇長度不同,類型不同的文件(既有COM型又有EXE型)。記住這些文件正常狀態(tài)的長度和校驗和。b.在實驗盤上制作一個批處理文件,使盤中程序在循環(huán)中輪流被執(zhí)行數(shù)次c.將實驗盤插入可疑系統(tǒng),執(zhí)行批處理文件,多次執(zhí)行盤中程序。d.將實驗盤放人干凈系統(tǒng),檢查盤中文件的長度和校驗和,如果文件長度增加,或者校驗和變化,則可斷定系統(tǒng)中有病毒。,對于Windows中的病毒,感染實驗法檢測內(nèi)容會更多一些,例如,當使用感染實驗法檢測“廣外女生”木馬病毒時,可以采用如下步驟:①首先打開RegSnap,從file菜單選new,然后單擊OK按鈕,對當前干凈的注冊表以及系統(tǒng)文件做一個記錄。如果木馬修改了其中某項,就可以分析出來了。備份完成之后把它存為Regsnp1.rgs。②在計算機上運行感染了“廣外女生”病毒的文件,例如雙擊gdufs.exe,然后等一小會兒。如果此時發(fā)現(xiàn)正在運行著的“天網(wǎng)防火墻”或“金山毒霸”自動退出,就很可能木馬已經(jīng)駐留在系統(tǒng)中了。,③重新打開RegSnap,從file菜單選new,然后單擊OK按鈕,把這次的snap結(jié)果存為Regsnp2.rgs。④從RegSnap的file菜單選擇Compare,在Firstsnapshot中選擇打開Regsnp1.rgs,在Secondsnapshot中選擇打開Regsnp2.rgs,并在下面的單選框中選中Showmodifiedkeynamesandkeyvalues,然后單擊OK按鈕。這樣RegSnap就開始比較兩次記錄有什么區(qū)別了,當比較完成時會自動打開分析結(jié)果文件Regsnp1-Regsnp2.htm。⑤為找出木馬的駐留位置以及在注冊表中的啟動項,看Regsnp1-Regsnp2.htm,若顯示如下信息:,Summaryinfo:Deletedkeys:0Modifiedkeys:15Newkeys:1FilelistinC:\WINNT\System32\*.*Summaryinfo:Deletedfiles:0Modifiedfiles:0Newfiles:1Newfilesdiagcfg.exeSize:97792,Date/Time:2001年07月01日23:00:12…Totalpositions:1,則表明兩次記錄中,沒有刪除注冊表鍵,修改了15處注冊表,新增加了一處注冊表鍵值,在C:\WINNT\System32\目錄下面新增加了一個文件diagcfg.exe。這個文件非??梢桑驗樵诒容^兩次系統(tǒng)信息之間只運行了“廣外女生”這個木馬,所以有理由相信diagcfg.exe就是木馬留在系統(tǒng)中的后門程序。這時打開任務(wù)管理器,可以發(fā)現(xiàn)其中有一個diagcfg.exe的進程,這就是木馬的原身。但這個時候千萬不要刪除diagcfg.exe,否則系統(tǒng)就無法正常運行了。,木馬一般都會在注冊表中設(shè)置一些鍵值以便以后在系統(tǒng)每次重新啟動時能夠自動運行。從Regsnp1-Regsnp2.htm中可以看到哪些注冊表項發(fā)生了變化,此時若看到:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\@Oldvalue:String:″″%1″%*″Newvalue:String:″C:\WINNT\System32\diagcfg.exe″%1″%*″,則說明這個鍵值由原來的″%1″%*被修改成了C:\WINNT\System32\DIAGCFG.EXE″%1″%*,這就使得以后每次運行任何可執(zhí)行文件時都要先運行C:\WINNT\System32\diagcfg.exe這個程序。⑥找出木馬監(jiān)聽的端口。使用fport可以輕松的實現(xiàn)這一點。在命令行中運行fport.exe,可以看到:,C:\tool\fport>fportFPortv1.33TCP/IPProcesstoPortMapperCopyright2000byFoundstone,Inc.PidProcessPortProtoPath584tcpsvcs->7TCPC:\WINNT\System32\tcpsvcs.exe584tcpsvcs->9TCPC:\WINNT\System32\tcpsvcs.exe584tcpsvcs->13TCPC:\WINNT\System32\tcpsvcs.exe584tcpsvcs->17TCPC:\WINNT\System32\tcpsvcs.exe584tcpsvcs->19TCPC:\WINNT\System32\tcpsvcs.exe836inetinfo->80TCPC:\WINNT\System32\inetsrv\inetinfo.exe408svchost->135TCPC:\WINNT\system32\svchost.exe,836inetinfo->443TCPC:\WINNT\System32\inetsrv\inetinfo.exe8System->445TCP464msdtc->1025TCPC:\WINNT\System32\msdtc.exe684MSTask->1026TCPC:\WINNT\system32\MSTask.exe584tcpsvcs->1028TCPC:\WINNT\System32\tcpsvcs.exe836inetinfo->1029TCPC:\WINNT\System32\inetsrv\inetinfo.exe8System->1030TCP464msdtc->3372TCPC:\WINNT\System32\msdtc.exe1176DIAGCFG->6267TCPC:\WINNT\System32\DIAGCFG.EXE/*注意這行!*/,836inetinfo->7075TCPC:\WINNT\System32\inetsrv\inetinfo.exe584tcpsvcs->7UDPC:\WINNT\System32\tcpsvcs.exe584tcpsvcs->9UDPC:\WINNT\System32\tcpsvcs.exe584tcpsvcs->13UDPC:\WINNT\System32\tcpsvcs.exe584tcpsvcs->17UDPC:\WINNT\System32\tcpsvcs.exe584tcpsvcs->19UDPC:\WINNT\System32\tcpsvcs.exe584tcpsvcs->68UDPC:\WINNT\System32\tcpsvcs.exe408svchost->135UDPC:\WINNT\system32\svchost.exe8System->445UDP228services->1027UDPC:\WINNT\system32\services.exe836inetinfo->3456UDPC:\WINNT\System32\inetsrv\inetinfo.exe,虛擬執(zhí)行法,為了檢測多態(tài)性病毒,提出了虛擬執(zhí)行法。它是一種軟件分析器,用軟件方法來模擬和分析程序的運行。如果發(fā)現(xiàn)隱蔽性病毒或多態(tài)性病毒嫌疑時,啟動虛擬執(zhí)行模塊,監(jiān)視病毒的運行,待病毒自身的密碼譯碼以后,再運用特征代碼法來識別病毒的種類。,分析法,分析法的目的在于:1.確認被觀察的磁盤引導(dǎo)區(qū)和程序中是否含有2.確認病毒的類型和種類,判定其是否是一種新病毒。3.搞清楚病毒體的大致結(jié)構(gòu),提取特征識別用的字符串或特征字,用于增添到病毒代碼庫供掃描和識別程序用。4.詳細分析病毒代碼,為制定相應(yīng)的反病毒措施制定方案。,人工智能陷阱技術(shù)和宏病毒陷阱技術(shù),人工智能陷阱是一種監(jiān)測計算機行為的常駐式掃描技術(shù)。它將所有計算機病毒所產(chǎn)生的行為歸納起來,一旦發(fā)現(xiàn)內(nèi)存中的程序有任何不當?shù)男袨?,系統(tǒng)就會有所警覺,并告知使用者。這種技術(shù)的優(yōu)點是執(zhí)行速度快、操作簡便,且可以偵測到各式計算機病毒。其缺點就是程序設(shè)計難度大,且不容易考慮周全。在這千變?nèi)f化的計算機病毒世界中,人工智能陷阱掃描技術(shù)是一個具有主動保護功能的技術(shù)。宏病毒陷阱技術(shù)結(jié)合了搜索法和人工智能陷阱技術(shù),依行為模式來偵測已知及未知的宏病毒。其中,配合OLE2技術(shù),可將宏與文件分開,加快掃描速度,而且可以有效地將宏病毒徹底清除。,先知掃描法,先知掃描技術(shù)將專業(yè)人員用來判斷程序是否存在計算機病毒代碼的方法,分析歸納成專家系統(tǒng)和知識庫,再利用軟件模擬技術(shù)(SoftwareEmulation)偽執(zhí)行新的計算機病毒,超前分析出新計算機病毒代碼,對付未知的計算機病毒。,,利用原始備份和被檢測程序相比較的方法適合于不需專用軟件,可以發(fā)現(xiàn)異常情況的場合,是一種簡單的基本的病毒檢測方法;掃描特征串和識別特征字的方法適用于制作成查病毒軟件的方式供廣大PC機用戶使用,方便而又迅速,但對新出現(xiàn)的病毒會出現(xiàn)漏檢的情況,需要與分析和比較法相結(jié)合;分析病毒的方法主要是由專業(yè)人員識別病毒,研制反病毒系統(tǒng)時使用,要求較多的專業(yè)知識,是反病毒研究不可缺少的方法。,計算機病毒的診斷方法,手工檢測工具軟件(Debug、UltraEdit、EditPlus、SoftICE、TRW、Ollydbg等)優(yōu)點:Aver發(fā)現(xiàn)并分析新病毒缺點:不可能普及自動檢測自動檢測是指通過一些自動診斷軟件來判斷系統(tǒng)是否有毒的方法。優(yōu)點:易于普及缺點:滯后性,高速模式匹配,查找的速度是評價一個查毒引擎的關(guān)鍵因素之一。算法種類:單模式匹配算法:KMP\QS\BM等多模式匹配算法:DFSA\基于二叉樹的算法問題描述設(shè)待處理(動態(tài))文本為單模式匹配是從文本中查找一個模式串多模式匹配就是通過一次查找從文本中發(fā)現(xiàn)多個P1,P2,...,Pq,,,,最簡單的查找算法——BF算法,Brute-Force算法匹配過程,,,,單模式匹配——BM算法,bad-character位移,字符a在P中出現(xiàn),,,,,bad-character位移,字符a在P中不出現(xiàn),,,,,計算公式,,,good-suffix位移,只有u的前綴v在P中重現(xiàn),,,,,good-suffix位移,u的一次重現(xiàn)且其前一個字符與b不同,,,,,首先定義兩個條件:cond1(j,s):對每個k,j- 1.請仔細閱讀文檔,確保文檔完整性,對于不預(yù)覽、不比對內(nèi)容而直接下載帶來的問題本站不予受理。
- 2.下載的文檔,不會出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請點此認領(lǐng)!既往收益都歸您。
下載文檔到電腦,查找使用更方便
14.9 積分
下載 |
- 配套講稿:
如PPT文件的首頁顯示word圖標,表示該PPT已包含配套word講稿。雙擊word圖標可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計者僅對作品中獨創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- 計算機病毒 方法
鏈接地址:http://m.jqnhouse.com/p-3592200.html