計算機病毒查殺方法.ppt

《計算機病毒查殺方法.ppt》由會員分享，可在線閱讀，更多相關(guān)《計算機病毒查殺方法.ppt（86頁珍藏版）》請在裝配圖網(wǎng)上搜索。

計算機病毒查殺,,本章學習目標,掌握計算機病毒診斷知識掌握殺毒引擎掃描算法了解病毒診斷實驗理解計算機病毒清除知識,,本章內(nèi)容：計算機病毒的診斷原理方法源碼分析計算機病毒的清除典型病毒的查殺,1計算機病毒的診斷,內(nèi)容：計算機病毒的診斷原理計算機病毒的診斷方法高速模式匹配自動診斷的源碼分析,計算機病毒的診斷原理,用什么來判斷？染毒后的特征常用方法：比較法校驗和掃描法行為監(jiān)測法行為感染試驗法虛擬執(zhí)行法陷阱技術(shù)先知掃描分析法等等,比較法,比較法是用原始或正常的對象與被檢測的對象進行比較。手工比較法是發(fā)現(xiàn)新病毒的必要方法。比較法又包括：注冊表比較法工具RegMon弱點:正常程序也操作注冊表文件比較法通常比較文件的長度和內(nèi)容兩個方面工具FileMon弱點：長度和內(nèi)容的變化有時是合法的病毒可以模糊這種變化,,內(nèi)存比較法主要針對駐留內(nèi)存病毒判斷駐留特征中斷比較法將正常系統(tǒng)的中斷向量與有毒系統(tǒng)的中斷向量進行比較比較法的好處：簡單比較法的缺點：無法確認病毒，依賴備份,校驗和法,首先，計算正常文件內(nèi)容的校驗和并且將該校驗和寫入某個位置保存。然后，在每次使用文件前或文件使用過程中，定期地檢查文件現(xiàn)在內(nèi)容算出的校驗和與原來保存的校驗和是否一致，從而可以發(fā)現(xiàn)文件是否感染，這種方法叫校驗和法，它既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒。,,優(yōu)點：方法簡單能發(fā)現(xiàn)未知病毒被查文件的細微變化也能發(fā)現(xiàn)缺點：必須預先記錄正常態(tài)的校驗和會誤報警不能識別病毒名稱程序執(zhí)行附加延遲不對付隱蔽性病毒。,掃描法,掃描法是用每一種病毒體含有的特定字符串（Signature）對被檢測的對象進行掃描。如果在被檢測對象內(nèi)部發(fā)現(xiàn)了某一種特定字符串，就表明發(fā)現(xiàn)了該字符串所代表的病毒。掃描器由兩部分組成：特征串（Signature）和掃描算法（Scanner）,,選擇代碼串的規(guī)則是：代碼串不應含有病毒的數(shù)據(jù)區(qū)，數(shù)據(jù)區(qū)是會經(jīng)常變化的。在保持唯一性的前提下，應盡量使特征代碼長度短些，以減少時間和空間開銷。代碼串一定要在仔細分析了程序之后才能選出最具代表性的，足以將該病毒區(qū)別于其他病毒和該病毒的其他變種的代碼串。特征串必須能將病毒與正常的非病毒程序區(qū)分開。例如:給定特征串為“E97C0010?37CB”，則“E97C00102737CB”和“E97C00109C37CB”都能被識別出來.,,其優(yōu)點包括：（1）當特征串選擇得很好時，病毒檢測軟件讓計算機用戶使用起來方便快速，對病毒了解不多的人也能用它來發(fā)現(xiàn)病毒。（2）不用專門軟件，用編輯軟件也能用特征串掃描法去檢測特定病毒。（3）可識別病毒的名稱。（4）誤報警率低。（5）依據(jù)檢測結(jié)果，可做殺毒處理。,,缺點：（1）當被掃描的文件很長時，掃描所花時間也較多。（2）不容易選出合適的特征串，有時會發(fā)出假警報。（3）新病毒的特征串未加入病毒代碼庫時，老版本的掃毒程序無法識別出新病毒。（4）懷有惡意的計算機病毒制造者得到代碼庫后，會很容易地改變病毒體內(nèi)的代碼，生成一個新的變種，使掃描程序失去檢測它的能力。（5）容易產(chǎn)生誤警報。只要正常程序內(nèi)帶有某種病毒的特征串，即使該代碼段已不可能被執(zhí)行，而只是被殺死的病毒體殘余，掃描程序仍會報警。（6）不易識別變異類病毒。（7）搜集已知病毒的特征代碼，費用開銷大。（8）在網(wǎng)絡(luò)上使用效率低。,行為監(jiān)測法,利用病毒的特有行為特性來監(jiān)測病毒的方法稱為行為監(jiān)測法。常用行為：占用INT13H修改DOS系統(tǒng)數(shù)據(jù)區(qū)的內(nèi)存總量對COM和EXE文件做寫入動作寫注冊表自動聯(lián)網(wǎng)請求優(yōu)點：發(fā)現(xiàn)未知病毒缺點：難度大、誤報警,感染實驗法,這種方法的原理是利用了病毒的最重要的基本特征：感染特性。觀察正常程序和可疑程序的表現(xiàn)是非不同。,,1．檢測未知引導型病毒的感染實驗法a.先用一張軟盤，做一個清潔無毒的系統(tǒng)盤，用DEBUG程序，讀該盤的BOOT扇區(qū)進入內(nèi)存，計算其校驗和，并記住此值。同時把正常的BOOT扇區(qū)保存到一個文件中。上述操作必須保證系統(tǒng)環(huán)境是清潔無毒的b.在這張實驗盤上拷貝一些無毒的系統(tǒng)應用程序。c.啟動可疑系統(tǒng)，將實驗盤插入可疑系統(tǒng)，運行實驗盤上的程序，重復一定次數(shù)。d.再在干凈無毒機器上，檢查實驗盤的BOOT扇區(qū)，可與原BOOT扇區(qū)內(nèi)容比較，如果實驗盤BOOT扇區(qū)內(nèi)容已改變，可以斷定可疑系統(tǒng)中有引導型病毒。,,2．檢測未知文件型病毒的感染實驗法a.在干凈系統(tǒng)中制作一張實驗盤，上面存放一些應用程序，這些程序應保證無毒，應選擇長度不同，類型不同的文件（既有COM型又有EXE型）。記住這些文件正常狀態(tài)的長度和校驗和。b.在實驗盤上制作一個批處理文件，使盤中程序在循環(huán)中輪流被執(zhí)行數(shù)次c.將實驗盤插入可疑系統(tǒng)，執(zhí)行批處理文件，多次執(zhí)行盤中程序。d.將實驗盤放人干凈系統(tǒng)，檢查盤中文件的長度和校驗和，如果文件長度增加，或者校驗和變化，則可斷定系統(tǒng)中有病毒。,對于Windows中的病毒，感染實驗法檢測內(nèi)容會更多一些，例如，當使用感染實驗法檢測“廣外女生”木馬病毒時，可以采用如下步驟：①首先打開RegSnap，從file菜單選new，然后單擊OK按鈕，對當前干凈的注冊表以及系統(tǒng)文件做一個記錄。如果木馬修改了其中某項，就可以分析出來了。備份完成之后把它存為Regsnp1.rgs。②在計算機上運行感染了“廣外女生”病毒的文件，例如雙擊gdufs.exe，然后等一小會兒。如果此時發(fā)現(xiàn)正在運行著的“天網(wǎng)防火墻”或“金山毒霸”自動退出，就很可能木馬已經(jīng)駐留在系統(tǒng)中了。,③重新打開RegSnap，從file菜單選new,然后單擊OK按鈕，把這次的snap結(jié)果存為Regsnp2.rgs。④從RegSnap的file菜單選擇Compare，在Firstsnapshot中選擇打開Regsnp1.rgs，在Secondsnapshot中選擇打開Regsnp2.rgs，并在下面的單選框中選中Showmodifiedkeynamesandkeyvalues，然后單擊OK按鈕。這樣RegSnap就開始比較兩次記錄有什么區(qū)別了，當比較完成時會自動打開分析結(jié)果文件Regsnp1-Regsnp2.htm。⑤為找出木馬的駐留位置以及在注冊表中的啟動項，看Regsnp1-Regsnp2.htm，若顯示如下信息：,Summaryinfo:Deletedkeys:0Modifiedkeys:15Newkeys:1FilelistinC:\WINNT\System32\*.*Summaryinfo:Deletedfiles:0Modifiedfiles:0Newfiles:1Newfilesdiagcfg.exeSize:97792,Date/Time:2001年07月01日23:00:12…Totalpositions:1,則表明兩次記錄中，沒有刪除注冊表鍵，修改了15處注冊表，新增加了一處注冊表鍵值，在C:\WINNT\System32\目錄下面新增加了一個文件diagcfg.exe。這個文件非?？梢?，因為在比較兩次系統(tǒng)信息之間只運行了“廣外女生”這個木馬，所以有理由相信diagcfg.exe就是木馬留在系統(tǒng)中的后門程序。這時打開任務管理器，可以發(fā)現(xiàn)其中有一個diagcfg.exe的進程，這就是木馬的原身。但這個時候千萬不要刪除diagcfg.exe，否則系統(tǒng)就無法正常運行了。,木馬一般都會在注冊表中設(shè)置一些鍵值以便以后在系統(tǒng)每次重新啟動時能夠自動運行。從Regsnp1-Regsnp2.htm中可以看到哪些注冊表項發(fā)生了變化，此時若看到：HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\@Oldvalue:String:″″%1″%*″Newvalue:String:″C:\WINNT\System32\diagcfg.exe″%1″%*″,則說明這個鍵值由原來的″%1″%*被修改成了C:\WINNT\System32\DIAGCFG.EXE″%1″%*，這就使得以后每次運行任何可執(zhí)行文件時都要先運行C:\WINNT\System32\diagcfg.exe這個程序。⑥找出木馬監(jiān)聽的端口。使用fport可以輕松的實現(xiàn)這一點。在命令行中運行fport.exe，可以看到：,C:\tool\fport>fportFPortv1.33TCP/IPProcesstoPortMapperCopyright2000byFoundstone,Inc.PidProcessPortProtoPath584tcpsvcs->7TCPC:\WINNT\System32\tcpsvcs.exe584tcpsvcs->9TCPC:\WINNT\System32\tcpsvcs.exe584tcpsvcs->13TCPC:\WINNT\System32\tcpsvcs.exe584tcpsvcs->17TCPC:\WINNT\System32\tcpsvcs.exe584tcpsvcs->19TCPC:\WINNT\System32\tcpsvcs.exe836inetinfo->80TCPC:\WINNT\System32\inetsrv\inetinfo.exe408svchost->135TCPC:\WINNT\system32\svchost.exe,836inetinfo->443TCPC:\WINNT\System32\inetsrv\inetinfo.exe8System->445TCP464msdtc->1025TCPC:\WINNT\System32\msdtc.exe684MSTask->1026TCPC:\WINNT\system32\MSTask.exe584tcpsvcs->1028TCPC:\WINNT\System32\tcpsvcs.exe836inetinfo->1029TCPC:\WINNT\System32\inetsrv\inetinfo.exe8System->1030TCP464msdtc->3372TCPC:\WINNT\System32\msdtc.exe1176DIAGCFG->6267TCPC:\WINNT\System32\DIAGCFG.EXE/*注意這行！*/,836inetinfo->7075TCPC:\WINNT\System32\inetsrv\inetinfo.exe584tcpsvcs->7UDPC:\WINNT\System32\tcpsvcs.exe584tcpsvcs->9UDPC:\WINNT\System32\tcpsvcs.exe584tcpsvcs->13UDPC:\WINNT\System32\tcpsvcs.exe584tcpsvcs->17UDPC:\WINNT\System32\tcpsvcs.exe584tcpsvcs->19UDPC:\WINNT\System32\tcpsvcs.exe584tcpsvcs->68UDPC:\WINNT\System32\tcpsvcs.exe408svchost->135UDPC:\WINNT\system32\svchost.exe8System->445UDP228services->1027UDPC:\WINNT\system32\services.exe836inetinfo->3456UDPC:\WINNT\System32\inetsrv\inetinfo.exe,虛擬執(zhí)行法,為了檢測多態(tài)性病毒，提出了虛擬執(zhí)行法。它是一種軟件分析器，用軟件方法來模擬和分析程序的運行。如果發(fā)現(xiàn)隱蔽性病毒或多態(tài)性病毒嫌疑時，啟動虛擬執(zhí)行模塊，監(jiān)視病毒的運行，待病毒自身的密碼譯碼以后，再運用特征代碼法來識別病毒的種類。,分析法,分析法的目的在于：1．確認被觀察的磁盤引導區(qū)和程序中是否含有2．確認病毒的類型和種類，判定其是否是一種新病毒。3．搞清楚病毒體的大致結(jié)構(gòu)，提取特征識別用的字符串或特征字，用于增添到病毒代碼庫供掃描和識別程序用。4．詳細分析病毒代碼，為制定相應的反病毒措施制定方案。,人工智能陷阱技術(shù)和宏病毒陷阱技術(shù),人工智能陷阱是一種監(jiān)測計算機行為的常駐式掃描技術(shù)。它將所有計算機病毒所產(chǎn)生的行為歸納起來，一旦發(fā)現(xiàn)內(nèi)存中的程序有任何不當?shù)男袨?，系統(tǒng)就會有所警覺，并告知使用者。這種技術(shù)的優(yōu)點是執(zhí)行速度快、操作簡便，且可以偵測到各式計算機病毒。其缺點就是程序設(shè)計難度大，且不容易考慮周全。在這千變?nèi)f化的計算機病毒世界中，人工智能陷阱掃描技術(shù)是一個具有主動保護功能的技術(shù)。宏病毒陷阱技術(shù)結(jié)合了搜索法和人工智能陷阱技術(shù)，依行為模式來偵測已知及未知的宏病毒。其中，配合OLE2技術(shù)，可將宏與文件分開，加快掃描速度，而且可以有效地將宏病毒徹底清除。,先知掃描法,先知掃描技術(shù)將專業(yè)人員用來判斷程序是否存在計算機病毒代碼的方法，分析歸納成專家系統(tǒng)和知識庫，再利用軟件模擬技術(shù)（SoftwareEmulation）偽執(zhí)行新的計算機病毒，超前分析出新計算機病毒代碼，對付未知的計算機病毒。,,利用原始備份和被檢測程序相比較的方法適合于不需專用軟件，可以發(fā)現(xiàn)異常情況的場合，是一種簡單的基本的病毒檢測方法；掃描特征串和識別特征字的方法適用于制作成查病毒軟件的方式供廣大PC機用戶使用，方便而又迅速，但對新出現(xiàn)的病毒會出現(xiàn)漏檢的情況，需要與分析和比較法相結(jié)合；分析病毒的方法主要是由專業(yè)人員識別病毒，研制反病毒系統(tǒng)時使用，要求較多的專業(yè)知識，是反病毒研究不可缺少的方法。,計算機病毒的診斷方法,手工檢測工具軟件（Debug、UltraEdit、EditPlus、SoftICE、TRW、Ollydbg等）優(yōu)點：Aver發(fā)現(xiàn)并分析新病毒缺點：不可能普及自動檢測自動檢測是指通過一些自動診斷軟件來判斷系統(tǒng)是否有毒的方法。優(yōu)點：易于普及缺點：滯后性,高速模式匹配,查找的速度是評價一個查毒引擎的關(guān)鍵因素之一。算法種類：單模式匹配算法：KMP\QS\BM等多模式匹配算法：DFSA\基于二叉樹的算法問題描述設(shè)待處理（動態(tài)）文本為單模式匹配是從文本中查找一個模式串多模式匹配就是通過一次查找從文本中發(fā)現(xiàn)多個P1,P2,...,Pq,,,,最簡單的查找算法——BF算法,Brute-Force算法匹配過程,,,,單模式匹配——BM算法,bad-character位移，字符a在P中出現(xiàn),,,,,bad-character位移，字符a在P中不出現(xiàn),,,,,計算公式,,,good-suffix位移，只有u的前綴v在P中重現(xiàn),,,,,good-suffix位移，u的一次重現(xiàn)且其前一個字符與b不同,,,,,首先定義兩個條件：cond1(j,s):對每個k,jget_Inspectors(},,當郵件在一個獨立的窗口打開時，觸發(fā)下列事件voidCOutlooksampleDlg::NewInspector(IDispatch*disp){//給該郵件一個事件newCEventSink(*this,disp);},,//當郵件顯示在預覽窗口時voidCEventSink::SelectionChange(){longcount=0;if(m_explorer!=0){Outlook::SelectionPtr}}},WEB惡意代碼查殺方法,惡意代碼經(jīng)常通過修改注冊表和系統(tǒng)配置來破壞系統(tǒng)的正常操作，影響用戶的正常使用。被這種病毒感染后，要設(shè)法修復被修改和禁用各個注冊表項。檢查位置：網(wǎng)關(guān)客戶端（魔法兔子等）修復方法是：首先新建一個文本文件，接著把擴展名改為reg；然后，把恢復腳本填入該文件中；最后，運行該文件就可以了。,,網(wǎng)關(guān)技術(shù),客戶端技術(shù),實時文件監(jiān)控（殺毒軟件）禁止功能例如，禁止3721REGEDIT5#B83FC273-3522-4CC6-92EC-75CC86678DA43721sCLSID[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\ActiveXCompatibility{B83FC273-3522-4CC6-92EC-75CC86678DA4}]"CompatibilityFlags"=dword:00000400,修復腳本,REGEDIT4//修復RUN按鈕[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]"NoRun"=dword:00000000//修復關(guān)閉按鈕[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]"NoClose"=dword:00000000//修復注銷按鈕[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]"NoLogOff"=dword:00000000,,//取消隱藏盤符[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]"NoDrives"=dword:00000000//取消禁止注冊表[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]"DisableRegistryTools"=dword:00000000//取消禁止運行DOS程序[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp]"Disabled"=dword:00000001,,//取消禁止進入DOS模式[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp]"NoRealMode"=dword:00000001//取消開機提示窗口標題[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon]"LegalNoticeCaption"=""http://取消開機提示窗口信息[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon]"LegalNoticeText"="",,//重設(shè)IE標題[HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main]"WindowTitle"="MicrosoftInternetExplorer"[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main]"WindowTitle"="MicrosoftInternetExplorer"http://重置IE起始頁[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main]"StartPage"="",宏病毒查殺方法,方法1：用WordBasic語言以Word模板方式編制殺毒工具，在Word環(huán)境中殺毒。優(yōu)點：殺毒準確，兼容性好缺點：適合手工，不宜商品化方法2：根據(jù)WordBFF格式，在Word環(huán)境外解剖病毒文檔（模板），去掉病毒宏。缺點：第一，容易將原文檔破壞；第二，很容易漏殺病毒；第三，要不斷地隨著Word版本升級和病毒變化而改變程序。易于商品化,,殺毒和病毒入侵的原理完全相同查找感染標記---〉用新宏代替舊宏病毒：壞---〉好殺毒：好---〉壞以Maker病毒為例在Normal.dot的“ThisDocument”中加入以下代碼：,,PrivateSubDocument_Open()DimSaveDocument,DocumentInfectedAsBooleanDimadAsObjectDimstrVirusNameAsStringDimintVBComponentNoAsInteger病毒感染標記(如果要掃描自己，用"&"連接字符串可以避免誤判自己)代碼重用時，針對不同的病毒可修改以下兩句ConstMarker="〈-thisisanother"&"marker!"strVirusName="Marker"將病毒所作的安全修改回來Options.VirusProtection=True可能存在的宏代碼數(shù)目intVBComponentNo=ActiveDocument.VBProject.VBComponents.Count,,Fori=1TointVBComponentNo獲取當前激活文檔的宏代碼Setad=ActiveDocument.VBProject.VBComponents.Item(i)是否包含特征字符串DocumentInfected=ad.CodeModule.Find(Marker,1,1,10000,10000)如果包含病毒特征字符串IfDocumentInfected=TrueThenSaveDocument=ActiveDocument.Saved如果病毒為追加感染，請修改這一句。注意這里為全刪除宏ad.CodeModule.DeleteLines1,ad.CodeModule.CountOfLinesActiveDocument.VBProject.VBComponents.Remove(ad)MsgBoxActiveDocument.FullName&"被"&strVirusName&_"宏病毒感染.已去除!",vbInformation,"By:Ray.Deng"EndIfNexti,,IfDocumentInfected=True&SaveDocument=TrueThenActiveDocument.Save如果是成批消毒，建議加上這一句，自動關(guān)閉打開的文件ActiveDocument.CloseEndIfEndSub編好后存盤，然后查找所有doc和dot文件并執(zhí)行打開操作。,清除W32.Spybot.Worm蠕蟲病毒,Win32.Spybot.Worm是一種在線網(wǎng)絡(luò)聊天系統(tǒng)機器人（BOT）的開放性源代碼蠕蟲病毒，由于它的開放性和管理方式都來源于這些分布的機器人，所以這些廣泛的機器人病毒都有一些很微小的不同。威脅：搜集本地計算機的配置信息（包括連接的類型、CPU速度和本地驅(qū)動的信息）；在本地計算機安裝和刪除的文件；在本地計算機執(zhí)行各色各樣的命令；鍵盤操作記錄；毀掉防火墻和殺毒軟件程序避免被察覺等等。,,利用的漏洞：使用TCPport135的DCOMRPC弱點；微軟本機安全性認證服務遠程緩沖區(qū)弱點；使用UDPport1434（MSSQL2000或MSDE2000）驗證弱點；使用TCPport80的WebDAV弱點；UPnP通知緩沖區(qū)弱點；使用TCPport445的工作站服務緩沖區(qū)溢位弱點。,清除方法,感染了Win32.Spybot.Worm病毒后，清除過程比較繁瑣。商業(yè)殺毒軟件和專殺工具都不能自接清除，而是需要手工干預。其清除步驟如下：隔離計算機清除病毒（1）關(guān)閉操作系統(tǒng)的“系統(tǒng)還原”功能。右鍵點擊“我的電腦”——〉屬性——〉系統(tǒng)還原——〉關(guān)閉所有盤上的系統(tǒng)還原功能（2）更新殺毒軟件（例如Symantec）為最新的病毒定義碼。,,（3）重新啟動計算機到安全模式。（4）手工啟動殺毒程序，對計算機做完全掃描。（5）記錄被感染的文件名，并刪除受感染的文件。（6）備份注冊表。（7）檢查注冊表中的一下各項Run、RunOnce、RunServices、Run刪除剛才記錄的文件名鍵值（8）針對不同的操作系統(tǒng)，安裝相應的補丁。（9）增強管理員賬號的密碼強度。,,謝謝Q&A,