网络信息安全技术概论(第二版) 作者 吕林涛 第十章 计算机病毒与恶意代码的防治.pptVIP

* * * 10.4　计算机病毒的检测与防治 　计算机病毒的检测 　计算机病毒的清除 　计算机病毒的防范 * 　计算机病毒的检测 　　目前计算机病毒检测的常用方法有特征代码法、校验和法、行为监测法、比较法等。 1. 特征代码法 　　特征代码法具有检测准确、误报率低的优点，因为能够准确检测出具体是哪一种病毒，所以一般能够进行相应的清除病毒的工作，病毒清除效果较好。 * 　计算机病毒的检测 　　但是，特征代码法也有其无法克服的缺点。 1）无法检测新病毒。 2）特征代码库必须及时更新。 3）检测速度慢，所需时间长。 4）不能检测没有特征代码的病毒。 因为不掌握新出现病毒的特征代码，因此不能够检测新出现的病毒。 为了对付新病毒，特征代码库必须能够及时地得到更新。 对于待检测的每一个文件，需要将每一种已知病毒的特征代码查找一遍，随着已知病毒数量的增长，检测所需时间也越来越长 如果有些病毒根本就没有特征代码或者特征代码总是不停地变化，则这种病毒就无法使用特征代码法检测出来。 * 　计算机病毒的检测 　　2. 检验和法　 　　校验和法的原理是利用某种算法计算正常文件的校验和，并将其存入文件或者特定地方，定期或使用此文件时重新计算其校验和并与之前的校验和进行比较，如果不一致则此文件被感染。校验和法能够精准地判断文件是否被修改过，排除用户自己进行的修改则基本可以判定是感染了病毒。 　　检验和法的优点：既可以检测出已知的病毒，也可以检测出未知病毒；与特征代码法相比，检测一个文件只需检查一次，检测所需时间与病毒数量无关，因此速度快，耗时少。 * 　计算机病毒的检测 检验和法的缺点也很突出： 1）误报率高。 2）不能识别病毒名称。 3）难以进行病毒清除。 因为校验和法仅仅是通过文件是否被修改来判断是否感染了病毒如果不能把病毒感染的情况和用户或程序对文件的正常修改区分开来，则会把对文件的正常修改误认为是病毒感染，就会发生误报警。 通过文件是否被修改只能判断是否发生了病毒感染，但具体是哪一种病毒并不能识别出来。 因为不知道具体是哪一种病毒，因此难以采取有效的办法清除病毒。 * 　计算机病毒的检测 　　3. 行为监测法 　　反病毒研究者对计算机病毒多年的研究发现病毒也具有一些共性的、与正常程序不同的行为，这些异常行为可以作为是否是病毒的一种判断依据。这些异常行为包括以下几方面。 （1）修改系统配置 （2）修改COM、EXE文件 （3）自动联网 （4）占用INT 13H （5）修改DOS系统数据区的内存总量 很多病毒会修改系统的配置，比如写注册表。 病毒很喜欢感染可执行程序，而正常情况下可执行程序是不会被修改的，因此对COM、EXE等可执行程序的修改多是计算机病毒所为。 很多病毒会自动联网，特别是蠕虫和木马病毒。 引导型病毒会攻击磁盘的BOOT扇区或主引导扇区，通过占用INT 13H中断功能，使自身在系统的启动过程中获得执行权。 病毒为了感染更多的文件经常会常驻内存，在进驻内存之后会修改内存总量以防止DOS系统在其所用内存区域写入数据而将其覆盖。 * 　计算机病毒的检测 　　4. 虚拟执行法 　　虚拟执行法使用虚拟机技术，是目前较为前沿的一种反病毒技术。以程序在执行过程是否具有感染行为作为依据来判断该程序是否是病毒，查毒准确率几乎可达100％。但是执行制造这个虚拟环境需要CPU、内存等系统资源，在虚拟机中运行病毒程序观察其运行过程需要时间，这些都是目前虚拟执行法在实际应用当中难以解决的难题，因此虚拟执行法一般只是作为补充和辅助手段在反病毒软件中使用。 * 10.4　计算机病毒的检测与防治 　计算机病毒的检测 　计算机病毒的清除 　计算机病毒的防范 * 　计算机病毒的清除 　　计算机病毒的清除即将病毒模块从被感染的系统或文件中摘除的过程，也就是人们常说的杀毒。 　　1. 计算机病毒清除的原理 　　计算机病毒的感染对象主要是系统（磁盘引导区）和文件（包括系统文件在内的各种文件），对系统和文件的清除要采用不同的方法。 （1）引导型病毒的清除 　　引导型病毒感染和破坏的主要是磁盘的引导扇区等特殊存储区域，病毒会直接修改这些地方的数据或者占据这里而将原本放在这里的数据移到其他位置。 * 　计算机病毒的清除 　　引导型病毒比感染文件的病毒更难以清除，一般需要先用干净无毒的系统引导盘启动系统后才可以进行病毒的清除工作。 （2）文件型病毒的清除 　　病毒对文件的感染如果是通过嵌入或外壳等重新链接的方式感染，则病毒是可以被清除的。如果病毒是采用覆盖的方式进行感染，则被感染文件难以恢复，只能将其删除。 　　对于采用重新链接的方式感染的病毒，因为病毒并没有真正破坏原有文件，所以通过恢复链接，删除病毒代码可以安全