计算机病毒的检测、清除与免疫课件.pptVIP

计算机病毒与反病毒技术 主要内容 计算机病毒的防范措施 计算机病毒的检测技术与原理 启发式查毒技术 虚拟机查毒技术 实时监控技术 引导型病毒的清除 文件型病毒的清除 计算机病毒的免疫方法 9.1.1 反病毒技术的产生与发展简介 反病毒技术应运而生，并在与病毒对抗的过程中不断发展 从“消毒软件”到“防毒卡” “查杀防三合一”实时反病毒软件的诞生 反病毒技术的发展历程 简单特征码 采用单纯的病毒特征代码分析，清除染毒文件中的病毒 广谱特征 采用静态广谱特征扫描技术检测病毒，可以检测变形病毒，但是误报率高 启发式扫描 将静态扫描技术和动态仿真跟踪技术结合起来，将查找病毒和清除病毒合二为一 虚拟机 9.1.2 计算机病毒防治技术的划分 计算机病毒的防治技术分成四个方面 病毒预防技术 病毒检测技术 病毒消除技术 病毒免疫技术 除了免疫技术因目前找不到通用的免疫方法而进展不大之外，其他三项技术都有相当的进展 9.1.3 主动内核(Active K)技术与实时监视 传统的反病毒技术，基于被动式的防御理念 这种理念最大的缺点在于将防治病毒的基础建立在病毒侵入操作系统或网络系统以后，作为上层应用软件的反病毒产品，才能借助于操作系统或网络系统所提供的功能来被动地防治病毒 主动内核(Active K)技术，是在操作系统和网络的内核中嵌入反病毒功能，使反病毒成为系统本身的底层模块，实现各种反毒模块与操作系统和网络无缝连接，而不是一个系统外部的应用软件 主动内核技术能够在病毒突破计算机系统软、硬件的瞬间发生作用 9.1.4 自动解压缩技术 检查压缩文件中的病毒，首先必须搞清压缩文件的压缩算法，尔后根据压缩算法将病毒码压缩成病毒压缩码，最后根据病毒压缩码在压缩文件中查找 还有另一种检查压缩文件中病毒的方法，是在搞清压缩文件的压缩算法和解压缩算法的基础上，先解压缩文件，尔后检查病毒码，最后将文件还原压缩 9.2.1 计算机病毒防范的概念 计算机病毒防范，是指通过建立合理的计算机病毒防范体系和制度，及时发现计算机病毒侵入，并采取有效的手段阻止计算机病毒的传播和破坏，恢复受影响的计算机系统和数据 计算机病毒能利用读写文件进行感染，利用驻留内存、截取中断向量等方式能进行传染和破坏。预防计算机病毒就是要监视、跟踪系统内类似的操作，提供对系统的保护，最大限度地避免各种计算机病毒的传染破坏 9.2.2 必须具有的安全意识 对计算机病毒应持有如下态度： 承认计算机病毒的客观存在 应该具有安全意识，积极采取预防措施，堵塞计算机病毒的传染途径 不惧怕病毒，树立必胜的信念；发现病毒，冷静处理 9.2.3 预防计算机病毒的一般措施 计算机病毒的预防措施可概括为两点 勤备份 严防守 9.3.1 病毒检测方法综述 检测计算机病毒的方法有两种 手工检测 利用Debug、PCTools、SysInfo、WinHex等工具软件进行病毒的检测 这种方法比较复杂，费时费力 可以剖析病毒、可以检测一些自动检测工具不能识别的新病毒 自动检测 利用一些专业诊断软件来判断引导扇区、磁盘文件是否有毒的方法 自动检测比较简单，一般用户都可以进行，但需要较好的诊断软件 可方便地检测大量的病毒，自动检测工具的发展总是滞后于病毒的发展 9.3.2 比较法诊断的原理 比较法是用原始的正常备份与被检测的内容(引导扇区或被检测的文件)进行比较 长度比较法 内容比较法 内存比较法 中断比较法 9.3.3 校验和法诊断的原理 根据正常文件的信息(包括文件名称、大小、时间、日期及内容)，计算其校验和，将该校验和写入文件中或写入其他文件(资料库)中保存 在文件使用过程中，定期地或每次使用文件前，检查文件现有信息算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否已被感染 运用校验和法查病毒一般采用三种方式 在检测病毒工具中纳入校验和法，对被查的对象文件计算其正常状态的校验和，将校验和值写入被查文件中或检测工具中，而后进行比较 在应用程序中，放入校验和法自我检查功能，将文件正常状态的校验和写入文件本身中，每当应用程序启动时，比较现行校验和与原校验和值，实现应用程序的自检测 将校验和检查程序常驻内存，每当应用程序开始运行时，自动比较检查应用程序内部或其他文件中预先保存的校验和 9.3.4 扫描法诊断的原理 扫描法是用每一种病毒体含有的特定病毒码(Virus Pattern)对被检测的对象进行扫描。如果在被检测对象内部发现了某一种特定病毒码，就表明发现了该病毒码所代表的病毒 特征代码扫描法 通配符 首尾扫描 不匹配字节数 9.3.5 行为监测法诊断的原理 利用病毒的特有行为特性监测病毒的方法，称为行为监测法，也称为人工智能陷阱法 通过对病毒多年的观察、研究，人们发现病毒有一些行为，是病毒的共