信息安全基础第16讲（病毒检测） .pptVIP

优缺点： 校验和法的优点： 方法简单 能发现未知计算机病毒 能发现被检查程序的细微变化 校验和法的缺点： 必须预先记录程序正常状态的校验和 误报率高 不能识别计算机病毒的种类 不能对付隐蔽性计算机病毒 7. 行为监测法（实时监控法） 原理：病毒有些行为是病毒的共同行为，且比较特殊，甚至罕见。程序运行时，监视其行为，若发现病毒行为，立即报警 检测病毒的行为特征 占用INT 13H 修改DOS系统数据区的内存总量 对.COM和.EXE文件做写入操作 计算机病毒与宿主程序的邦定和切换 格式化磁盘或某些磁道等破坏行为 扫描、试探特定网络端口 发送网络广播 修改文件、文件夹属性，添加共享等 病毒防火墙 计算机病毒防火墙：基于实时反计算机病毒技术之上提出的，其宗旨是对系统实施实时监控，对流入、流出系统的数据中可能含有的计算机病毒代码进行过滤。 对计算机病毒的过滤有良好的实时性 病毒防火墙的“双向过滤”功能保证本地系统不会外传播病毒 病毒防火墙操作更简单、更透明 优缺点 优点：可可发现已知病毒，也可较准确地预报未知多数病毒 缺点：可能误报警；不能识别病毒的名称；实现有一定难度 8. 软件模拟法 软件模拟法：专门用来检测变形病毒，即多态性病毒 变形病毒特征：病毒传播到目标后，病毒自身代码和结构在空间上、时间上具有不同的变化。 变形病毒类型： 第一类：一维变形计算机病毒 当病毒传播到一个目标后，其自身代码与前一目标中的病毒代码几乎没有3个连续字节是相同的，但其相对空间的排列位置是不变的 个别病毒遇到检测时能进行自我加密或解密，或自我消失 有的病毒能在列目录时能消失增加的字节数，或在加载跟踪时能破坏跟踪或逃之夭夭 第16讲 病毒检测 课前检查 1、静态病毒的传播只能通过文件下载(拷贝)实现。 √ 2、静态病毒和动态病毒是绝对的，不会出现转变。 X 3、病毒的启动过程就是病毒的首次激活过程。 √ 4、当内存中的病毒代码能够被系统的正常运行机制所执行时，动态病毒就处于激活态。 X 5、Trojan.LMir.PSW.60是属于什么类型的病毒？ 其主要作用是什么？ √ 1、动态病毒 2、激活态 3、病毒感染 4、病毒破坏 计算机病毒容易感染文件的扩展名为（ ） 本地计算机被感本地计算机被感染病毒的途径可 计算机病毒的特点是（ ） A.Exe B.bat C.com D. doc A. C A.使用软盘 B.软盘表面受损 C.机房电源不稳定 D. 上网 A. D A.传播性 B.潜伏性 C.破坏性 D. 易读性 A. B.C 1.方法 （1）计算机病毒检测方法？ （2）检测技术的原理 2.检测工具与检测技术 （1）检测技术 （2）检测工具 3.检测技术的历史发展 第16讲 病毒检测 学习目标 技能目标 1.能正确使用工具检测病毒 2.能采用合适的方法和技术检测病毒 知识目标 1.了解检测方法、检测技术 2.知道检测技术的工作原理 3.熟悉检测技术的发展 Where 在哪儿检测与查杀病毒？ 传播途径主要有两种：一种是通过网络传播， 一种是通过移动硬件设备传播。 （1）本地计算机 首先在计算机本地进行查杀，切断病毒发源地，彻底解决病毒带来的安全威胁。 （2）网络 网民们在收发电子邮件、浏览网页、下载软件、使用即时通讯软件聊天、进行网络游戏时，都有可能感染并传播病毒。网络连接的频繁性与广泛性，已被病毒充分利用，使其成为病毒防治的重要区域。 （3）移动硬件设备 一、计算机病毒检测方法 1、手工检测 含义：通过一些软件工具（DEBUG.COM、PCTOOLS.EXE、NU.COM、SYSINFO.EXE等提供的功能） 进行病毒的检测。 要求：需要检测者熟悉机器指令和操作系统 基本过程：利用一些工具软件，对易遭病毒攻击和修改的内存及磁盘的有关部分进行检查，通过和正常情况下的状态进行对比分析，来判断是否被病毒感染。 利弊：检测费时费力，但可剖析新病毒，检测识别未知病毒，可以检测一些自动检测工具不认识的新病毒。 2．自动检测 含义：通过一些诊断软件来判读一个系统或一个软盘是否有毒的方法。 要求：需要较好的诊断软件。 利弊：可方便地检测大量的病毒，但只能识别已知病毒，因为自动检测工具的发展总滞后于病毒发展 主要检测病毒方法：比较法、有哪些信誉好的足球投注网站法、分析法、感染实验法、软件模拟法、行为检测法。 1．借助简单工具检测——指DEBUG等常规软件工具 要求检测者必须具备的知识： 分析工具的性能 磁盘内部结构（如BOOT区、主引导区、FAT表和文件目