计算机病毒的防范技术计算机病毒的防范技术
上海交通大学信息安全工程学院
本章学习目标
掌握计算机病毒诊断知识
掌握计算机病毒防范思路
理解计算机病毒清除知识理解计算机病毒清除知识
掌握数据备份和数据恢复
信息安全工程学院
一、计算机病毒防治技术的现状
技术反思
• 一次一次的大面积发生
缺陷
• 永无止境的服务
• 库、培训、指导等
• 未知病毒发现
• 有限未知
• 病毒清除的准确性病毒清除的准确性
• 从恢复的角度来考虑
信息安全工程学院
二、计算机病毒的防范思路
防治技术概括成五个方面:
• 检测
• 清除清除
• 预防
• 被动防治被动防治
• 免疫
• 主动防治主动防治
• 数据备份及恢复
• 计算机病毒防范策略
信息安全工程学院
三计算机病毒的检测
计算机病毒的诊断原理
计算机病毒的诊断方法计算机病毒的诊断方法
高速模式匹配
自动诊断的源码分析
信息安全工程学院
计算机病毒的诊断原理
用什么来判断?染毒后的特征
常用方法常用方法:
• 比较法
• 校验和
• 扫描法
• 行为监测法
• 行为感染试验法行为感染试验法
• 虚拟执行法
• 陷阱技术
•• 先知扫描先知扫描
• 分析法等等
信息安全工程学院
比较法
比较法是用原始或正常的对象与被检测的对象进行比较。
手工比较法是发现新病毒的必要方法手工比较法是发现新病毒的必要方法。
比较法又包括:
• 注册表比较法注册表比较法
• 工具RegMon
• 弱点:正常程序也操作注册表
•• 文件比较法文件比较法
• 通常比较文件的长度和内容两个方面
• 工具FileMon
• 弱点弱点:长度和内容的变化有时是合法的长度和内容的变化有时是合法的
病毒可以模糊这种变化
信息安全工程学院
内存比较法
• 主要针对驻留内存病毒
• 判断驻留特征判断驻留特征
中断比较法
• 将将正常系统的中断向量与有毒系统的中断向量进行比常系统的中断向量与有毒系统的中断向量进行比
较
比较法的好处:简单
比较法的缺点比较法的缺点::无法确认病毒无法确认病毒,,依赖备份依赖备份
信息安全工程学院
校验和法
首先,计算正常文件内容的校验和并且将该校验
和写入某个位置保存。然后,在每次使用文件前
或文件使用过程中或文件使用过程中,,定期地检查文件现在内容算定期地检查文件现在内容算
出的校验和与原来保存的校验和是否一致,从而
可以发现文件是否感染可以发现文件是否感染,这种方法叫校验和法这种方法叫校验和法,
它既可发现已知病毒又可发现未知病毒。
信息安全工程学院
优点:
• 方法简单
• 能发现未知病毒
• 被查文件的细微变化也能发现被查文件的细微变化也能发现
缺点:
• 必须预先记录正常态的校验和
•