返回
计算机病毒原理与防范--计算机病毒检测技术

计算机病毒原理与防范--计算机病毒检测技术

ID:40513496

大小:267.01 KB

页数:35页

时间:2019-08-03

计算机病毒原理与防范--计算机病毒检测技术_第1页
计算机病毒原理与防范--计算机病毒检测技术_第2页
计算机病毒原理与防范--计算机病毒检测技术_第3页
计算机病毒原理与防范--计算机病毒检测技术_第4页
计算机病毒原理与防范--计算机病毒检测技术_第5页
资源描述:

《计算机病毒原理与防范--计算机病毒检测技术》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、计算机病毒原理与防范任课教师:乔奎贤第5章计算机病毒检测技术5.1反病毒技术的发展历程5.2计算机病毒检测技术原理5.3病毒主要检测技术和特点5.1反病毒技术的发展历程第一代反病毒技术:采取单纯的计算机病毒特征判断可以准确地清除计算机病毒,可靠性很高随着病毒技术的发展,特别是加密和变形技术的应用,这种简单的静态扫描方式逐渐失去了作用第二代反病毒技术:采用静态广谱特征扫描方法检测病毒可更多地检测出变形病毒,但是误报率也有所提高容易造成文件和数据的破坏5.1反病毒技术的发展历程第三代反病毒技术:静态扫描技术和动态仿真技术

2、相结合查找病毒和清除病毒合二为一,形成一个整体解决方案能全面实现预防、检测和清除等反病毒所必备的各种手段以驻留内存方式防止病毒的入侵,凡是检测到的计算机病毒都能清除,不会破坏文件和数据第四代反计算机病毒技术:基于计算机病毒家族体系的命名规则、基于多位CRC校验和扫描机理、启发式智能代码分析模块、动态数据还原模块、内存解毒模块和自身免疫模块等先进的解毒技术5.2计算机病毒检测技术原理计算机病毒检测技术:通过一定的技术手段判定出病毒的技术计算机病毒检测技术种类:根据病毒在特征分类基础上的检测技术根据病毒程序中的关键字、特

3、征程序段内容、病毒特征及感染方式、危机程度的变化对文件或数据段的检验和进行检测不针对具体病毒程序自身检验技术,即对某个文件或数据段进行检验和计算并保存其结果,以后定期或不定期地根据保存的结果对该文件或数据段进行检验,若出现差异,即表示该文件或数据段的完整性已遭到破坏,从而检测到病毒的存在5.2.1病毒检测技术的基本原理反病毒程序计算各个可执行程序的校验和某些反病毒程序是常驻内存程序反病毒程序常驻内存中,搜索可能进入系统的计算机病毒,其目的是阻止任何病毒感染系统。少数工具可以从感染病毒的程序中清除病毒少数工具反病毒工具

4、虽可将染毒程序修复好,但有些修复效果不能保证。某些反病毒工具还可能产生虚假报警。反病毒技术的主要分类:病毒诊断技术、病毒治疗技术、病毒预防技术5.2.2检测病毒的基本方法1.借助简单工具检测——指DEBUG等常规软件工具要求检测者必须具备的知识:分析工具的性能磁盘内部结构(如BOOT区、主引导区、FAT表和文件目录等有关知识)磁盘文件结构(EXE文件头部结构,重定位方法、EXE和COM文件加载文件的不同等)中断矢量表内存管理(内存控制块、环境参数和文件的PSP结构等)阅读汇编程序的能力有关病毒的信息5.2.2检测病毒

5、的基本方法2.借助专用工具检测——指专门的计算机病毒检测工具,如Norton等一般来说,专用工具具备自动扫描磁盘的功能,可检测磁盘的染毒情况。病毒检测工具只能识别已知计算机病毒,其发展总是滞后于计算机病毒的发展,从而对相当数量的未知计算机病毒无法识别。5.3病毒主要检测技术和特点5.3.1外观检测法5.3.2系统数据对比法5.3.3病毒签名检测法5.3.4特征代码法5.3.5检查常规内存数5.3.6校验和法5.3.7行为监测法(实时监控法)5.3.8软件模拟法5.3.9启发式代码扫描技术5.3.10主动内核技术5.3

6、.11病毒分析法5.3.12病毒感染法5.3.1外观检测法虽不能准确判断系统感染了何种病毒,但可通过异常现象来判断病毒的存在外观检测法是计算机病毒防治阶段起重要作用的一个环节1.屏幕显示异常2.声音异常3.文件系统异常4.程序异常5.系统异常6.打印机、软驱等外部设备异常5.3.2系统数据对比法计算机系统的重要数据:主引导扇区、DOS分区引导扇区、软盘的引导扇区、FAT表、中断向量表和设备驱动程序头等长度比较法及内容比较法依据:计算机病毒感染系统或文件,必然引起系统或文件的变化(长度的变化和内容的变化)注意:只靠检测

7、长度和内容是不充分的,只能将其作为检测病毒的手段之一5.3.2系统数据对比法内存比较法依据:通常病毒要驻留内存,造成可用内存空间的减少内存比较法是针对内存驻留计算机病毒进行检测的方法中断比较法依据:计算机病毒为实现其隐藏和传染破坏的目的,常采用“截留盗用”技术,更改、接管中断向量,使系统中断向量转向执行计算机病毒控制部分。方法:将正常系统的中断向量与染毒系统的中断向量进行比较,可发现是否有计算机病毒修改或盗用中断向量5.3.3病毒签名检测法计算机病毒签名:即计算机病毒感染标记不同计算机病毒的签名内容不同,位置也不同。

8、并非所有计算机病毒都具备计算机病毒签名。计算机病毒签名检测法的特点:必须预先知道计算机病毒签名的内容和位置每一种计算机病毒签名的获得都要耗费大量劳力,因此用计算机病毒签名的方法检测计算机病毒,常常是低效、不适用的方法可能造成虚假报警5.3.4特征代码法原理:计算机病毒程序通常具有明显的特征代码特征代码可能是病毒的感染标记,由字母和数字组成串可能

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。