上游充通大粤 SHANGHAI JIAO TONG UNIVERSITY 计算机病毒的防范技术 刘功申 上海交通大学信息安全工程学院 1B三5
计算机病毒的防范技术 刘功申 上海交通大学信息安全工程学院
上游充通大学 本章学习目标 SHANGHAI JIAO TONG UNIVERSITY ©掌握计算机病毒诊断知识 掌握计算机病毒防范思路 ©理解计算机病毒清除知识 ©掌握数据备份和数据恢复 信息安全工程学院
信息安全工程学院 本章学习目标 掌握计算机病毒诊断知识 掌握计算机病毒防范思路 理解计算机病毒清除知识 掌握数据备份和数据恢复
上海充通大学一、计算机病毒防治技术的现状 SHANGHAI JIAO TONG UNIVERSITY 技术反思 ·一次一次的大面积发生 缺陷 ·永无止境的服务 ·库、培训、指导等 ● 未知病毒发现 ·有限未知 0 病毒清除的准确性 ·从恢复的角度来考虑 信息安全王程学院
信息安全工程学院 一、计算机病毒防治技术的现状 技术反思 • 一次一次的大面积发生 缺陷 • 永无止境的服务 • 库、培训、指导等 • 未知病毒发现 • 有限未知 • 病毒清除的准确性 • 从恢复的角度来考虑
上游充通大兽 二、计算机病毒的防范思路 SHANGHAI JIAO TONG UNIVERSITY ©防治技术概括成6个层次: ·检测 ·清除 ·预防 ·被动防治 ·免疫 ·主动防治 。 数据备份及恢复 ·计算机病毒防范策略 信息安全工程学院
信息安全工程学院 二、计算机病毒的防范思路 防治技术概括成6个层次: • 检测 • 清除 • 预防 • 被动防治 • 免疫 • 主动防治 • 数据备份及恢复 • 计算机病毒防范策略
上游充通大学 三计算机病毒的检测 SHANGHAI JIAO TONG UNIVERSITY ©计算机病毒的诊断原理 ④计算机病毒的诊断方法 高速模式匹配 ©自动诊断的源码分析 信息安全王程学院
信息安全工程学院 三 计算机病毒的检测 计算机病毒的诊断原理 计算机病毒的诊断方法 高速模式匹配 自动诊断的源码分析
上游充通大兽 计算机病毒的诊断原理 SHANGHAI JIAO TONG UNIVERSITY 用什么来判断?染毒后的特征 常用方法: 比较法 校验和 扫描法 行为监测法 行为感染试验法 虚拟执行法 陷阱技术 先知扫描 分析法等等 信息安全工程学院
信息安全工程学院 计算机病毒的诊断原理 用什么来判断? 染毒后的特征 常用方法: • 比较法 • 校验和 • 扫描法 • 行为监测法 • 行为感染试验法 • 虚拟执行法 • 陷阱技术 • 先知扫描 • 分析法等等
上游充通大学 比较法 SHANGHAI JIAO TONG UNIVERSITY 比较法是用原始或正常的对象与被检测的对象进行比较。 手工比较法是发现新病毒的必要方法。 比较法又包括: 注册表比较法 ·工具RegMon ·弱点:正常程序也操作注册表 ·文件比较法 ·通常比较文件的长度和内容两个方面 ·工具FileMon ·弱点:长度和内容的变化有时是合法的 病毒可以模糊这种变化 信息安全王程学院
信息安全工程学院 比较法 比较法是用原始或正常的对象与被检测的对象进行比较。 手工比较法是发现新病毒的必要方法。 比较法又包括: • 注册表比较法 • 工具RegMon • 弱点:正常程序也操作注册表 • 文件比较法 • 通常比较文件的长度和内容两个方面 • 工具FileMon • 弱点:长度和内容的变化有时是合法的 病毒可以模糊这种变化
上游充通大学 SHANGHAI JIAO TONG UNIVERSITY ©内存比较法 ·主要针对驻留内存病毒 ·判断驻留特征 中断比较法 ·将正常系统的中断向量与有毒系统的中断向量进行比 较 ©比较法的好处:简单 ©比较法的缺点:无法确认病毒,依赖备份 信息安全王程学院
信息安全工程学院 内存比较法 • 主要针对驻留内存病毒 • 判断驻留特征 中断比较法 • 将正常系统的中断向量与有毒系统的中断向量进行比 较 比较法的好处:简单 比较法的缺点:无法确认病毒,依赖备份
上游充通大兽 校验和法 SHANGHAI JIAO TONG UNIVERSITY ©首先,计算正常文件内容的校验和并且将该校验 和写入某个位置保存。然后,在每次使用文件前 或文件使用过程中,定期地检查文件现在内容算 出的校验和与原来保存的校验和是否一致,从而 可以发现文件是否感染,这种方法叫校验和法, 它既可发现已知病毒又可发现未知病毒。 信息安全工程学院
信息安全工程学院 校验和法 首先,计算正常文件内容的校验和并且将该校验 和写入某个位置保存。然后,在每次使用文件前 或文件使用过程中,定期地检查文件现在内容算 出的校验和与原来保存的校验和是否一致,从而 可以发现文件是否感染,这种方法叫校验和法, 它既可发现已知病毒又可发现未知病毒
上游充通大学 SHANGHAI JIAO TONG UNIVERSITY 优点: ·方法简单 ·能发现未知病毒 ·被查文件的细微变化也能发现 缺点: ·必须预先记录正常态的校验和 ·会误报警 不能识别病毒名称 ·程序执行附加延迟 不对付隐蔽性病毒。 信息安全工程学院
信息安全工程学院 优点: • 方法简单 • 能发现未知病毒 • 被查文件的细微变化也能发现 缺点: • 必须预先记录正常态的校验和 • 会误报警 • 不能识别病毒名称 • 程序执行附加延迟 • 不对付隐蔽性病毒