上海交通大学：《计算机病毒原理》课程教学资源（PPT课件讲稿）第十章 计算机病毒防治技术

计算机病毒防治技术 上海交通大学信息安全工程学院

计算机病毒防治技术 上海交通大学信息安全工程学院

本章的学习目标 了解计算机病毒防治的现状 掌握常用病毒防治技术 ·了解病毒防治技术的缺陷 ·掌握典型病毒防治方法

本章的学习目标 • 了解计算机病毒防治的现状 • 掌握常用病毒防治技术 • 了解病毒防治技术的缺陷 • 掌握典型病毒防治方法

防治技术概括成四个方面: 检测 清除 预防 被动防治 免疫 主动防治

• 防治技术概括成四个方面： – 检测 – 清除 – 预防 • 被动防治 – 免疫 • 主动防治

本章内容 ·病毒防治技术现状 ·目前的流行技术 ·病毒防治技术的缺陷 数据备份与数据恢复 ·驱动程序设计

本章内容 • 病毒防治技术现状 • 目前的流行技术 • 病毒防治技术的缺陷 • 数据备份与数据恢复 • 驱动程序设计

病毒防治技术现状 防病毒产品的历史 对一的防病毒产品 防病毒卡 自身不被感染 ·但不能清楚磁盘病毒 90年代中期,查杀防合 90年代末期开始,推出了实时防病毒产品

病毒防治技术现状 • 防病毒产品的历史 – 一对一的防病毒产品 – 防病毒卡 • 自身不被感染 • 但不能清楚磁盘病毒 – 90年代中期，查杀防合一 – 90年代末期开始，推出了实时防病毒产品

新时期的防病毒产品趋势 反黑客技术与反病毒技术相结合 从入口拦截病毒(网络入口、系统入口) 全面解决方案 个性化定制(后期服务) 区域化到国际化

• 新时期的防病毒产品趋势 – 反黑客技术与反病毒技术相结合 – 从入口拦截病毒（网络入口、系统入口） – 全面解决方案 – 个性化定制（后期服务） – 区域化到国际化

病毒防治技术的几个阶段 代尿病森技术取单纯的病毒特征诊断,但是对加密、 第二代反病毒技术釆用静态广谱特征扫描技术,可以检测变 形病毒,但是误报率髙,杀毒岚险大。 第三代反病毒技术将静态扫描技术和动态仿真跟踪技术相结 ·第四代反病毒技术基于多位CRC校验和扫描机理、启发式智 能代码分析模块、动态数据还原模块(能査岀隐蔽性极强的 压缩加密文件中的病毒)、内存解毒模块、自身免疫模块等 先进解毒技术,能够较好地完成査解毒的任务 第五代反病毒技术主要体现在反蠕虫病毒、恶意代码、邮件 病毒等技术。这一代反病毒技术作为一种整体解决方案出现, 形成了包括漏洞扫描、病毒査杀、实时监控、数据备份、个 人防火墙等技术的立体病毒防治体系

病毒防治技术的几个阶段 • 第一代反病毒技术采取单纯的病毒特征诊断，但是对加密、 变形的新一代病毒无能为力。 • 第二代反病毒技术采用静态广谱特征扫描技术，可以检测变 形病毒，但是误报率高，杀毒风险大。 • 第三代反病毒技术将静态扫描技术和动态仿真跟踪技术相结 合。 • 第四代反病毒技术基于多位CRC校验和扫描机理、启发式智 能代码分析模块、动态数据还原模块（能查出隐蔽性极强的 压缩加密文件中的病毒）、内存解毒模块、自身免疫模块等 先进解毒技术，能够较好地完成查解毒的任务。 • 第五代反病毒技术主要体现在反蠕虫病毒、恶意代码、邮件 病毒等技术。这一代反病毒技术作为一种整体解决方案出现， 形成了包括漏洞扫描、病毒查杀、实时监控、数据备份、个 人防火墙等技术的立体病毒防治体系

目前的流行技术 虚拟机技术 宏指纹识别技术 驱动程序技术 ·计算机监控技术 数字免疫系统 ·网络病毒防御技术 ·立体防毒技术

目前的流行技术 • 虚拟机技术 • 宏指纹识别技术 • 驱动程序技术 • 计算机监控技术 • 数字免疫系统 • 网络病毒防御技术 • 立体防毒技术 • ……

虚拟机技术 接近于人工分析的过程 原理 用程序代码虚拟出一个CPU来,同样也虚拟 CPU的各个寄存器,甚至将硬件端口也虚拟出 来,用调试程序调入“病毒样本”并将每一个 语句放到虚拟环境中执行,这样我们就可以通 过内存和寄存器以及端口的变化来了解程序的 执行,从而判断是否中毒。 加密、变形等病毒

虚拟机技术 • 接近于人工分析的过程 • 原理 – 用程序代码虚拟出一个CPU来，同样也虚拟 CPU的各个寄存器，甚至将硬件端口也虚拟出 来，用调试程序调入“病毒样本”并将每一个 语句放到虚拟环境中执行，这样我们就可以通 过内存和寄存器以及端口的变化来了解程序的 执行，从而判断是否中毒。 • 加密、变形等病毒

·主要执行过程: 在査杀病毒时,在机器虚拟内存中模拟出一个“指令 执行虚拟机器”; 在虚拟杋环境中虚拟执行(不会被实际执行)可疑带 毒文件; 在执行过程中,从虚拟杋环境内截获文件数据,如果 含有可疑病毒代码,则说明发现了病毒 杀毒过程是在虚拟环境下摘除可疑代码,然后将其还 原到原文件中,从而实现对各类可执行文件内病毒的 杀除

• 主要执行过程： – 在查杀病毒时，在机器虚拟内存中模拟出一个“指令 执行虚拟机器”； – 在虚拟机环境中虚拟执行（不会被实际执行）可疑带 毒文件； – 在执行过程中，从虚拟机环境内截获文件数据，如果 含有可疑病毒代码，则说明发现了病毒。 – 杀毒过程是在虚拟环境下摘除可疑代码，然后将其还 原到原文件中，从而实现对各类可执行文件内病毒的 杀除