上海交通大学：《恶意代码与计算机病毒（原理、技术和实践）》课程教学资源（PPT课件）第10章 计算机病毒的防范技术

上游充通大粤 SHANGHAI JIAO TONG UNIVERSITY 计算机病毒的防范技术 刘功申 上海交通大学信息安全工程学院 1B三5

计算机病毒的防范技术 刘功申 上海交通大学信息安全工程学院

上游充通大学 本章学习目标 SHANGHAI JIAO TONG UNIVERSITY ©掌握计算机病毒诊断知识 掌握计算机病毒防范思路 ©理解计算机病毒清除知识 ©掌握数据备份和数据恢复 信息安全工程学院

信息安全工程学院 本章学习目标 掌握计算机病毒诊断知识 掌握计算机病毒防范思路 理解计算机病毒清除知识 掌握数据备份和数据恢复

上海充通大学一、计算机病毒防治技术的现状 SHANGHAI JIAO TONG UNIVERSITY 技术反思 ·一次一次的大面积发生 缺陷 ·永无止境的服务 ·库、培训、指导等 ● 未知病毒发现 ·有限未知 0 病毒清除的准确性 ·从恢复的角度来考虑 信息安全王程学院

信息安全工程学院 一、计算机病毒防治技术的现状 技术反思 • 一次一次的大面积发生 缺陷 • 永无止境的服务 • 库、培训、指导等 • 未知病毒发现 • 有限未知 • 病毒清除的准确性 • 从恢复的角度来考虑

上游充通大兽 二、计算机病毒的防范思路 SHANGHAI JIAO TONG UNIVERSITY ©防治技术概括成6个层次： ·检测 ·清除 ·预防 ·被动防治 ·免疫 ·主动防治 。 数据备份及恢复 ·计算机病毒防范策略 信息安全工程学院

信息安全工程学院 二、计算机病毒的防范思路 防治技术概括成6个层次： • 检测 • 清除 • 预防 • 被动防治 • 免疫 • 主动防治 • 数据备份及恢复 • 计算机病毒防范策略

上游充通大学 三计算机病毒的检测 SHANGHAI JIAO TONG UNIVERSITY ©计算机病毒的诊断原理 ④计算机病毒的诊断方法 高速模式匹配 ©自动诊断的源码分析 信息安全王程学院

信息安全工程学院 三 计算机病毒的检测 计算机病毒的诊断原理 计算机病毒的诊断方法 高速模式匹配 自动诊断的源码分析

上游充通大兽 计算机病毒的诊断原理 SHANGHAI JIAO TONG UNIVERSITY 用什么来判断？染毒后的特征 常用方法： 比较法 校验和 扫描法 行为监测法 行为感染试验法 虚拟执行法 陷阱技术 先知扫描 分析法等等 信息安全工程学院

信息安全工程学院 计算机病毒的诊断原理 用什么来判断？ 染毒后的特征 常用方法： • 比较法 • 校验和 • 扫描法 • 行为监测法 • 行为感染试验法 • 虚拟执行法 • 陷阱技术 • 先知扫描 • 分析法等等

上游充通大学 比较法 SHANGHAI JIAO TONG UNIVERSITY 比较法是用原始或正常的对象与被检测的对象进行比较。 手工比较法是发现新病毒的必要方法。 比较法又包括： 注册表比较法 ·工具RegMon ·弱点：正常程序也操作注册表 ·文件比较法 ·通常比较文件的长度和内容两个方面 ·工具FileMon ·弱点：长度和内容的变化有时是合法的 病毒可以模糊这种变化 信息安全王程学院

信息安全工程学院 比较法 比较法是用原始或正常的对象与被检测的对象进行比较。 手工比较法是发现新病毒的必要方法。 比较法又包括： • 注册表比较法 • 工具RegMon • 弱点:正常程序也操作注册表 • 文件比较法 • 通常比较文件的长度和内容两个方面 • 工具FileMon • 弱点：长度和内容的变化有时是合法的 病毒可以模糊这种变化

上游充通大学 SHANGHAI JIAO TONG UNIVERSITY ©内存比较法 ·主要针对驻留内存病毒 ·判断驻留特征 中断比较法 ·将正常系统的中断向量与有毒系统的中断向量进行比 较 ©比较法的好处：简单 ©比较法的缺点：无法确认病毒，依赖备份 信息安全王程学院

信息安全工程学院 内存比较法 • 主要针对驻留内存病毒 • 判断驻留特征 中断比较法 • 将正常系统的中断向量与有毒系统的中断向量进行比 较 比较法的好处：简单 比较法的缺点：无法确认病毒，依赖备份

上游充通大兽 校验和法 SHANGHAI JIAO TONG UNIVERSITY ©首先，计算正常文件内容的校验和并且将该校验 和写入某个位置保存。然后，在每次使用文件前 或文件使用过程中，定期地检查文件现在内容算 出的校验和与原来保存的校验和是否一致，从而 可以发现文件是否感染，这种方法叫校验和法， 它既可发现已知病毒又可发现未知病毒。 信息安全工程学院

信息安全工程学院 校验和法 首先，计算正常文件内容的校验和并且将该校验 和写入某个位置保存。然后，在每次使用文件前 或文件使用过程中，定期地检查文件现在内容算 出的校验和与原来保存的校验和是否一致，从而 可以发现文件是否感染，这种方法叫校验和法， 它既可发现已知病毒又可发现未知病毒

上游充通大学 SHANGHAI JIAO TONG UNIVERSITY 优点： ·方法简单 ·能发现未知病毒 ·被查文件的细微变化也能发现 缺点： ·必须预先记录正常态的校验和 ·会误报警 不能识别病毒名称 ·程序执行附加延迟 不对付隐蔽性病毒。 信息安全工程学院

信息安全工程学院 优点： • 方法简单 • 能发现未知病毒 • 被查文件的细微变化也能发现 缺点： • 必须预先记录正常态的校验和 • 会误报警 • 不能识别病毒名称 • 程序执行附加延迟 • 不对付隐蔽性病毒