上海交通大学：《计算机病毒原理》课程教学资源（PPT课件讲稿）第九章 计算机病毒查杀方法

计算机病毒查杀 上海交通大学信息安全工程学院

计算机病毒查杀 上海交通大学信息安全工程学院

本章学习目标 掌握计算机病毒诊断知识 掌握杀毒引擎扫描算法 ·了解病毒诊断实验 理解计算机病毒清除知识

本章学习目标 • 掌握计算机病毒诊断知识 • 掌握杀毒引擎扫描算法 • 了解病毒诊断实验 • 理解计算机病毒清除知识

本章内容: ·计算机病毒的诊断 原理 方法 源码分析 计算机病毒的清除 典型病毒的查杀

本章内容： • 计算机病毒的诊断 – 原理 – 方法 – 源码分析 • 计算机病毒的清除 • 典型病毒的查杀

1计算机病毒的诊断 内容: ·计算机病毒的诊断原理 ·计算机病毒的诊断方法 高速模式匹配 自动诊断的源码分析

1 计算机病毒的诊断 内容： • 计算机病毒的诊断原理 • 计算机病毒的诊断方法 • 高速模式匹配 • 自动诊断的源码分析

计算机病毒的诊断原理 用什么来判断?染毒后的特征 ·常用方法: 比较法 校验和 扫描法 行为监测法 行为感染试验法 虚拟执行法 陷阱技术 先知扫描 分析法等等

计算机病毒的诊断原理 • 用什么来判断？ 染毒后的特征 • 常用方法： – 比较法 – 校验和 – 扫描法 – 行为监测法 – 行为感染试验法 – 虚拟执行法 – 陷阱技术 – 先知扫描 – 分析法等等

比较法 比较法是用原始或正常的对象与被检测的对象进 比较。 ·手工比较法是发现新病毒的必要方法 比较法又包括: 注册表比较法 工具 RegMon 弱点正常程序也操作注册表 文件比较法 通常比较文件的长度和内容两个方面 工具 FileMon 弱点:长度和内容的变化有时是合法的 病毒可以模糊这种变化

比较法 • 比较法是用原始或正常的对象与被检测的对象进 行比较。 • 手工比较法是发现新病毒的必要方法。 • 比较法又包括： – 注册表比较法 • 工具RegMon • 弱点:正常程序也操作注册表 – 文件比较法 • 通常比较文件的长度和内容两个方面 • 工具FileMon • 弱点：长度和内容的变化有时是合法的 病毒可以模糊这种变化

·内存比较法 主要针对驻留内存病毒 判断驻留特征 ·中断比较法 将正常系统的中断向量与有毒系统的中断向量 进行比较 比较法的好处:简单 比较法的缺点:无法确认病毒,依赖备份

• 内存比较法 – 主要针对驻留内存病毒 – 判断驻留特征 • 中断比较法 – 将正常系统的中断向量与有毒系统的中断向量 进行比较 • 比较法的好处：简单 • 比较法的缺点：无法确认病毒，依赖备份

校验和法 首先,计算正常文件内容的校验和并且将 该校验和写入某个位置保存。然后,在每 次使用文件前或文件使用过程中,定期地 检査文件现在内容算出的校验和与原来保 存的校验和是否一致,从而可以发现文件 是否感染,这种方法叫校验和法,它既可 发现已知病毒又可发现未知病毒

校验和法 • 首先，计算正常文件内容的校验和并且将 该校验和写入某个位置保存。然后，在每 次使用文件前或文件使用过程中，定期地 检查文件现在内容算出的校验和与原来保 存的校验和是否一致，从而可以发现文件 是否感染，这种方法叫校验和法，它既可 发现已知病毒又可发现未知病毒

·优点: 方法简单 能发现未知病毒 被査文件的细微变化也能发现 缺点: 必须预先记录正常态的校验和 会误报警 不能识别病毒名称 程序执行附加延迟 不对付隐蔽性病毒

• 优点： – 方法简单 – 能发现未知病毒 – 被查文件的细微变化也能发现 • 缺点： – 必须预先记录正常态的校验和 – 会误报警 – 不能识别病毒名称 – 程序执行附加延迟 – 不对付隐蔽性病毒

扫描法 扫描法是用每一种病毒体含有的特定字符 串( Signature)对被检测的对象进行扫描。 如果在被检测对象内部发现了某一种特定 字符串,就表明发现了该字符串所代表的 病毒。 扫描器由两部分组成: 特征串( Signature)和扫描算法( Scanner)

扫描法 • 扫描法是用每一种病毒体含有的特定字符 串（Signature）对被检测的对象进行扫描。 如果在被检测对象内部发现了某一种特定 字符串，就表明发现了该字符串所代表的 病毒。 • 扫描器由两部分组成： – 特征串（Signature）和扫描算法（Scanner）