计算机病毒的检测清除和免疫培训ppt课件

资源描述

计算机病毒的检测清除和免疫计算机病毒的检测清除和免疫0计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 1主要内容主要内容u计算机病毒的防范措施计算机病毒的防范措施u计算机病毒的检测技术与原理计算机病毒的检测技术与原理u启发式查毒技术启发式查毒技术u虚拟机查毒技术虚拟机查毒技术u实时监控技术实时监控技术u引导型病毒的清除引导型病毒的清除u文件型病毒的清除文件型病毒的清除u计算机病毒的免疫方法计算机病毒的免疫方法第第9 9章章计算机病毒的检测、清除与免疫计算机病毒的检测、清除与免疫1计算机病毒的检测清除和免疫主要内容计算机病毒的防范措施第9章计算机病毒的检测、清除1计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 29.1.1 反病毒技术的产生与发展简介反病毒技术的产生与发展简介u反病毒技术应运而生，并在与病毒对抗的过程中不断发展反病毒技术应运而生，并在与病毒对抗的过程中不断发展8 从从“消毒软件消毒软件”到到“防毒卡防毒卡”8“查杀防三合一查杀防三合一”实时反病毒软件的诞生实时反病毒软件的诞生u反病毒技术的发展历程反病毒技术的发展历程8第一代反病毒技术第一代反病毒技术采用单纯的病毒特征代码分析，清除染毒文件中的病毒采用单纯的病毒特征代码分析，清除染毒文件中的病毒8第二代反病毒技术第二代反病毒技术采用静态广谱特征扫描技术检测病毒，可以检测变形病毒，采用静态广谱特征扫描技术检测病毒，可以检测变形病毒，但是误报率高但是误报率高8第三代反病毒技术第三代反病毒技术将静态扫描技术和动态仿真跟踪技术结合起来，将查找病将静态扫描技术和动态仿真跟踪技术结合起来，将查找病毒和清除病毒合二为一毒和清除病毒合二为一8第四代反病毒技术第四代反病毒技术9.1 9.1 反病毒技术综述反病毒技术综述2计算机病毒的检测清除和免疫9.1.1 反病毒技术的产生与发展简介反病毒技术应运而生，2计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 39.1.1 反病毒技术的产生与发展简介反病毒技术的产生与发展简介基于病毒家族体系的命名规则、基于多位基于病毒家族体系的命名规则、基于多位CRC校校验和扫描机理、启发式智能代码分析模块、动态验和扫描机理、启发式智能代码分析模块、动态数据还原模块数据还原模块(能查出隐蔽性极强的压缩加密文件能查出隐蔽性极强的压缩加密文件中的病毒中的病毒)、内存解毒模块、自身免疫模块等先进、内存解毒模块、自身免疫模块等先进的解毒技术，较好的解决了以前防毒技术顾此失的解毒技术，较好的解决了以前防毒技术顾此失彼、此消彼长的状态，能够较好地完成查毒、解彼、此消彼长的状态，能够较好地完成查毒、解毒的任务毒的任务9.1 9.1 反病毒技术综述反病毒技术综述3计算机病毒的检测清除和免疫9.1.1 反病毒技术的产生与发展简介基于病毒家族体系的命3计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 49.1.2 计算机病毒防治技术的划分计算机病毒防治技术的划分u计算机病毒的防治技术分成四个方面计算机病毒的防治技术分成四个方面8病毒预防技术病毒预防技术8病毒检测技术病毒检测技术8病毒消除技术病毒消除技术8病毒免疫技术病毒免疫技术u除了免疫技术因目前找不到通用的免疫方法而进展除了免疫技术因目前找不到通用的免疫方法而进展不大之外，其他三项技术都有相当的进展不大之外，其他三项技术都有相当的进展9.1 9.1 反病毒技术综述反病毒技术综述4计算机病毒的检测清除和免疫9.1.2 计算机病毒防治技术的划分计算机病毒的防治技术分4计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 59.1.3 主动内核主动内核(Active K)技术与实时监视技术与实时监视u传统的反病毒技术，基于被动式的防御理念传统的反病毒技术，基于被动式的防御理念8这种理念最大的缺点在于将防治病毒的基础建立这种理念最大的缺点在于将防治病毒的基础建立在病毒侵入操作系统或网络系统以后，作为上层在病毒侵入操作系统或网络系统以后，作为上层应用软件的反病毒产品，才能借助于操作系统或应用软件的反病毒产品，才能借助于操作系统或网络系统所提供的功能来被动地防治病毒网络系统所提供的功能来被动地防治病毒u主动内核主动内核(Active K)技术，是在操作系统和网络的技术，是在操作系统和网络的内核中嵌入反病毒功能，使反病毒成为系统本身的内核中嵌入反病毒功能，使反病毒成为系统本身的底层模块，实现各种反毒模块与操作系统和网络无底层模块，实现各种反毒模块与操作系统和网络无缝连接，而不是一个系统外部的应用软件缝连接，而不是一个系统外部的应用软件u主动内核技术能够在病毒突破计算机系统软、硬件主动内核技术能够在病毒突破计算机系统软、硬件的瞬间发生作用的瞬间发生作用9.1 9.1 反病毒技术综述反病毒技术综述5计算机病毒的检测清除和免疫9.1.3 主动内核(Active K)技术与实时监视传统5计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 69.1.4 自动解压缩技术自动解压缩技术u检查压缩文件中的病毒，首先必须搞清压缩文件的检查压缩文件中的病毒，首先必须搞清压缩文件的压缩算法，尔后根据压缩算法将病毒码压缩成病毒压缩算法，尔后根据压缩算法将病毒码压缩成病毒压缩码，最后根据病毒压缩码在压缩文件中查找压缩码，最后根据病毒压缩码在压缩文件中查找u还有另一种检查压缩文件中病毒的方法，是在搞清还有另一种检查压缩文件中病毒的方法，是在搞清压缩文件的压缩算法和解压缩算法的基础上，先解压缩文件的压缩算法和解压缩算法的基础上，先解压缩文件，尔后检查病毒码，最后将文件还原压缩压缩文件，尔后检查病毒码，最后将文件还原压缩9.1 9.1 反病毒技术综述反病毒技术综述6计算机病毒的检测清除和免疫9.1.4 自动解压缩技术检查压缩文件中的病毒，首先必须搞6计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 79.2.1 计算机病毒防范的概念计算机病毒防范的概念u计算机病毒防范，是指通过建立合理的计算机病毒计算机病毒防范，是指通过建立合理的计算机病毒防范体系和制度，及时发现计算机病毒侵入，并采防范体系和制度，及时发现计算机病毒侵入，并采取有效的手段阻止计算机病毒的传播和破坏，恢复取有效的手段阻止计算机病毒的传播和破坏，恢复受影响的计算机系统和数据受影响的计算机系统和数据u计算机病毒能利用读写文件进行感染，利用驻留内计算机病毒能利用读写文件进行感染，利用驻留内存、截取中断向量等方式能进行传染和破坏。预防存、截取中断向量等方式能进行传染和破坏。预防计算机病毒就是要监视、跟踪系统内类似的操作，计算机病毒就是要监视、跟踪系统内类似的操作，提供对系统的保护，最大限度地避免各种计算机病提供对系统的保护，最大限度地避免各种计算机病毒的传染破坏毒的传染破坏9.2 9.2 计算机病毒的防范策略计算机病毒的防范策略7计算机病毒的检测清除和免疫9.2.1 计算机病毒防范的概念计算机病毒防范，是指通过建7计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 89.2.2 必须具有的安全意识必须具有的安全意识u对计算机病毒应持有如下态度：对计算机病毒应持有如下态度：8承认计算机病毒的客观存在承认计算机病毒的客观存在8应该具有安全意识，积极采取预防措施，堵塞计应该具有安全意识，积极采取预防措施，堵塞计算机病毒的传染途径算机病毒的传染途径8不惧怕病毒，树立必胜的信念；发现病毒，冷静不惧怕病毒，树立必胜的信念；发现病毒，冷静处理处理9.2 9.2 计算机病毒的防范策略计算机病毒的防范策略8计算机病毒的检测清除和免疫9.2.2 必须具有的安全意识对计算机病毒应持有如下态度：8计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 99.2.3 预防计算机病毒的一般措施预防计算机病毒的一般措施u计算机病毒的预防措施可概括为两点计算机病毒的预防措施可概括为两点8勤备份勤备份8严防守严防守9.2 9.2 计算机病毒的防范策略计算机病毒的防范策略9计算机病毒的检测清除和免疫9.2.3 预防计算机病毒的一般措施计算机病毒的预防措施可9计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 109.3.1 病毒检测方法综述病毒检测方法综述u检测计算机病毒的方法有两种检测计算机病毒的方法有两种8手工检测手工检测利用利用Debug、PCTools、SysInfo、WinHex等工具软件进等工具软件进行病毒的检测行病毒的检测这种方法比较复杂，费时费力这种方法比较复杂，费时费力可以剖析病毒、可以检测一些自动检测工具不能识别的新可以剖析病毒、可以检测一些自动检测工具不能识别的新病毒病毒8自动检测自动检测利用一些专业诊断软件来判断引导扇区、磁盘文件是否有利用一些专业诊断软件来判断引导扇区、磁盘文件是否有毒的方法毒的方法自动检测比较简单，一般用户都可以进行，但需要较好的自动检测比较简单，一般用户都可以进行，但需要较好的诊断软件诊断软件可方便地检测大量的病毒，自动检测工具的发展总是滞后可方便地检测大量的病毒，自动检测工具的发展总是滞后于病毒的发展于病毒的发展9.3 9.3 计算机病毒的诊断方法及其原理计算机病毒的诊断方法及其原理10计算机病毒的检测清除和免疫9.3.1 病毒检测方法综述检测计算机病毒的方法有两种9.10计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 119.3.2 比较法诊断的原理比较法诊断的原理u比较法是用原始的正常备份与被检测的内容比较法是用原始的正常备份与被检测的内容(引导扇引导扇区或被检测的文件区或被检测的文件)进行比较进行比较8长度比较法长度比较法8内容比较法内容比较法8内存比较法内存比较法8中断比较法中断比较法9.3 9.3 计算机病毒的诊断方法及其原理计算机病毒的诊断方法及其原理11计算机病毒的检测清除和免疫9.3.2 比较法诊断的原理比较法是用原始的正常备份与被检11计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 129.3.3 校验和法诊断的原理校验和法诊断的原理u根据正常文件的信息根据正常文件的信息(包括文件名称、大小、时间、日期及包括文件名称、大小、时间、日期及内容内容)，计算其校验和，将该校验和写入文件中或写入其他，计算其校验和，将该校验和写入文件中或写入其他文件文件(资料库资料库)中保存中保存u在文件使用过程中，定期地或每次使用文件前，检查文件现在文件使用过程中，定期地或每次使用文件前，检查文件现有信息算出的校验和与原来保存的校验和是否一致，因而可有信息算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否已被感染以发现文件是否已被感染u运用校验和法查病毒一般采用三种方式运用校验和法查病毒一般采用三种方式8在检测病毒工具中纳入校验和法，对被查的对象文件计算在检测病毒工具中纳入校验和法，对被查的对象文件计算其正常状态的校验和，将校验和值写入被查文件中或检测其正常状态的校验和，将校验和值写入被查文件中或检测工具中，而后进行比较工具中，而后进行比较8在应用程序中，放入校验和法自我检查功能，将文件正常在应用程序中，放入校验和法自我检查功能，将文件正常状态的校验和写入文件本身中，每当应用程序启动时，比状态的校验和写入文件本身中，每当应用程序启动时，比较现行校验和与原校验和值，实现应用程序的自检测较现行校验和与原校验和值，实现应用程序的自检测8将校验和检查程序常驻内存，每当应用程序开始运行时，将校验和检查程序常驻内存，每当应用程序开始运行时，自动比较检查应用程序内部或其他文件中预先保存的校验自动比较检查应用程序内部或其他文件中预先保存的校验和和9.3 9.3 计算机病毒的诊断方法及其原理计算机病毒的诊断方法及其原理12计算机病毒的检测清除和免疫9.3.3 校验和法诊断的原理根据正常文件的信息(包括文件12计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 139.3.4 扫描法诊断的原理扫描法诊断的原理u扫描法是用每一种病毒体含有的特定病毒码扫描法是用每一种病毒体含有的特定病毒码(Virus Pattern)对被检测的对象进行扫描。如果在被检测对被检测的对象进行扫描。如果在被检测对象内部发现了某一种特定病毒码，就表明发现了对象内部发现了某一种特定病毒码，就表明发现了该病毒码所代表的病毒该病毒码所代表的病毒8特征代码扫描法特征代码扫描法8特征字扫描法特征字扫描法9.3 9.3 计算机病毒的诊断方法及其原理计算机病毒的诊断方法及其原理13计算机病毒的检测清除和免疫9.3.4 扫描法诊断的原理扫描法是用每一种病毒体含有的特13计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 149.3.5 行为监测法诊断的原理行为监测法诊断的原理u利用病毒的特有行为特性监测病毒的方法，称为行利用病毒的特有行为特性监测病毒的方法，称为行为监测法，也称为人工智能陷阱法为监测法，也称为人工智能陷阱法u通过对病毒多年的观察、研究，人们发现病毒有一通过对病毒多年的观察、研究，人们发现病毒有一些行为，是病毒的共同行为，而且比较特殊，在正些行为，是病毒的共同行为，而且比较特殊，在正常程序中，这些行为比较罕见。当程序运行时，监常程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警视其行为，如果发现了病毒行为，立即报警8占用占用INT 13H8修改修改DOS系统数据区的内存总量系统数据区的内存总量8对可执行文件做写入动作对可执行文件做写入动作8病毒程序与宿主程序的切换病毒程序与宿主程序的切换9.3 9.3 计算机病毒的诊断方法及其原理计算机病毒的诊断方法及其原理14计算机病毒的检测清除和免疫9.3.5 行为监测法诊断的原理利用病毒的特有行为特性监测14计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 159.3.6 感染实验法诊断的原理感染实验法诊断的原理u这种方法的原理是利用了病毒的最重要的基本特征：这种方法的原理是利用了病毒的最重要的基本特征：感染特性感染特性8检测未知引导型病毒的感染实验法检测未知引导型病毒的感染实验法8检测未知文件型病毒的感染实验法检测未知文件型病毒的感染实验法9.3 9.3 计算机病毒的诊断方法及其原理计算机病毒的诊断方法及其原理15计算机病毒的检测清除和免疫9.3.6 感染实验法诊断的原理这种方法的原理是利用了病毒15计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 169.3.7 软件模拟法诊断的原理软件模拟法诊断的原理u软件模拟软件模拟(Software Emulation)法法(即后文中将详细即后文中将详细介绍的虚拟机对抗病毒技术介绍的虚拟机对抗病毒技术)，是一种软件分析器，是一种软件分析器，用软件方法来模拟和分析程序的运行：模拟用软件方法来模拟和分析程序的运行：模拟CPU执执行，在其设计的虚拟机器行，在其设计的虚拟机器(Virtual Machine)下假执下假执行病毒的变体引擎解码程序，安全并确实地将多态行病毒的变体引擎解码程序，安全并确实地将多态病毒解开，使其显露真实面目，再加以扫描病毒解开，使其显露真实面目，再加以扫描u主要用于检测多态型病毒主要用于检测多态型病毒9.3 9.3 计算机病毒的诊断方法及其原理计算机病毒的诊断方法及其原理16计算机病毒的检测清除和免疫9.3.7 软件模拟法诊断的原理软件模拟(Software16计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 179.3.8 分析法诊断的原理分析法诊断的原理u使用分析法的人一般不是普通用户，而是反病毒技术人员使用分析法的人一般不是普通用户，而是反病毒技术人员u使用分析法的目的在于：使用分析法的目的在于：8确认被观察的引导扇区和程序中是否含有病毒确认被观察的引导扇区和程序中是否含有病毒8确认病毒的类型和种类，判定其是否是一种新病毒确认病毒的类型和种类，判定其是否是一种新病毒8搞清楚病毒体的大致结构，提取特征识别用的字符串或特搞清楚病毒体的大致结构，提取特征识别用的字符串或特征字，并增添到病毒代码库供病毒扫描和识别程序使用征字，并增添到病毒代码库供病毒扫描和识别程序使用8详细分析病毒代码，为制定相应的反病毒措施制定方案详细分析病毒代码，为制定相应的反病毒措施制定方案u上述四个目的按顺序排列起来，正好大致是使用分析法的工上述四个目的按顺序排列起来，正好大致是使用分析法的工作顺序作顺序u使用分析法要求具有比较全面的计算机体系结构、操作系统使用分析法要求具有比较全面的计算机体系结构、操作系统以及有关病毒技术的各种知识以及有关病毒技术的各种知识9.3 9.3 计算机病毒的诊断方法及其原理计算机病毒的诊断方法及其原理17计算机病毒的检测清除和免疫9.3.8 分析法诊断的原理使用分析法的人一般不是普通用户17计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 18简介简介u启发式代码扫描技术源于人工智能技术，是基于给启发式代码扫描技术源于人工智能技术，是基于给定的判断规则和定义的扫描技术，若发现被扫描程定的判断规则和定义的扫描技术，若发现被扫描程序中存在可疑的程序功能指令，则作出存在病毒的序中存在可疑的程序功能指令，则作出存在病毒的预警或判断预警或判断u启发式代码分析扫描技术是对传统的特征代码扫描启发式代码分析扫描技术是对传统的特征代码扫描法查毒技术的改进法查毒技术的改进u在特征代码扫描技术的基础上，利用对病毒代码的在特征代码扫描技术的基础上，利用对病毒代码的分析，获得一些统计的、静态的启发式知识，形成分析，获得一些统计的、静态的启发式知识，形成一种静态的启发式代码扫描分析技术一种静态的启发式代码扫描分析技术9.4 9.4 启发式代码扫描技术启发式代码扫描技术18计算机病毒的检测清除和免疫简介启发式代码扫描技术源于人工智能技术，是基于给定的判断规则18计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 199.4.1 启发式代码扫描的基本原理启发式代码扫描的基本原理u病毒和正常程序的区别可以体现在许多方面，比较病毒和正常程序的区别可以体现在许多方面，比较常见的如通常一个应用程序在最初的指令是检查命常见的如通常一个应用程序在最初的指令是检查命令行输入有无参数项、清屏和保存原来屏幕显示等，令行输入有无参数项、清屏和保存原来屏幕显示等，而病毒程序则从来不会这样做，它通常最初的指令而病毒程序则从来不会这样做，它通常最初的指令是直接写盘操作、解码指令，或搜索某路径下的可是直接写盘操作、解码指令，或搜索某路径下的可执行程序等相关操作指令序列执行程序等相关操作指令序列u这些显著的不同之处，一个熟练的程序员在调试状这些显著的不同之处，一个熟练的程序员在调试状态下只需一瞥便可一目了然态下只需一瞥便可一目了然u启发式代码扫描技术实际上就是把人类的这种经验启发式代码扫描技术实际上就是把人类的这种经验和知识移植到一个查病毒软件中的具体程序体现和知识移植到一个查病毒软件中的具体程序体现9.4 9.4 启发式代码扫描技术启发式代码扫描技术19计算机病毒的检测清除和免疫9.4.1 启发式代码扫描的基本原理病毒和正常程序的区别可19计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 209.4.2 可疑程序功能及其权值与相应标志可疑程序功能及其权值与相应标志u可疑程序功能的权值与报警标准可疑程序功能的权值与报警标准8对以下可疑的程序代码指令序列按照安全和可疑的等级进对以下可疑的程序代码指令序列按照安全和可疑的等级进行排序，根据病毒可能使用和具备的特点而授以不同的加行排序，根据病毒可能使用和具备的特点而授以不同的加权值权值格式化磁盘操作格式化磁盘操作搜索和定位各种可执行程序的操作搜索和定位各种可执行程序的操作实现驻留内存的操作实现驻留内存的操作调用非常的或未公开的系统功能调用非常的或未公开的系统功能子程序调用中只执行入栈操作子程序调用中只执行入栈操作8如果一个程序的加权值的总和超过一个事先定义的阀值，如果一个程序的加权值的总和超过一个事先定义的阀值，那么，病毒检测程序就可以声称那么，病毒检测程序就可以声称“发现病毒发现病毒”；仅仅一项可；仅仅一项可疑的功能操作远不足以触发疑的功能操作远不足以触发“病毒报警病毒报警”的装置的装置8为了避免为了避免“狼来了狼来了”的谎报和虚报，病毒检测程序常把多种的谎报和虚报，病毒检测程序常把多种可疑功能操作同时并发的情况定为发现病毒的报警标准可疑功能操作同时并发的情况定为发现病毒的报警标准9.4 9.4 启发式代码扫描技术启发式代码扫描技术20计算机病毒的检测清除和免疫9.4.2 可疑程序功能及其权值与相应标志可疑程序功能的权20计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 219.4.3 关于虚警关于虚警(谎报谎报)u启发式扫描技术有时也会把一个本无病毒的程序判启发式扫描技术有时也会把一个本无病毒的程序判断为染毒程序，这就是所谓的查毒程序虚警或谎报断为染毒程序，这就是所谓的查毒程序虚警或谎报现象现象u减少和避免误报减少和避免误报(谎报谎报)，必须努力做好以下几点，必须努力做好以下几点8准确把握病毒行为，精确定义可疑功能调用集合，准确把握病毒行为，精确定义可疑功能调用集合，除非满足两个以上的病毒重要特征，否则不予报除非满足两个以上的病毒重要特征，否则不予报警警8增强对常规正常程序的识别能力增强对常规正常程序的识别能力8增强对特定程序的识别能力增强对特定程序的识别能力8类似类似“无罪假定无罪假定”的功能，首先假定程序和计算机的功能，首先假定程序和计算机是不含病毒的。许多启发式代码分析检毒软件具是不含病毒的。许多启发式代码分析检毒软件具有自学习功能，能够记忆那些并非病毒的文件并有自学习功能，能够记忆那些并非病毒的文件并在以后的检测过程中避免再报警在以后的检测过程中避免再报警9.4 9.4 启发式代码扫描技术启发式代码扫描技术21计算机病毒的检测清除和免疫9.4.3 关于虚警(谎报)启发式扫描技术有时也会把一个本21计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 229.4.4 传统扫描技术与启发式扫描技术的结合传统扫描技术与启发式扫描技术的结合u传统的扫描技术基于对已知病毒的分析和研究，在传统的扫描技术基于对已知病毒的分析和研究，在检测时能够更准确、减少误报；但如果是对待此前检测时能够更准确、减少误报；但如果是对待此前根本没有出现过的新病毒，由于其知识库并不存在根本没有出现过的新病毒，由于其知识库并不存在该类该类(种种)病毒的特征数据，则有可能产生漏报的严病毒的特征数据，则有可能产生漏报的严重后果重后果u基于规则和定义的启发式代码分析技术则可以使新基于规则和定义的启发式代码分析技术则可以使新病毒不至于成为漏网之鱼病毒不至于成为漏网之鱼u传统扫描技术与启发式扫描技术的结合，可以使病传统扫描技术与启发式扫描技术的结合，可以使病毒检测软件的检出率提高到前所未有的水平，而另毒检测软件的检出率提高到前所未有的水平，而另一方面，又大大降低了总的误报率一方面，又大大降低了总的误报率9.4 9.4 启发式代码扫描技术启发式代码扫描技术22计算机病毒的检测清除和免疫9.4.4 传统扫描技术与启发式扫描技术的结合传统的扫描技22计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 239.4.5 启发式反毒技术的未来展望启发式反毒技术的未来展望u任何改良的努力都会有不同程度的质量提高，但是任何改良的努力都会有不同程度的质量提高，但是不能企望在没有虚报为代价的前提下使检出率达到不能企望在没有虚报为代价的前提下使检出率达到100%，或者反过来说，在相当长的时间里虚报和，或者反过来说，在相当长的时间里虚报和漏报的概率不可能达到漏报的概率不可能达到0%，因为病毒在本质上也，因为病毒在本质上也是程序，某些正常程序可能使用具有病毒特征的功是程序，某些正常程序可能使用具有病毒特征的功能能(可疑功能调用可疑功能调用)u反毒技术的进步也会从另一方面激发和促使病毒制反毒技术的进步也会从另一方面激发和促使病毒制作者不断研制出更新的病毒，具有某种反启发式扫作者不断研制出更新的病毒，具有某种反启发式扫描技术的功能，从而可以逃避这类检测技术的检测描技术的功能，从而可以逃避这类检测技术的检测9.4 9.4 启发式代码扫描技术启发式代码扫描技术23计算机病毒的检测清除和免疫9.4.5 启发式反毒技术的未来展望任何改良的努力都会有不23计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 249.5.1 虚拟机简介虚拟机简介u查毒的虚拟机是一个软件模拟的查毒的虚拟机是一个软件模拟的CPU，它可以象真正，它可以象真正CPU一样取指令、译码、执行，可以模拟一段代码在真正一样取指令、译码、执行，可以模拟一段代码在真正CPU上运行得到的结果上运行得到的结果u虚拟机的基本工作原理和简单流程虚拟机的基本工作原理和简单流程8给定一组机器码序列，虚拟机会自动从中取出第一条指令给定一组机器码序列，虚拟机会自动从中取出第一条指令操作码部分，判断操作码类型和寻址方式以确定该指令长操作码部分，判断操作码类型和寻址方式以确定该指令长度，然后在相应的函数中执行该指令，并根据执行后的结度，然后在相应的函数中执行该指令，并根据执行后的结果确定下条指令的位置，如此循环反复直到某个特定情况果确定下条指令的位置，如此循环反复直到某个特定情况发生以结束工作发生以结束工作u设计虚拟机查毒的目的是为了对抗加密变形病毒设计虚拟机查毒的目的是为了对抗加密变形病毒u虚拟执行技术使用范围远不止自动脱壳虚拟执行技术使用范围远不止自动脱壳(虚拟机查毒实际上虚拟机查毒实际上是自动跟踪病毒入口的解密子将加密的病毒体按其解密算法是自动跟踪病毒入口的解密子将加密的病毒体按其解密算法进行解密进行解密)，它还可以应用在跨平台高级语言解释器、恶意，它还可以应用在跨平台高级语言解释器、恶意代码分析、调试器代码分析、调试器9.5 9.5 虚拟机查毒技术虚拟机查毒技术24计算机病毒的检测清除和免疫9.5.1 虚拟机简介查毒的虚拟机是一个软件模拟的CPU，24计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 259.5.2 单步断点跟踪与虚拟执行单步断点跟踪与虚拟执行u目前有两种方法可以跟踪控制病毒的每一步执行，目前有两种方法可以跟踪控制病毒的每一步执行，并能够在病毒循环解密结束后从内存中读出病毒体并能够在病毒循环解密结束后从内存中读出病毒体明文明文8单步和断点跟踪法，和目前一些程序调试器相类单步和断点跟踪法，和目前一些程序调试器相类似似当当CPU在执行一条指令之前会先检查标志寄存器，在执行一条指令之前会先检查标志寄存器，如果发现其中的陷阱标志被设置则在指令执行结如果发现其中的陷阱标志被设置则在指令执行结束后引发一个单步陷阱束后引发一个单步陷阱INT 1H8虚拟执行法虚拟执行法9.5 9.5 虚拟机查毒技术虚拟机查毒技术25计算机病毒的检测清除和免疫9.5.2 单步断点跟踪与虚拟执行目前有两种方法可以跟踪控25计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 269.5.2 单步断点跟踪与虚拟执行单步断点跟踪与虚拟执行u单步断点跟踪的优缺点单步断点跟踪的优缺点8用单步和断点跟踪法的唯一好处就在于它不用处理每条指用单步和断点跟踪法的唯一好处就在于它不用处理每条指令的执行，这意味着它无需编写大量的特定指令处理函数，令的执行，这意味着它无需编写大量的特定指令处理函数，因为所有的解密代码都交由因为所有的解密代码都交由CPU执行，调试器不过是在代执行，调试器不过是在代码被单步中断的间隙得到控制权而已码被单步中断的间隙得到控制权而已8这种方法的缺点也是相当明显的这种方法的缺点也是相当明显的容易被病毒觉察到，病毒只须进行简单的堆栈检查，或直容易被病毒觉察到，病毒只须进行简单的堆栈检查，或直接调用接调用IsDebugerPresent就可确定自己正处于被调试状态就可确定自己正处于被调试状态由于没有相应的机器码分析模块，指令的译码、执行完全由于没有相应的机器码分析模块，指令的译码、执行完全依赖于依赖于CPU，所以将导致无法准确地获取指令执行细节并，所以将导致无法准确地获取指令执行细节并对其进行有效的控制对其进行有效的控制单步和断点跟踪法要求待查可执行文件真实执行，即其将单步和断点跟踪法要求待查可执行文件真实执行，即其将做为系统中一个真实的进程在自己的地址空间中运行，这做为系统中一个真实的进程在自己的地址空间中运行，这当然是病毒扫描所不能允许的当然是病毒扫描所不能允许的8单步和断点跟踪法可以应用在调试器、自动脱壳等方面，单步和断点跟踪法可以应用在调试器、自动脱壳等方面，但不合适于查毒但不合适于查毒9.5 9.5 虚拟机查毒技术虚拟机查毒技术26计算机病毒的检测清除和免疫9.5.2 单步断点跟踪与虚拟执行单步断点跟踪的优缺点9.26计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 279.5.2 单步断点跟踪与虚拟执行单步断点跟踪与虚拟执行u虚拟执行的缺点与优点虚拟执行的缺点与优点8使用虚拟执行法的唯一缺点就在于它必须在内部处理所有使用虚拟执行法的唯一缺点就在于它必须在内部处理所有指令的执行，这意味着它需要编写大量的特定指令处理函指令的执行，这意味着它需要编写大量的特定指令处理函数来模拟每种指令的执行效果，这里根本不存在何时得到数来模拟每种指令的执行效果，这里根本不存在何时得到控制权的问题，因为控制权将永远掌握在虚拟机手中控制权的问题，因为控制权将永远掌握在虚拟机手中8虚拟执行的优点也是很明显的，同时它正好填补了单步和虚拟执行的优点也是很明显的，同时它正好填补了单步和断点跟踪法所力不能及的方面断点跟踪法所力不能及的方面不可能被病毒觉察到，因为虚拟机将在其内部缓冲区中为不可能被病毒觉察到，因为虚拟机将在其内部缓冲区中为被虚拟执行代码设立专用的堆栈，所以堆栈检查结果与实被虚拟执行代码设立专用的堆栈，所以堆栈检查结果与实际执行无差别际执行无差别(不会向堆栈中压入单步和断点中断时的返回不会向堆栈中压入单步和断点中断时的返回地址地址)由于虚拟机自身完成指令的解码和地址的计算，所以能够由于虚拟机自身完成指令的解码和地址的计算，所以能够获取每条指令的执行细节并加以控制获取每条指令的执行细节并加以控制最为关键的一条在于虚拟执行确实做到了最为关键的一条在于虚拟执行确实做到了“虚拟虚拟”执行，系执行，系统中不会产生代表被执行者的进程，因为被执行者的寄存统中不会产生代表被执行者的进程，因为被执行者的寄存器组和堆栈等执行要素均在虚拟机内部实现，因而可以认器组和堆栈等执行要素均在虚拟机内部实现，因而可以认为它在虚拟机地址空间中执行为它在虚拟机地址空间中执行9.5 9.5 虚拟机查毒技术虚拟机查毒技术27计算机病毒的检测清除和免疫9.5.2 单步断点跟踪与虚拟执行虚拟执行的缺点与优点9.27计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 289.5.2 单步断点跟踪与虚拟执行单步断点跟踪与虚拟执行u虚拟机的设计方案虚拟机的设计方案8自含代码虚拟机自含代码虚拟机(SCCE)自含代码虚拟机工作起来象一个真正的自含代码虚拟机工作起来象一个真正的CPU。一条指令取。一条指令取自内存，由自内存，由SCCE解码，并被传送到相应的模拟这条指令的解码，并被传送到相应的模拟这条指令的例程，下一条指令则继续这个循环例程，下一条指令则继续这个循环8缓冲代码虚拟机缓冲代码虚拟机(BCE)缓冲代码虚拟机是缓冲代码虚拟机是SCCE的一个缩略版的一个缩略版一条指令是从内存中取得的，并和一个特殊指令表相比较。一条指令是从内存中取得的，并和一个特殊指令表相比较。如果不是特殊指令，则它被进行简单的解码以求得指令的如果不是特殊指令，则它被进行简单的解码以求得指令的长度，随后所有这样的指令会被导入到一个可以通用地模长度，随后所有这样的指令会被导入到一个可以通用地模拟所有非特殊指令的小过程中。而特殊指令，只占整个指拟所有非特殊指令的小过程中。而特殊指令，只占整个指令集的一小部分，则在特定的小处理程序中进行模拟令集的一小部分，则在特定的小处理程序中进行模拟8有限代码虚拟机有限代码虚拟机(LCE)有点象用于通用解密的虚拟系统有点象用于通用解密的虚拟系统LCE实际上并非一个虚拟机，因为它并不真正的模拟指令，实际上并非一个虚拟机，因为它并不真正的模拟指令，它只简单地跟踪一段代码的寄存器内容，提供一个小的被它只简单地跟踪一段代码的寄存器内容，提供一个小的被改动的内存地址表，或是调用过的中断之类的东西改动的内存地址表，或是调用过的中断之类的东西9.5 9.5 虚拟机查毒技术虚拟机查毒技术28计算机病毒的检测清除和免疫9.5.2 单步断点跟踪与虚拟执行虚拟机的设计方案9.5 28计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 299.5.3 虚拟机代码剖析虚拟机代码剖析u不依赖标志寄存器指令模拟函数的分析不依赖标志寄存器指令模拟函数的分析u依赖标志寄存器指令模拟函数的分析依赖标志寄存器指令模拟函数的分析9.5 9.5 虚拟机查毒技术虚拟机查毒技术29计算机病毒的检测清除和免疫9.5.3 虚拟机代码剖析不依赖标志寄存器指令模拟函数的分29计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 309.5.4 反虚拟机技术反虚拟机技术u任何一个事物都不是尽善尽美、无懈可击的，虚拟任何一个事物都不是尽善尽美、无懈可击的，虚拟机也不例外机也不例外u由于反虚拟执行技术的出现，使得虚拟机查毒受到由于反虚拟执行技术的出现，使得虚拟机查毒受到了一定的挑战了一定的挑战8插入特殊指令技术插入特殊指令技术8结构化异常处理技术结构化异常处理技术8入口点模糊入口点模糊(EPO)技术技术8多线程技术多线程技术8元多形技术元多形技术9.5 9.5 虚拟机查毒技术虚拟机查毒技术30计算机病毒的检测清除和免疫9.5.4 反虚拟机技术任何一个事物都不是尽善尽美、无懈可30计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 319.6.1 实时监控技术背景实时监控技术背景u实时监控技术其实并非什么新技术，早在实时监控技术其实并非什么新技术，早在DOS编程编程时代就有之时代就有之u在在Windows下要实现实时监控决非易事下要实现实时监控决非易事9.6 9.6 病毒实时监控技术病毒实时监控技术31计算机病毒的检测清除和免疫9.6.1 实时监控技术背景实时监控技术其实并非什么新技术31计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 329.6.2 病毒实时监控实现技术简介病毒实时监控实现技术简介u病毒实时监控会在文件打开、关闭、清除、写入等操作时检病毒实时监控会在文件打开、关闭、清除、写入等操作时检查文件是否是病毒携带者，如果是则根据用户的决定选择不查文件是否是病毒携带者，如果是则根据用户的决定选择不同的处理方案，如清除病毒、禁止访问该文件、删除该文件同的处理方案，如清除病毒、禁止访问该文件、删除该文件或简单地忽略，从而有效地避免病毒在本地计算机上的感染或简单地忽略，从而有效地避免病毒在本地计算机上的感染传播传播u可执行文件装入器在装入一个文件执行时首先会要求打开该可执行文件装入器在装入一个文件执行时首先会要求打开该文件，而这个请求又一定会被实时监控在第一时间截获到，文件，而这个请求又一定会被实时监控在第一时间截获到，它确保了每次执行的都是干净的不带毒的文件从而不给病毒它确保了每次执行的都是干净的不带毒的文件从而不给病毒以任何执行和发作的机会以任何执行和发作的机会u病毒实时监控的设计主要存在以下几个难点病毒实时监控的设计主要存在以下几个难点8驱动程序的编写不同于普通用户态程序的编写，其难度很驱动程序的编写不同于普通用户态程序的编写，其难度很大大8驱动程序与驱动程序与Ring3下客户程序的通信问题下客户程序的通信问题8驱动程序所占用资源问题驱动程序所占用资源问题9.6 9.6 病毒实时监控技术病毒实时监控技术32计算机病毒的检测清除和免疫9.6.2 病毒实时监控实现技术简介病毒实时监控会在文件打32计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 33计算机病毒的检测清除和免疫培训ppt课件33计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 349.6.4 Windows NT/2000下的病毒实时监控下的病毒实时监控uWindows NT/2000下病毒实时监控的实现主要依下病毒实时监控的实现主要依赖于以下三项技术赖于以下三项技术8NT内核模式驱动编程内核模式驱动编程Windows NT/2000下不再支持下不再支持VxD8拦截拦截IRP8驱动与驱动与Ring3下客户程序的通信下客户程序的通信(命名的事件与信命名的事件与信号量对象号量对象)9.6 9.6 病毒实时监控技术病毒实时监控技术34计算机病毒的检测清除和免疫9.6.4 Windows NT/2000下的病毒实时监控34计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 359.7.1 清除病毒的一般方法清除病毒的一般方法u发现病毒后，清除病毒的一般步骤是：发现病毒后，清除病毒的一般步骤是：8先升级杀毒软件病毒库至最新，进入安全模式下全盘查杀先升级杀毒软件病毒库至最新，进入安全模式下全盘查杀8删除注册表中的有关可以自动启动可疑程序的键值删除注册表中的有关可以自动启动可疑程序的键值(可以重可以重命名，以防误删，若删除命名，以防误删，若删除/重命名后按重命名后按F5刷新，发现无法删刷新，发现无法删除除/重命名，则可肯定其是病毒启动键值重命名，则可肯定其是病毒启动键值)8若系统配置文件被更改，需先删除注册表中键值，再更改若系统配置文件被更改，需先删除注册表中键值，再更改系统配置文件系统配置文件8断开网络连接，重启系统，进入安全模式全盘杀毒断开网络连接，重启系统，进入安全模式全盘杀毒8若若Windows ME/XP系统查杀病毒在系统还原区，请关闭系统查杀病毒在系统还原区，请关闭系统还原再查杀系统还原再查杀8若查杀病毒在临时文件夹中，请清空临时文件夹再查杀若查杀病毒在临时文件夹中，请清空临时文件夹再查杀8系统安全模式查杀无效，建议到系统安全模式查杀无效，建议到DOS下查杀。下查杀。9.7 9.7 计算机病毒的清除计算机病毒的清除35计算机病毒的检测清除和免疫9.7.1 清除病毒的一般方法发现病毒后，清除病毒的一般步35计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 369.7.2 引导型病毒的清除引导型病毒的清除u引导型病毒感染时常攻击计算机的如下部位：引导型病毒感染时常攻击计算机的如下部位：8硬盘主引导扇区硬盘主引导扇区8硬盘或软盘的硬盘或软盘的BOOT扇区扇区u为保存原主引导扇区、为保存原主引导扇区、BOOT扇区，病毒可能随意扇区，病毒可能随意地将它们写入其他扇区，而彻底毁坏这些扇区中的地将它们写入其他扇区，而彻底毁坏这些扇区中的信息信息u引导型病毒发作时，执行破坏行为造成种种损失引导型病毒发作时，执行破坏行为造成种种损失u由于引导型病毒一般是常驻内存的，因此，清除病由于引导型病毒一般是常驻内存的，因此，清除病毒之前必须先清除内存中的病毒毒之前必须先清除内存中的病毒(或采用修复中断或采用修复中断向量表等方法将其灭活向量表等方法将其灭活)，否则难以清除干净，否则难以清除干净9.7 9.7 计算机病毒的清除计算机病毒的清除36计算机病毒的检测清除和免疫9.7.2 引导型病毒的清除引导型病毒感染时常攻击计算机的36计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 379.7.2 引导型病毒的清除引导型病毒的清除u硬盘主引导扇区染毒时的修复方法：硬盘主引导扇区染毒时的修复方法：8(1)用无毒软盘启动系统用无毒软盘启动系统 8(2)寻找一台同类型、硬盘分区相同的无毒计算机，寻找一台同类型、硬盘分区相同的无毒计算机，将其硬盘主引导扇区写入一张软盘中将其硬盘主引导扇区写入一张软盘中 8(3)将此软盘插入染毒计算机，将其中采集的主引将此软盘插入染毒计算机，将其中采集的主引导扇区数据写入染毒硬盘导扇区数据写入染毒硬盘0柱面柱面0磁头磁头1扇区，即可扇区，即可修复修复u修复硬盘主引导扇区时，也可利用先前备份的本扇修复硬盘主引导扇区时，也可利用先前备份的本扇区尚未感染时的数据，替代区尚未感染时的数据，替代(2)中采集的数据。修复中采集的数据。修复主引导扇区时，一般不用主引导扇区时，一般不用FDisk/MBR命令，以免丢命令，以免丢失硬盘信息失硬盘信息9.7 9.7 计算机病毒的清除计算机病毒的清除37计算机病毒的检测清除和免疫9.7.2 引导型病毒的清除硬盘主引导扇区染毒时的修复方法37计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 389.7.2 引导型病毒的清除引导型病毒的清除u硬盘、软盘硬盘、软盘BOOT扇区染毒时的修复方法：扇区染毒时的修复方法：8修复硬盘修复硬盘BOOT扇区扇区最简单方便的杀毒方法是使用系统命令最简单方便的杀毒方法是使用系统命令SYS，即：用与染，即：用与染毒盘相同版本的无毒系统软盘启动计算机，然后执行命令毒盘相同版本的无毒系统软盘启动计算机，然后执行命令“SYS C:”，用正常的引导程序覆盖硬盘的，用正常的引导程序覆盖硬盘的BOOT扇区扇区8修复软盘修复软盘BOOT扇区也可采用类似的覆盖方法扇区也可采用类似的覆盖方法u引导型病毒如果将原主引导扇区或引导型病毒如果将原主引导扇区或BOOT扇区覆盖式写入根扇区覆盖式写入根目录区，被覆盖的根目录区完全损坏，不可能修复。如果引目录区，被覆盖的根目录区完全损坏，不可能修复。如果引导型病毒将原主引导扇区或导型病毒将原主引导扇区或BOOT扇区覆盖式写入第一扇区覆盖式写入第一FAT表时，第二表时，第二FAT表未破坏，则可以修复，可将第表未破坏，则可以修复，可将第FAT表复制表复制到第一到第一FAT表中表中u一般而言，引导型病毒占用的其他部分存储空间，只有采用一般而言，引导型病毒占用的其他部分存储空间，只有采用“坏簇坏簇”技术和技术和“文件结束簇文件结束簇”技术占用的空间需要收回，修改技术占用的空间需要收回，修改文件分配表即可文件分配表即可9.7 9.7 计算机病毒的清除计算机病毒的清除38计算机病毒的检测清除和免疫9.7.2 引导型病毒的清除硬盘、软盘BOOT扇区染毒时的38计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 399.7.3 文件型病毒的清除文件型病毒的清除u基于隐蔽病毒自身的目的，病毒一般都要保证原文基于隐蔽病毒自身的目的，病毒一般都要保证原文件代码还能正常地执行。这就意味着原文件能被妥件代码还能正常地执行。这就意味着原文件能被妥善保存，从而为清除病毒、恢复原文件提供了可能善保存，从而为清除病毒、恢复原文件提供了可能u除了覆盖型的文件型病毒之外，其他文件型病毒都除了覆盖型的文件型病毒之外，其他文件型病毒都可以被清除干净可以被清除干净u用解毒软件来解毒不保证能够完全复原，有可能会用解毒软件来解毒不保证能够完全复原，有可能会越解越糟，杀完毒之后文件反而不能执行。利用手越解越糟，杀完毒之后文件反而不能执行。利用手工消毒也是如此。因此，用户必须勤备份自己的资工消毒也是如此。因此，用户必须勤备份自己的资料料u手工清除病毒之前，应备份被感染文件，同时应注手工清除病毒之前，应备份被感染文件，同时应注意防护措施。任何清除病毒的动作，都是危险操作意防护措施。任何清除病毒的动作，都是危险操作9.7 9.7 计算机病毒的清除计算机病毒的清除39计算机病毒的检测清除和免疫9.7.3 文件型病毒的清除基于隐蔽病毒自身的目的，病毒一39计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术清华大学出版社清华大学出版社张仁斌张仁斌等等编著编著 409.7.3 文件型病毒的清除

展开阅读全文

计算机病毒的检测清除和免疫培训ppt课件

最新文档