计算机病毒与防范技术第7章课件

计算机病毒与防范技术计算机病毒与防范技术-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系第第7 7章章 病毒对抗技术病毒对抗技术u反病毒技术综述反病毒技术综述u病毒的检测技术与原理病毒的检测技术与原理u启发式代码扫描技术启发式代码扫描技术u虚拟机查毒技术虚拟机查毒技术u病毒实时监控技术病毒实时监控技术u计算机病毒的免疫技术计算机病毒的免疫技术u反病毒引擎技术剖析反病毒引擎技术剖析-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系反病毒技术综述u反病毒技术的产生与发展简介从“消毒软件”到“防毒卡”早期的消毒程序是一对一的，即一个程序清除一种病毒90年我国最早的一个防病毒卡诞生在深圳的“华星”公司93-94年防病毒卡迪销售达到了一个顶峰“查杀防三合一”实时反病毒软件的诞生20世纪90年代末期，出现了具有实时防病毒功能的反病毒软件-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系反病毒技术综述u反病毒技术的发展历程第一代反病毒技术采用单纯的病毒特征代码分析，清除染毒文件中的病毒第二代反病毒技术采用静态广谱特征扫描技术检测病毒，可以检测变形病毒，但是误报率高-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系反病毒技术综述第三代反病毒技术将静态扫描技术和动态仿真跟踪技术结合起来，将查找病毒和清除病毒合二为一全面实现防、查、杀等反病毒所必备的各种手段，以驻留内存方式防止病毒的入侵，能清除检测到的病毒，不会破坏文件和数据-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系反病毒技术综述第四代反病毒技术基于病毒家族体系的命名规则、基于多位CRC校验和扫描机理、启发式智能代码分析模块、动态数据还原模块(能查出隐蔽性极强的压缩加密文件中的病毒)、内存解毒模块、自身免疫模块等先进的解毒技术-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系反病毒技术综述启发式扫描，源于人工智能技术，是基于给定的判断规则和定义的扫描技术，若发现被扫描程序中存在可疑的程序功能指令，则作出存在病毒的预警或判断如今杀毒软件仍然是以特征检测杀毒为住，行为启发式扫描检测技术为辅-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系反病毒技术综述u主动内核(Active K)技术与实时监视传统的反病毒技术，基于被动式的防御理念这种理念最大的缺点在于将防治病毒的基础建立在病毒侵入操作系统或网络系统以后，作为上层应用软件的反病毒产品，才能借助于操作系统或网络系统所提供的功能来被动地防治病毒-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系反病毒技术综述主动内核(Active K)技术，是在操作系统和网络的内核中嵌入反病毒功能，使反病毒成为系统本身的底层模块，实现各种反毒模块与操作系统和网络无缝连接，而不是一个系统外部的应用软件主动内核技术能够在病毒突破计算机系统软、硬件的瞬间发生作用-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系反病毒技术综述u计算机病毒的防治技术分成四个方面病毒预防技术病毒病毒检测技技术病毒消除技术病毒免疫技术-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系计算机病毒的检测技术与原理u检测计算机病毒的方法有两种手工检测利用Debug、PCTools、SysInfo、WinHex等工具软件进行病毒的检测这种方法比较复杂，费时费力可以剖析病毒、可以检测一些自动检测工具不能识别的新病毒-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系计算机病毒的检测技术与原理自动检测利用一些专业诊断软件来判断引导扇区、磁盘文件是否有毒的方法自动检测比较简单，一般用户都可以进行，但需要较好的诊断软件可方便地检测大量的病毒，自动检测工具的发展总是滞后于病毒的发展-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系计算机病毒的检测技术与原理u特征值检测技术一些常见的病毒具有很明显的特征，即病毒中含有特殊的字符串。用抗病毒软件检查文件中是否存在这些特征，从而判定是否发生感染 计算机病毒的特征值有别于病毒标识，特征值是指一种病毒有别于另一种病毒的字符串，有时简称特征串-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系计算机病毒的检测技术与原理其局限性在于只能诊断已知的计算机病毒，而优越性在于能确诊计算机病毒的类型特征值数据库可以定义如下：如果行头第一个字符为空格，则视为注释行 每行中用一个或多个链接的空格分隔病毒特征值、病毒名、备注三个部分，每一部分中不能有空格，病毒名中可以用下横线连接多个单词-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系计算机病毒的检测技术与原理u传统的特征值搜索技术实现步骤：采集已知的病毒样本 在病毒样本中，抽取特征值抽取的特征值应比较特殊，不要与普通正常程序代码吻合抽取的特征值要有适当长度-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系计算机病毒的检测技术与原理获取病毒特征值的方法把病毒在计算机屏幕上出现的信息作为病毒的特征串 用病毒标识作为病毒的特征值从病毒代码的任何地方开始取出连续的、不大于64字节且不含空格（ASCII值为32）的字符串都可以作为计算机病毒的特征串将特征串纳入病毒特征数据库在实际应用中，使用扫描引擎实现病毒特征的匹配FA 7A 2C 00H-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系计算机病毒的检测技术与原理u传统的病毒特征串搜索技术只能诊断已知的计算机病毒u病毒特征值检测方法对从未见过的新病毒，因无法事先知道其特征值，因而无法检测这些新病毒-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系计算机病毒的检测技术与原理u传统的病毒特征串搜索技术的缺陷源于以下两个方面：（1）抽取特征串时未对特征串进行分析，没有对同种病毒的多个同种染毒宿主上相同位置处的特征串进行比较，找出共同点，再以此为特征串（2）搜索病毒时只是单纯地依次比较特征串，没有智能化处理-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系计算机病毒的检测技术与原理u广谱特征串过滤技术，该技术在一定程度上可以弥补以上缺陷u广谱特征串建立的方法如下：（1）提取变形病毒的多个感染样本，最好是对同一宿主的多次单独感染样本，不是多次重复感染-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系计算机病毒的检测技术与原理（2）在每个样本的相同位置抽取适当长度的病毒代码，这是传统意义的病毒特征串（3）比较这些病毒特征串，依次记下各个样本完全相同的代码，如果一定位置上的代码各个样本不是完全相同或根本不同，那么把这些常变换的代码用两个问号“?”来代替，每一个双问号代表一个字节-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系计算机病毒的检测技术与原理u广谱特征串例子B8?42?%B4 40%B8?57u建立病毒广谱特征串有以下几个注意事项：上述病毒广谱特征串后面的汉字串中不得使用西文双引号双问号“?”和百分号“%”可交叉使用-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系计算机病毒的检测技术与原理当两组病毒特征代码之间的距离大于32个字节时，大于部分可增加一些双问号来接续，或多用几个双百分号。每一个双百分号最多可代表32个字节特征值中至少要有三组不变的病毒代码-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系计算机病毒的检测技术与原理u特征值检测方法的优点是：检测准确快速、可识别病毒的名称、误报警率低、并且依据检测结果可做解毒处理u其缺点是：速度慢不能检查未知病毒和多态性病毒不能对付隐蔽性病毒-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系计算机病毒的检测技术与原理u校验和检测技术根据正常文件的信息(包括文件名称、大小、时间、日期及内容)，计算其校验和定期地或每次使用文件前，检查文件现有信息算出的校验和与原来保存的校验和是否一致-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系计算机病毒的检测技术与原理u运用校验和法查病毒一般采用三种方式在检测病毒工具中纳入校验和法在应用程序中，放入校验和法自我检查功能将校验和检查程序常驻内存-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系计算机病毒的检测技术与原理u比较的对象可分为系统数据文件的头部文件的属性文件的内容-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系计算机病毒的检测技术与原理u校验和检测技术的优点是：方法简单，能发现未知病毒，被查文件的细微变化也能发现u其缺点是：必须预先记录正常文件的校验和，会误报警，不能识别病毒名称，不能对付隐蔽型病毒，并且效率低-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系计算机病毒的检测技术与原理u行为监测技术利用病毒的特有行为特性监测病毒的方法，称为行为监测法，也称为人工智能陷阱法通过对病毒多年的观察、研究，人们发现病毒有一些行为，是病毒的共同行为，而且比较特殊，在正常程序中，这些行为比较罕见-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系计算机病毒的检测技术与原理u常见的病毒行为特性占用INT 13H修改DOS系统数据区的内存总量对可执行文件做写入动作病毒程序与宿主程序的切换搜索API函数地址-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系计算机病毒的检测技术与原理u极少数正常程序也有类似的病毒行为，称为类病毒行为：杀病毒工具去写有毒的可执行程序某些安装程序动态修改可执行程序加密程序对被加密程序的写入行为-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系计算机病毒的检测技术与原理u感染实验法诊断的原理这种方法的原理是利用了病毒的最重要的基本特征：感染特性检测未知引导型病毒的感染实验法检测未知文件型病毒的感染实验法-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系计算机病毒的检测技术与原理u分析法诊断的原理使用分析法的人一般不是普通用户，而是反病毒技术人员使用分析法要求具有比较全面的计算机体系结构、操作系统以及有关病毒技术的各种知识分析法是反病毒工作中不可或缺的重要技术-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系计算机病毒的检测技术与原理使用分析法的目的在于：确认被观察的引导扇区和程序中是否含有病毒确认病毒的类型和种类，判定其是否是一种新病毒搞清楚病毒体的大致结构，提取特征识别用的字符串或特征字，并增添到病毒代码库供病毒扫描和识别程序使用详细分析病毒代码，为制定相应的反病毒措施制定方案-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系启发式代码扫描技术u启发式代码扫描技术源于人工智能技术，是基于给定的判断规则和定义的扫描技术u若发现被扫描程序中存在可疑的程序功能指令，则作出存在病毒的预警或判断-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系启发式代码扫描技术u启发式代码分析扫描技术是对传统的特征代码扫描法查毒技术的改进u在特征代码扫描技术的基础上，利用对病毒代码的分析，获得一些统计的、静态的启发式知识，形成一种静态的启发式代码扫描分析技术-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系启发式代码扫描技术u病毒和正常程序的区别在windows下，一般正常的应用程序不会往系统目录中释放可执行程序然后进行自删除，或者直接搜索其他可执行程序进行修改病毒程序通常最初的指令是重定位、直接写盘操作、解码指令，或搜索某路径下的可执行程序等相关操作指令序列-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系启发式代码扫描技术u一个运用启发式扫描技术的病毒检测软件，实际上就是以特定方式实现的动态解释器或反编译器，通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系启发式代码扫描技术u早期的启发式扫描软件采用代码反编译技术，反编译出被检测文件代码u在软件内部保存病毒行为的必用代码u使用“静态代码分析法”和“代码相似比较法”判定是否含有病毒-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系启发式代码扫描技术u可疑程序功能的权值与报警标准对可疑的程序代码指令序列按照安全和可疑的等级进行排序，根据病毒可能使用和具备的特点而授以不同的加权值例如，格式化磁盘的功能操作很少出现在正常的应用程序中，而在病毒程序中出现的几率极高，于是这类操作指令序列可获得较高的加权值-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系启发式代码扫描技术u如果一个程序的加权值的总和超过一个事先定义的阀值，那么，病毒检测程序就可以声称“发现病毒”u仅仅一项可疑的功能操作远不足以触发“病毒报警”的装置-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系启发式代码扫描技术u为了避免“狼来了”的谎报和虚报，病毒检测程序常把多种可疑功能操作同时并发的情况定为发现病毒的报警标准u启发式扫描技术有时也会把一个本无病毒的程序判断为染毒程序，这就是所谓的查毒程序虚警或谎报现象-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系启发式代码扫描技术u减少和避免误报(谎报)，必须努力做好以下几点准确把握病毒行为，精确定义可疑功能调用集合，除非满足两个以上的病毒重要特征，否则不予报警增强对常规正常程序的识别能力增强对特定程序的识别能力类似“无罪假定”的功能-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系启发式代码扫描技术u启发式扫描主要分为两类静态启发式扫描和动态启发式扫描u静态启发式扫描程序有一个巨大的代码数据库，数据库把每一个代码串(称为特征码)与它所代表的行为特征联系在一起，并给每一个行为特征赋一个加权值u动态启发式扫描技术主要增加了对CPU的模拟。模拟了一个基本运行环境的计算机，对可能是病毒的文件先进行模拟运行，等加密病毒自解密后再进行静态启发式扫描-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系启发式代码扫描技术u启发式代码扫描技术中的几个关键问题代码数据库的建立对病毒行为特征的提取是启发式扫描技术效果好坏的关键病毒特征权值的设定对各个特征码进行统计分析，根据具有这种特征码的文件是病毒的可能性的大小来分配权值权值底线的设置针对不同的情况对安全性的要求不同，权值底线的设置可以根据具体情况来进行-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系启发式代码扫描技术u传统扫描技术与启发式扫描技术的结合传统的扫描技术基于对已知病毒的分析和研究，在检测时能够更准确、减少误报对待此前根本没有出现过的新病毒，有可能产生漏报的严重后果-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系启发式代码扫描技术基于规则和定义的启发式代码分析技术则可以检测新病毒传统扫描技术与启发式扫描技术的结合，可以使病毒检测软件的检出率提高到前所未有的水平，而另一方面，又大大降低了总的误报率-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系启发式代码扫描技术启发式判定结果启发式判定结果传统式判定结果传统式判定结果可能的真正结果可能的真正结果干净干净干净干净非常可能干净非常可能干净干净干净有毒有毒很可能有毒很可能有毒有毒有毒干净干净可能有毒可能有毒有毒有毒有毒有毒确实染毒确实染毒-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系启发式代码扫描技术u启发式反毒技术的未来展望在相当长的时间里虚报和漏报的概率不可能达到0%，因为病毒在本质上也是程序，某些正常程序可能使用具有病毒特征的功能(可疑功能调用)反毒技术的进步也会从另一方面激发和促使病毒制作者不断研制出更新的病毒，具有某种反启发式扫描技术的功能，从而可以逃避这类检测技术的检测-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系虚拟机查毒技术u虚拟机（VM）是一种软件仿真器或软件分析器，通过软件软件虚拟化、硬件虚拟化，让程序中一个虚拟/仿真环境中运行u查毒的虚拟机是一个软件模拟的CPU，它可以象真正CPU一样取指令、译码、执行，可以模拟一段代码在真正CPU上运行得到的结果-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系虚拟机查毒技术u虚拟机的基本工作原理和简单流程给定一组机器码序列，虚拟机自动从中取出第一条指令操作码部分，判断操作码类型和寻址方式以确定该指令长度在相应的函数中执行该指令，并根据执行后的结果确定下条指令的位置如此循环反复直到某个特定情况发生以结束工作-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系虚拟机查毒技术u设计虚拟机查毒的目的是为了对抗加密变形病毒u虚拟执行技术使用范围远不止自动脱壳，它还可以应用在跨平台高级语言解释器、恶意代码分析、调试器-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系虚拟机查毒技术u虚拟分析是计算机实现了模拟人工反编译、智能动态跟踪、分析代码运行的过程，其效率更高、更准确u病毒可能实施的破坏在虚拟机监控下，不会真正发生u虚拟机可以抓住一些病毒“经常使用的手段”和“常见的特点”，最终生成广义病毒行为描述算法，获得病毒行为的启发性知识u虚拟机技术仍然与传统技术相结合，并没有抛弃已知病毒的特征知识库-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系实时监控技术u病毒实时监控会在文件打开、关闭、清除、写入等操作时检查文件是否是病毒携带者u根据用户的决定选择不同的处理方案，如清除病毒、禁止访问该文件、删除该文件或简单地忽略，从而有效地避免病毒在本地计算机上的感染传播-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系实时监控技术u病毒实时监控的设计主要存在以下几个难点驱动程序的编写不同于普通用户态程序的编写，其难度很大驱动程序与Ring3下客户程序的通信问题驱动程序所占用资源问题-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系实时监控技术uWindows 9x下病毒实时监控的实现主要依赖于以下三项技术虚拟设备驱动(VxD)编程可安装文件系统钩子(IFSHook)VxD与Ring3下客户程序的通信(APC/EVENT)-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系实时监控技术uWindows NT/2000下病毒实时监控的实现主要依赖于以下三项技术NT内核模式驱动编程Windows NT/2000下不再支持VxD拦截IRP驱动与Ring3下客户程序的通信(命名的事件与信号量对象)-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系计算机病毒的免疫技术u目前已知的基于免疫的计算机病毒检测系统的研究主要分为两个方向u一是以Forrest等人为代表的基于免疫算法的研究，主要探讨免疫基本原理在病毒检测的可行性u一是以IBM试验室为代表的利用免疫框架构建大规模免疫应用系统的研究-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系计算机病毒的免疫技术u1994年，New Mexico大学的Forrest和她所在的研究小组最早将免疫学的原理应用于计算机安全领域u设计了一个用来保护计算机系统的人工免疫系统u通过检测非授权使用，维护数据文件的完整性和阻止病毒的扩散来提高计算机系统的安全性-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系计算机病毒的免疫技术u最突出的特点就是继承了人体免疫系统中区分自体(self)和”非自体”(non-self)的机制u自体是指合法用户行为、未被破坏的数据等u”非自体”是指非授权用户的行为、病毒和恶意代码或网络攻击等-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系计算机病毒的免疫技术u基于文件异常的病毒检测设计了一个否定选择算法，用来检测被保护数据和程序文件中的变化，以发现计算机病毒主要思路是通过监视文件的异常变动来监控可能的病毒感染和一般的病毒异常检查工具的主要不同在于其检测手段是多个概率意义上的检测器-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系计算机病毒的免疫技术u基于进程异常的检测系统异常检测通过和正常模式(系统，文件，进程，用户行为等等)的比较发现攻击的可能性根据Unix系统环境中的合法行为来定义自体，通过对进程的监视，发现入侵系统的恶意攻击行为-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系计算机病毒的免疫技术uIBM实验室的免疫系统-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系计算机病毒的免疫技术u系统由病毒分析机(Virus Analysis Machine)、管理机(Administrative Machine)和客户机(Client Machine)构成u病毒分析机使用启发式方法分析病毒的行为和结构（3），根据可疑的行为和已知的病毒特征码自动提取特征码u管理机负责收集客户机的病毒样本（1），并向病毒分析机提交（2）。并且负责获取病毒中心的最终解决方案（4，7），并向受感染和没受感染的客户机传播（5，6）-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系反病毒引擎技术剖析u反病毒软件由应用程序、反病毒引擎和病毒库三部分构成u应用程序的主要功能就是把扫描对象提供给引擎进行病毒扫描、提供反病毒软件与用户的交互接口。u引擎的主要功能就是对应用程序传入的扫描对象进行格式分析和病毒扫描，并将扫描的中间结果和最终结果通过应用程序回调接口返回给应用程序，并根据应用程序的返回结果进行相应的处理。引擎本身还负责病毒库的加载、管理、升级、遍历及卸载-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系反病毒引擎技术剖析-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系反病毒引擎技术剖析u目前引擎的体系架构-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系反病毒引擎技术剖析u反病毒引擎的技术特征邮件、邮箱、压缩包拆分技术虚拟与真实相结合的脱壳技术脚本引擎token特征提取技术木马指纹特征技术利用可执行引擎执行特征提取技术-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系反病毒引擎技术剖析宏病毒解码和查杀的相关技术内存扫描和内存监控技术未知宏病毒虚拟执行技术未知脚本病毒指纹特征判定技术未知可执行病毒行为判定技术-计算机病毒与防范技术计算机病毒与防范技术 版权所有：北京工业大学计算机学院信息安全系版权所有：北京工业大学计算机学院信息安全系反病毒引擎技术剖析u反病毒引擎的发展方向反病毒保护措施日益全面和实时反病毒产品体系结构面临突破对未知病毒的防范能力日益增强企业级别、网关级别的产品越来越重要关注移动设备和无线产品的安全-