反病毒技术概述课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,文档仅供参考，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。,反病毒技术剖析,反病毒技术概述,病毒诊断技术,反病毒引擎技术剖析,瑞星信息安全技术培训,反病毒技术概述,反病毒技术概述,Agenda,反病毒技术概述,瑞星信息安全技术培训,反病毒技术概述,反病毒技术概述,病毒疫苗举例：,“美丽莎”病毒修改,Windows,注册表项：,HKEY_CURRENT_RSERSoftwareMicrosoftOffice,增加表项：,Melissa,并赋值为,byKwyjibo,瑞星信息安全技术培训,反病毒技术概述,反病毒技术概述,反病毒技术剖析,反病毒技术概述,病毒诊断技术,反病毒引擎技术剖析,瑞星信息安全技术培训,反病毒技术概述,Agenda,病毒诊断技术,病毒诊断技术,计算机病毒比较法诊断原理,计算机病毒校验法诊断原理,计算机病毒扫描法诊断原理,计算机病毒行为监测法诊断原理,计算机病毒行为感染试验法诊断原理,计算机病毒行为软件模拟法诊断原理,计算机病毒分析法诊断的原理,瑞星信息安全技术培训,反病毒技术概述,病毒诊断技术,病毒诊断技术,计算机病毒比较法,瑞星信息安全技术培训,反病毒技术概述,病毒诊断技术,病毒诊断技术,计算机病毒比较法,瑞星信息安全技术培训,反病毒技术概述,病毒诊断技术,病毒诊断技术,计算机病毒比较法,瑞星信息安全技术培训,反病毒技术概述,病毒诊断技术,病毒诊断技术,计算机病毒比较法,瑞星信息安全技术培训,反病毒技术概述,病毒诊断技术,病毒诊断技术,计算机病毒比较法,瑞星信息安全技术培训,反病毒技术概述,病毒诊断技术,病毒诊断技术,计算机病毒比较法诊断原理,计算机病毒校验法诊断原理,计算机病毒扫描法诊断原理,计算机病毒行为监测法诊断原理,计算机病毒行为感染试验法诊断原理,计算机病毒行为软件模拟法诊断原理,计算机病毒分析法诊断的原理,瑞星信息安全技术培训,反病毒技术概述,病毒诊断技术,病毒诊断技术,计算机病毒扫描法,瑞星信息安全技术培训,反病毒技术概述,病毒诊断技术,扫描法是用每一种病毒体含有的特定字符串对被检测的对象进行扫描。,如果在被检测对象内部发现了某一种特定字符串，就表明发现了该字符串所代表的病毒。,特征代码扫描法,特征字扫描法,瑞星信息安全技术培训,反病毒技术概述,病毒诊断技术,计算机病毒扫描法,特征代码扫描法,病毒扫描软件由两部分组成：一部分是病毒代码库，含有经过特别选定的各种计算机病毒的代码串；,另一部分是利用该代码库进行扫描的扫描程序。,病毒诊断技术,病毒诊断技术,计算机病毒扫描法,选择代码串的规则是：,代表性,避开数据区。,尽量使特征代码长度简短,区别于其它病毒及其变种,将病毒与正常的非病毒程序区分开,瑞星信息安全技术培训,反病毒技术概述,反病毒技术,瑞星信息安全技术培训,反病毒技术概述,反病毒技术,病毒诊断技术,计算机病毒扫描法,例如给定特征串：,“,E9 7C 00 10 ? 37 CB”,“E9 7C 00 10 27 37 CB”,“E9 7C 00 10 9C 37 CB”,又例如：,“,E9 7C 37 CB”,“E9 7C 00 37 CB”,“E9 7C 00 11 37 CB”,“E9 7C 00 11 22 37 CB”,“E9 7C 00 11 22 33 44 37 CB”,（不匹配）,瑞星信息安全技术培训,反病毒技术概述,反病毒技术,病毒诊断技术,计算机病毒扫描法,病毒诊断技术,计算机病毒扫描法,特征字扫描法,速度更快、误报警更少，但仍然存在特征代码扫描法所具有的一些缺点。,只需从病毒体内抽取很少几个关键的特征字组成特征字库。,需要处理的字节很少，而又不必进行串匹配，加快了识别速度。,瑞星信息安全技术培训,反病毒技术概述,反病毒技术,病毒诊断技术,行为监测法诊断原理,检测的行为包括,占用,INT 13H,修改,DOS,系统数据区的内存总量,以,COM,和,EXE,文件做写入动作,病毒程序与宿主程序的切换,瑞星信息安全技术培训,反病毒技术概述,反病毒技术,病毒诊断技术,行为感染试验法,行为感染试验法,感染实验是一种简单实用的检测病毒方法。,当病毒检测工具不能发现病毒时，使用感染实验法。,可以检测出病毒检测工具不认识的新病毒，摆脱对检测工具的依赖，检测可疑新病毒,瑞星信息安全技术培训,反病毒技术概述,反病毒技术,DEMO,病毒诊断技术,行为软件模拟法,行为软件模拟法,针对多太性病毒的检测与查杀,虚拟软件法与特征代码法相结合,瑞星信息安全技术培训,反病毒技术概述,反病毒技术,病毒诊断技术,计算机病毒分析法,计算机病毒分析法,确认磁盘引导区和程序中是否含有病毒,确认病毒的类型和种类，判定是否是新病毒,搞清楚病毒体的大致结构，提取特征识别用的字符串或特征字,详细分析病毒代码，为制定相应的反病毒措施制定方案,瑞星信息安全技术培训,反病毒技术概述,反病毒技术,瑞星信息安全技术培训,反病毒技术概述,反病毒技术,病毒诊断技术,计算机病毒分析法,反病毒技术剖析,反病毒技术概述,病毒诊断技术,反病毒引擎技术剖析,瑞星信息安全技术培训,反病毒技术概述,Agenda,病毒诊断技术,计算机病毒分析法,反病毒软件的构成,瑞星信息安全技术培训,反病毒技术概述,反病毒引擎技术,应用程序包括各种平台的各种应用和监控程序,对象管理程序,引擎主控对象,病毒库管理对象,应用程序,反病毒引擎,查杀毒引擎,复合文件拆分对象,病毒库文件,瑞星信息安全技术培训,反病毒技术概述,反病毒引擎技术,引擎在反病毒软件中的位置,瑞星信息安全技术培训,反病毒技术概述,反病毒引擎技术,对多种平台提供支持,支持多种平台的反病毒引擎是引擎技术的发展方向，常见的有支持,Dos,、,Windows,、,Linux for intel,、,Unix for intel,、,Freebsd for intel,、,Novell,等多种平台以及在此基础上开发针对不同用户群的不同应用。,DOS,杀毒引擎,宏病毒查杀引擎,特征码匹配,脚本病毒引擎、邮件、邮箱、压缩包拆分引擎、反病毒虚拟机,运行特征匹配,未知病毒行为判定技术和虚拟脱壳技术,瑞星信息安全技术培训,反病毒技术概述,反病毒引擎技术,引擎查杀毒技术的发展历程,引擎体系架构的变迁,模块化设计方式,2001,年面向对象设计方式，基于,C+,的设计思想增强了引擎的可靠性和易维护性；,2003,年将,com,组件的设计思想引入了引擎设计中，实现了引擎的对象化和组建化，增强了引擎的易用性、扩展性、维护性和移植的方便性,瑞星信息安全技术培训,反病毒技术概述,反病毒引擎技术,反病毒引擎的体系架构,瑞星信息安全技术培训,反病毒技术概述,反病毒引擎技术,引擎的体系构架,瑞星信息安全技术培训,反病毒技术概述,反病毒引擎技术,反病毒引擎的技术特征,引擎的邮件、邮箱、压缩包对象在引擎中统称为复合文件对象，在最新的引擎的复合文件对象中采取了虚拟文件系统技术及将复合文件对象看成一个文件系统（也可以理解为一个目录），采用这种方式可以便捷地对邮件、邮箱、压缩包进行管理，处理方式更加灵活。,瑞星信息安全技术培训,反病毒技术概述,反病毒引擎技术,反病毒引擎的技术特征,邮件、邮箱、压缩包拆分技术,利用虚拟机对程序进行虚拟执行，通过返回结果判定文件是否被加壳。,真实脱壳是对加壳算法进行分析后生成脱壳算法。,瑞星信息安全技术培训,反病毒技术概述,反病毒引擎技术,反病毒引擎的技术特征,虚拟与真实相结合的脱壳技术,利用智能代码分析技术（即基于对典型病毒的代码特征和执行流程进行分析，提取经典病毒的典型代码特征和逻辑特征并作为查杀病毒的特征串）可对木马程序提取指纹信息。通过指纹，引擎可以快速地排除正常文件。,瑞星信息安全技术培训,反病毒技术概述,反病毒引擎技术,反病毒引擎的技术特征,木马指纹特征技术,查杀病毒时在机器虚拟内存中模拟出一个“指令执行虚拟机”；,在虚拟机环境中虚拟执行（不会被实际执行）带毒文件；,在执行过程中，从虚拟机环境内截获文件数据，如果含有可疑的病毒代码，则杀毒后将其还原到文件中，从而实现对各类可执行文件内病毒的查杀。,采用这种方法可以对付加密型、变形型、程序自压缩文件内的病毒。,瑞星信息安全技术培训,反病毒技术概述,反病毒引擎技术,反病毒引擎的技术特征,利用可执行引擎执行特征提取技术,病毒更新换代，向多元化发展,依赖网络进行传播,攻击方式多样,利用系统漏洞成为病毒有力的传播方式,病毒与黑客技术相融合,隐蔽性增强,0,环和,3,环的构挂技术运用的越来越多。,更新速度加快,瑞星信息安全技术培训,反病毒技术概述,反病毒引擎技术,病毒的发展趋势,瑞星信息安全技术培训,反病毒技术概述,反病毒引擎技术,引擎的发展趋势,多层面立体防护体系,进一步发展未知病毒的检测技术,主动修复技术,更可靠的数据备份和灾难恢复技术,与其它安全产品的联动,完善的应急相应系统,