計(jì)算機(jī)防病毒技術(shù)的發(fā)展課件

計(jì)算機(jī)防病毒技術(shù)反病毒技術(shù)的發(fā)展計(jì)算機(jī)反病毒技術(shù)經(jīng)過十幾年的發(fā)展，逐步經(jīng)歷了好幾代反病毒技術(shù)的發(fā)展。第一代反病毒技術(shù)是采取單純的病毒特征代碼分析，將病毒從帶毒文件中清除掉。這種方式可以準(zhǔn)確地清除病毒，可靠性很高。后來病毒技術(shù)發(fā)展了，特別是加密和變形技術(shù)的運(yùn)用，使得這種簡單的靜態(tài)掃描方式失去了作用。隨之而來的反病毒技術(shù)也發(fā)展了一步。反病毒技術(shù)的發(fā)展第二代反病毒技術(shù)是采用靜態(tài)廣譜特征掃描方法檢測(cè)病毒，這種方式可以更多地檢測(cè)出變形病毒，但另一方面誤報(bào)率也提高，尤其是用這種不嚴(yán)格的特征判定方式去清除病毒帶來的風(fēng)險(xiǎn)性很大，容易造成文件和數(shù)據(jù)的破壞。所以說靜態(tài)防病毒技術(shù)也有難以克服的缺陷。反病毒技術(shù)的發(fā)展第三代反病毒技術(shù)的主要特點(diǎn)是將靜態(tài)掃描技術(shù)和動(dòng)態(tài)仿真跟蹤技術(shù)結(jié)合起來，將查找病毒和清除病毒合二為一，形成一個(gè)整體解決方案，能夠全面實(shí)現(xiàn)防、查、殺等反病毒所必備的各種手段，以駐留內(nèi)存方式防止病毒的入侵，凡是檢測(cè)到的病毒都能清除，不會(huì)破壞文件和數(shù)據(jù)。隨著病毒數(shù)量的增加和新型病毒技術(shù)的發(fā)展，靜態(tài)掃描技術(shù)將會(huì)使反毒軟件速度降低，駐留內(nèi)存防毒模塊容易產(chǎn)生誤報(bào)。反病毒技術(shù)的發(fā)展第四代反病毒技術(shù)則是針對(duì)計(jì)算機(jī)病毒的發(fā)展而基于病毒家族體系的命名規(guī)則、基于多位CRC校驗(yàn)和掃描機(jī)理，啟發(fā)式智能代碼分析模塊、動(dòng)態(tài)數(shù)據(jù)還原模塊（能查出隱蔽性極強(qiáng)的壓縮加密文件中的病毒）、內(nèi)存解毒模塊、自身免疫模塊等先進(jìn)的解毒技術(shù)，較好的解決了以前防毒技術(shù)顧此失彼、此消彼長的狀態(tài)。病毒檢測(cè)方法目前市面上常見的防毒軟件經(jīng)常使用的防毒技術(shù)一般分為以下幾種：特征代碼法、校驗(yàn)和法、行為監(jiān)測(cè)法、軟件模擬法、VICE先知掃描法等。特征代碼法特征代碼法被早期應(yīng)用于SCAN、CPAV等著名病毒檢測(cè)工具中，目前被認(rèn)為是用來檢測(cè)已知病毒的最簡單、開銷最小的方法。防毒軟件在最初的掃毒方式是將所有病毒的病毒碼加以剖析，并且將這些病毒獨(dú)有的特征搜集在一個(gè)病毒碼資料庫中，每當(dāng)需要掃描該程序是否有毒的時(shí)候，啟動(dòng)殺毒軟件程序，以掃描的方式與該病毒碼資料庫內(nèi)的現(xiàn)有資料一一比對(duì)，如果兩方資料皆有吻合之處的話，既判定該程序已遭病毒感染。病毒檢測(cè)方法校驗(yàn)和法我們知道，大多數(shù)的病毒都不是單獨(dú)存在的，它們大都依附或寄生于其它的文檔程序，所以被感染的程序會(huì)有檔案大小增加的情況產(chǎn)生或者是檔案日期被修改的情形。這樣防毒軟件在安裝的時(shí)候會(huì)自動(dòng)將硬盤中的所有檔案資料做一次匯總并加以記錄，將正常文件的內(nèi)容，計(jì)算其校驗(yàn)和，將該校驗(yàn)和寫入文件中或?qū)懭雱e的文件中保存。在文件使用過程中，定期地或每次使用文件前，檢查文件現(xiàn)在內(nèi)容算出的校驗(yàn)和與原來保存的校驗(yàn)和是否一致，因而可以發(fā)現(xiàn)文件是否感染，這種方法叫校驗(yàn)和法，它既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒。病毒檢測(cè)方法行為監(jiān)測(cè)法利用病毒的特有行為特征性來監(jiān)測(cè)病毒的方法，稱為行為監(jiān)測(cè)法。通過對(duì)病毒多年的觀察、研究，有一些行為是病毒的共同行為，而且比較特殊。在正常程序中，這些行為比較罕見。當(dāng)程序運(yùn)行時(shí)，監(jiān)視其行為，如果發(fā)現(xiàn)了病毒行為，立即報(bào)警。這些作為監(jiān)測(cè)病毒的行為特征如下：搶占INT13H號(hào)中斷幾乎所有的引導(dǎo)型病毒，都會(huì)攻擊Boot扇區(qū)或主引導(dǎo)扇區(qū)。修改DOS系統(tǒng)內(nèi)存總量，更改COM、EXE文件內(nèi)容。行為監(jiān)測(cè)法可發(fā)現(xiàn)未知病毒、可相當(dāng)準(zhǔn)確地預(yù)報(bào)未知的多數(shù)病毒。但它不能識(shí)別病毒名稱，而且在軟件實(shí)現(xiàn)時(shí)有一定的難度。病毒檢測(cè)方法第四代反病毒技術(shù)則是針對(duì)計(jì)算機(jī)病毒的發(fā)展而基于病毒家族體系的命名規(guī)則、基于多位CRC校驗(yàn)和掃描機(jī)理，啟發(fā)式智能代碼分析模塊、動(dòng)態(tài)數(shù)據(jù)還原模塊（能查出隱蔽性極強(qiáng)的壓縮加密文件中的病毒）、內(nèi)存解毒模塊、自身免疫模塊等先進(jìn)的解毒技術(shù)，較好的解決了以前防毒技術(shù)顧此失彼、此消彼長的狀態(tài)。病毒檢測(cè)方法軟件模擬法多態(tài)性病毒每次感染都變化其病毒密碼，對(duì)付這種病毒，特征代碼法失效。因?yàn)槎鄳B(tài)性病毒代碼實(shí)施密碼化，而且每次所用密鑰不同，把染毒的病毒代碼相互比較，也各不相同，無法找出可能的做為特征的穩(wěn)定代碼。雖然行為檢測(cè)法可以檢測(cè)多態(tài)性病毒，但是在檢測(cè)出病毒后，因?yàn)椴恢《镜姆N類，難于做殺毒處理。對(duì)些，出現(xiàn)了一種新的病毒監(jiān)測(cè)方法，那就是軟件模擬法。該類工具開始運(yùn)行時(shí)，使用特征代碼法監(jiān)測(cè)病毒，如果發(fā)現(xiàn)隱蔽病毒或多態(tài)性病毒嫌疑時(shí)，啟動(dòng)軟件模擬模塊，監(jiān)測(cè)病毒的運(yùn)行，待病毒自身的密碼譯碼后，再運(yùn)用特征代碼法來識(shí)別病毒的種類。病毒檢測(cè)方法VICE先知掃描法該技術(shù)是專門針對(duì)于未知的電腦病毒所設(shè)計(jì)的，利用這種技術(shù)可以直接模擬CPU的動(dòng)作來偵測(cè)出某些變種病毒的活動(dòng)情況，并且研制出該病毒的病毒碼。由于該技術(shù)較其他解毒技術(shù)嚴(yán)謹(jǐn)，對(duì)于比較復(fù)雜的程序在比對(duì)上會(huì)耗費(fèi)比較多的時(shí)間，所以該技術(shù)的應(yīng)用不那么廣泛。最新反病毒技術(shù)面對(duì)病毒所具有的目的性和網(wǎng)絡(luò)性的特征，傳統(tǒng)的反病毒技術(shù)暴露出很多不足：1.首先，傳統(tǒng)的反病毒技術(shù)只能針對(duì)本地系統(tǒng)進(jìn)行防御。2.傳統(tǒng)的病毒查殺技術(shù)是采取病毒特征匹配的方式進(jìn)行病毒的查殺，而病毒庫的升級(jí)是滯后于病毒傳播的，使其無法查殺未知病毒。3.傳統(tǒng)的病毒查殺技術(shù)是基于文件進(jìn)行掃描的，無法適應(yīng)對(duì)效率要求極高的網(wǎng)絡(luò)查毒。由于以上三點(diǎn)，傳統(tǒng)的反病毒技術(shù)已經(jīng)遠(yuǎn)遠(yuǎn)不能滿足反病毒的需要?，F(xiàn)在反病毒技術(shù)必須要能夠針對(duì)病毒的網(wǎng)絡(luò)性和目的性進(jìn)行防御。于是，眾多的反病毒廠家都開始了新一代反病毒技術(shù)的研發(fā)。最新反病毒技術(shù)1、虛擬機(jī)技術(shù)隨著病毒的日益泛濫，殺毒軟件在行為判斷和病毒庫的支持下顯得無能為力。于是國外的殺毒廠商開始進(jìn)行了第一次殺毒軟件變革，那就是虛擬機(jī)技術(shù)。運(yùn)用此技術(shù)的特點(diǎn)就是在當(dāng)前系統(tǒng)中虛擬出一個(gè)簡單的，但是可以運(yùn)行程序的虛擬系統(tǒng)，這樣一些加了殼的病毒就會(huì)脫掉那層殼，然后交給殺毒軟件的病毒庫和行為判斷等技術(shù)予以清除。但是弊端也逐漸出現(xiàn)，那就是高資源占用，甚至有時(shí)會(huì)導(dǎo)致殺毒軟件和系統(tǒng)的假死現(xiàn)象。此項(xiàng)技術(shù)運(yùn)用比較出色的有：NOD32、MCAFEE等。最新反病毒技術(shù)2、沙盤仿真(虛擬機(jī)的繼承人)這項(xiàng)技術(shù)最早是系統(tǒng)還原類軟件的專利，例如Shadow系統(tǒng)或者NORTONGOBACK的safemode等。這項(xiàng)技術(shù)是說在原有的系統(tǒng)上預(yù)先留出一些空間，然后讓用戶進(jìn)行操作，重新啟動(dòng)后，原先的數(shù)據(jù)全部被清除，還原到原始狀態(tài)的一種技術(shù)。而殺毒軟件也同樣看見了這一點(diǎn)。于是就將此項(xiàng)技術(shù)和虛擬機(jī)技術(shù)進(jìn)行了整合，推出了沙盤仿真技術(shù)。技術(shù)原理和虛擬機(jī)大致相同，同樣是虛擬出一個(gè)系統(tǒng)，然后讓病毒運(yùn)行，從而進(jìn)行清除。此項(xiàng)技術(shù)解決了虛擬機(jī)的弊端――高資源占用，與虛擬機(jī)技術(shù)現(xiàn)在是平分秋色。而隨著虛擬機(jī)的不斷改善，其資源占用也下降到一定水平，所以有人認(rèn)為：虛擬機(jī)＝沙盤仿真。確實(shí)從功能上說是完全一樣的，但是原理卻不同，至于最后誰能占得先機(jī)還需要時(shí)間的考驗(yàn)。此項(xiàng)技術(shù)運(yùn)用出色的有：kaspersky7.0or8.0(8.0于12月左右出正式版)等。最新反病毒技術(shù)3、主動(dòng)防御殺毒軟件具有滯后性，這是業(yè)界公認(rèn)的一個(gè)弊端，而主動(dòng)防御卻很好的解決了這個(gè)問題，尤其是卡巴斯基6.0和東方微點(diǎn)將這一技術(shù)推廣到了極致。其優(yōu)秀的防御系統(tǒng)能夠解決90%以上的未知病毒。這不僅能夠解決病毒庫更新的滯后性，同時(shí)也給技術(shù)人員的減負(fù)。但是此項(xiàng)技術(shù)的弊端就是容易出現(xiàn)誤報(bào)現(xiàn)象，這也就是為什么說卡巴斯基老出現(xiàn)誤報(bào)的原因之一。例如誤報(bào)過的QQ（QQ是國內(nèi)IM市場(chǎng)的領(lǐng)頭羊，有著75%以上的份額），其用戶數(shù)量特別龐大，所以在QQ中，騰訊也加入了一些帶有廣告性質(zhì)的程序，例如SOUSOU等，這些字符在主動(dòng)防御體系里，有著極其危險(xiǎn)的行為，所以出現(xiàn)了誤報(bào)。當(dāng)然這種錯(cuò)誤，不是不能解決，現(xiàn)在主要修復(fù)途徑為添加白名單和更新病毒庫兩種!最新反病毒技術(shù)HIPS(主機(jī)入侵防御體系)HIPS是一種能監(jiān)控你電腦中文件的運(yùn)行和文件對(duì)注冊(cè)表的修改，并向你報(bào)告請(qǐng)求允許的軟件。如果你阻止了，那么它將無法運(yùn)行或者更改。比如你雙擊了一個(gè)病毒程序，HIPS軟件跳出來報(bào)告而你阻止了，那么病毒還是沒有運(yùn)行的。引用一句話:”病毒天天變種天天出新，使得殺軟可能跟不上病毒的腳步，而HIPS能解決這些問題。”。HIPS是以后系統(tǒng)安全發(fā)展的一種趨勢(shì)，只要你有足夠的專業(yè)水平，你可以只用HIPS而不需殺毒軟件。但是HIPS并不能稱為防火墻，最多只能叫做系統(tǒng)防火墻，它不能阻止網(wǎng)絡(luò)上其他計(jì)算機(jī)對(duì)你計(jì)算機(jī)的攻擊行為。我們個(gè)人用的HIPS可以分為3D：AD(ApplicationDefend)－應(yīng)用程序防御體系、RD(RegistryDefend)注冊(cè)表