計算機(jī)病毒與惡意代碼 課件 5-1-2殺毒技術(shù)解析和反病毒軟件的構(gòu)成

計算機(jī)病毒與防治重慶電子工程職業(yè)學(xué)院計算機(jī)病毒與防治課程小組教學(xué)單元5-1分析反病毒軟件的編制技術(shù)啟發(fā)式掃描技術(shù)虛擬機(jī)技術(shù)

病毒疫苗第2講殺毒技術(shù)解析和反病毒軟件的構(gòu)成計算機(jī)病毒與防治課程小組反病毒軟件的構(gòu)成

反病毒引擎的體系構(gòu)架

反病毒引擎的發(fā)展方向殺毒技術(shù)解析——虛擬機(jī)技術(shù)在殺毒技術(shù)中，有一種自始至終都在用的方法——特征值法。但是隨著病毒技術(shù)的發(fā)展，加密技術(shù)漸漸成熟起來，很多病毒的特征不再那么容易提取了，因此出現(xiàn)了虛擬機(jī)殺毒技術(shù)。所謂虛擬機(jī)技術(shù)，就是用軟件先虛擬一套運(yùn)行環(huán)境，讓病毒先在該虛擬環(huán)境下運(yùn)行，看看它的執(zhí)行效果。由于加密的病毒在執(zhí)行時最終還是要解密的，這樣，在其解密之后我們可以通過特征值查毒法對其進(jìn)行查殺。虛擬機(jī)技術(shù)殺毒技術(shù)解析——虛擬機(jī)技術(shù)虛擬機(jī)在反病毒軟件中應(yīng)用范圍廣，并成為目前反病毒軟件的一個趨勢。一個比較完整的虛擬機(jī)，不僅能夠識別新的未知病毒，而且能夠清除未知病毒，我們會發(fā)現(xiàn)這個反病毒工具不再是一個程序，而成為可以和卡斯帕羅夫抗衡的ibm深藍(lán)超級計算機(jī)。首先，虛擬機(jī)必須提供足夠的虛擬，以完成或?qū)⒔瓿刹《镜摹疤摂M傳染”；殺毒技術(shù)解析——虛擬機(jī)技術(shù)其次，盡管根據(jù)病毒定義而確立的“傳染”標(biāo)準(zhǔn)是明確的，但是，這個標(biāo)準(zhǔn)假如能夠?qū)嵤?，它在判定病毒的?biāo)準(zhǔn)上仍然會有問題；第三，假如上一步能夠通過，那么，我們必須檢測并確認(rèn)所謂“感染”的文件確實(shí)感染的就是這個病毒或其變形。殺毒技術(shù)解析——虛擬機(jī)技術(shù)目前虛擬機(jī)的處理對象主要是文件型病毒。對于引導(dǎo)型病毒、word／excel宏病毒、木馬程序在理論上都是可以通過虛擬機(jī)來處理的，但目前的實(shí)現(xiàn)水平仍相距甚遠(yuǎn)。就像病毒編碼變形使得傳統(tǒng)特征值方法失效一樣，針對虛擬機(jī)的新病毒可以輕易使得虛擬機(jī)失效。雖然虛擬機(jī)也會在實(shí)踐中不斷得到發(fā)展。但是，pc的計算能力有限，反病毒軟件的制造成本也有限，而病毒的發(fā)展可以說是無限的。讓虛擬技術(shù)獲得更加實(shí)際的功效，甚至要以此為基礎(chǔ)來清除未知病毒，其難度相當(dāng)大。計算機(jī)病毒與防治課程小組殺毒技術(shù)解析由于新病毒不斷出現(xiàn)，而傳統(tǒng)的特征值查毒法不可能完全查出新出現(xiàn)的病毒，于是啟發(fā)式掃描技術(shù)產(chǎn)生了。何謂啟發(fā)式掃描呢？我們知道，任何一個病毒總存在與普通程序不一樣的地方，譬如格式化硬盤、重定位、改回文件時間、修改文件大小、傳染等。這樣，我們就可以對每一類病毒特征進(jìn)行加權(quán)，譬如重定位得3分，格式化硬盤得15分，傳染得10分，這樣，如果一個程序擁有這3個功能，它就得到了28分。如果我們設(shè)定判斷一個病毒的標(biāo)準(zhǔn)是20分，那么這個程序在遇到采用了啟發(fā)式掃描技術(shù)的殺毒軟件時，殺毒軟件就會報警發(fā)現(xiàn)了新病毒。這就是啟發(fā)式掃描技術(shù)。啟發(fā)式掃描技術(shù)病毒疫苗還有一種技術(shù)叫病毒疫苗，這種疫苗程序（比如美麗莎病毒）會修改Windows注冊表項(xiàng)：HKEY_CURRENT_USER\Software\Microsoft\Office，它將增加表項(xiàng)：Melissa，并給賦值為：byKwyjibo，這是病毒避免進(jìn)行重復(fù)感染的標(biāo)志。如果一臺沒有感染美麗莎病毒的機(jī)器上事先設(shè)立這項(xiàng)注冊表值，那么當(dāng)美麗莎病毒準(zhǔn)備感染者抬機(jī)器時，由于發(fā)現(xiàn)存在該鍵值會認(rèn)為該機(jī)器已經(jīng)被感染而不對它進(jìn)行再次感染。這樣就達(dá)到了對這臺機(jī)器進(jìn)行免疫的目的，當(dāng)然有些病毒的免疫機(jī)制比較復(fù)雜。病毒疫苗技術(shù)總結(jié)受病毒在理論上就是不可判定的這一根本前提的制約，事實(shí)上，無論是啟發(fā)式，亦或是虛擬機(jī)，都只能是一種工程學(xué)的努力，其成功的概率永遠(yuǎn)不可達(dá)到100％。這是惟一的卻又是無可奈何的缺憾。6.4反病毒軟件構(gòu)成分析計算機(jī)病毒與防治課程小組由于引導(dǎo)型病毒從結(jié)構(gòu)到原理上都想對簡單，目前，反病毒軟件與病毒的對抗主要體現(xiàn)在與文件型病毒的對抗上，我們主要就針對文件型病毒的反病毒軟件的結(jié)構(gòu)進(jìn)行探討。反病毒軟件由應(yīng)用程序、反病毒引擎和病毒庫三部分構(gòu)成。反病毒軟件的構(gòu)成反病毒軟件構(gòu)成分析應(yīng)用程序的主要功能就是把掃描對象提供給引擎進(jìn)行病毒掃描、提供反病毒軟件與用戶的交互接口。應(yīng)用程序主要包括搜索文件部分和匹配病毒特征串部分，其中搜索文件部分負(fù)責(zé)進(jìn)行全盤搜索或按用戶指定路徑搜索文件；匹配病毒特征串部分負(fù)責(zé)在每一個搜索出來的文件中，匹配病毒特征串，判斷文件是否染毒。應(yīng)用程序反病毒軟件構(gòu)成分析計算機(jī)病毒與防治課程小組反病毒引擎是決定一款殺毒軟件技術(shù)是否成熟可靠的關(guān)鍵，什么是反病毒引擎呢？簡言之，它就是一套判斷特定程序行為是否為病毒程序或可疑程序的技術(shù)機(jī)制，引擎不僅需要具備判斷病毒的能力，還必須擁有足夠的病毒清理技術(shù)和環(huán)境恢復(fù)技術(shù)，如果一款殺毒產(chǎn)品能查出病毒但是卻無法清除、或者無法將被病毒破壞的系統(tǒng)環(huán)境成功恢復(fù)，那它就不能成為一款優(yōu)秀的殺毒軟件。反病毒引擎6.4.1反病毒軟件的構(gòu)成引擎的主要功能就是對應(yīng)用程序傳入的掃描對象進(jìn)行格式分析和病毒掃描并將掃描的中間結(jié)果和最終結(jié)果通過應(yīng)用程序回調(diào)接口返回給應(yīng)用程序并根據(jù)應(yīng)用程序的返回結(jié)果進(jìn)行相應(yīng)的處理，根據(jù)檢測出的每種病毒的殺毒關(guān)鍵性參數(shù)，清除文件中的病毒。引擎本身還負(fù)責(zé)病毒庫的加載、管理、升級、遍歷及卸載。目前的反病毒引擎所采用的主流技術(shù)有兩種：虛擬機(jī)技術(shù)、實(shí)時監(jiān)控技術(shù)。除此之外，還有兩種最新的技術(shù)仍在試驗(yàn)階段，分別是智能碼標(biāo)識技術(shù)和行為攔截技術(shù)。6.4.1反病毒軟件的構(gòu)成病毒庫主要包括病毒特征串庫和殺毒關(guān)鍵性參數(shù)庫，病毒特征串庫為應(yīng)用程序中的匹配病毒特征串部分提供搜索病毒所需要的病毒特征串；殺毒關(guān)鍵性參數(shù)庫為殺毒引擎提供清除病毒所需要的殺毒關(guān)鍵性參數(shù)。病毒庫應(yīng)用程序、反病毒引擎、病毒庫三者的關(guān)系下面我們來看在反病毒軟件中，上述幾個部分是如何協(xié)調(diào)工作的：反病毒軟件在運(yùn)作時，首先調(diào)用搜索文件部分搜索到一個文件，然后利用匹配病毒特征串部分匹配病毒特征串庫中的病毒特征串，如果匹配上某個病毒，就調(diào)用殺毒引擎殺毒。殺毒引擎在工作時，會使用到殺毒關(guān)鍵性參數(shù)庫中的殺毒關(guān)鍵性參數(shù)。處理完一個文件后，反病毒軟件繼續(xù)調(diào)用搜索文件部分搜索下一個文件，重復(fù)以上工作，直至文件被搜索完為止。應(yīng)用程序、引擎、病毒庫三者的關(guān)系應(yīng)用程序、反病毒引擎、病毒庫三者的關(guān)系計算機(jī)病毒與防治課程小組病毒庫文件應(yīng)用程序包括各種平臺的各種應(yīng)用和監(jiān)控程序?qū)ο蠊芾沓绦颍ㄖ虚g層）引擎主控對象查殺毒引擎、復(fù)合文件拆分對象病毒庫管理對象應(yīng)用程序反病毒引擎圖6-16.4.2反病毒引擎的體系構(gòu)架計算機(jī)病毒與防治課程小組引擎最初采用的是模塊化的設(shè)計方式，這是基于C的設(shè)計思想；2001年開始采用的是模塊化的設(shè)計方式，這是基于C的設(shè)計思想；2001年開始采用面向?qū)ο笤O(shè)計技術(shù)方法，這是基于C++的設(shè)計思想，增強(qiáng)了引擎的可靠性和易維護(hù)性；2003年將COM組件的設(shè)計思想引入了引擎設(shè)計中，實(shí)現(xiàn)了引擎的對象化和組件化，增強(qiáng)了引擎的易用性、擴(kuò)展性、維護(hù)性和移植的方便性。1.引擎體系架構(gòu)的變遷計算機(jī)病毒免疫技術(shù)2.引擎的體系架構(gòu)目前引擎的體系架構(gòu)如圖6-2所示：計算機(jī)病毒與防治課程小組查殺毒引擎模塊文件對象文件格式分析模塊郵件、郵箱拆分模塊文件對象壓縮文件拆分模塊引擎主控流程調(diào)用參數(shù)創(chuàng)建調(diào)用識別創(chuàng)建創(chuàng)建參數(shù)識別參數(shù)調(diào)用圖6-2目前引擎的體系架構(gòu)6.4.3反病毒引擎的發(fā)展方向1.病毒的發(fā)展趨勢1）病毒更新?lián)Q代，向多元化發(fā)展2）依賴網(wǎng)絡(luò)進(jìn)行傳播3）攻擊方式多樣4）利用系統(tǒng)漏洞成為病毒有力的傳播方式5）病毒與黑客技術(shù)相融合6）隱蔽性增強(qiáng)7）更新速度加快計算機(jī)病毒與防