第十五讲 病毒防护策略.ppt

典型的Web威胁攻击行动 中国黑客自揭：做病毒一定要低调 黑客傻瓜化 黑色产业链服务化 “云安全”智能保护网络 “云安全”智能保护网络 “云安全”智能保护网络 “云安全”智能保护网络 “云安全”智能保护网络 “云安全”智能保护网络 “云安全”智能保护网络 * Because Cybercrime is mainstream, a malware industry has been established. The cybercriminals are linked to organized crime and create a lot of money. They avoid mass outbreak, this is why a lot of education is needed to show the current threats affecting endusers as well as enterprises. 内容安全（防病毒）技术 上图主要示意了病毒检测有四种方法。 计算机病毒的检测 比较法 比较法是通过用原始备份与被检测的引导扇区或文件进行比较，来判断系统是否感染病毒的方法。 文件长度的变化和文件中程序代码的变化都可以用来作为比较法判断有无病毒的依据。 比较法的优点： 简单、方便，不需专用软件，并且还能发现尚不能被现有的查病毒程序发现的计算机病毒。 比较法的缺点： 无法确认病毒的种类。当发现差异时，无法判断产生差异的原因是由于病毒的感染，还是由于突然停电、程序失控、恶意程序破坏等原因造成 计算机病毒的检测 有哪些信誉好的足球投注网站法 有哪些信誉好的足球投注网站法是用每一种病毒体含有的特征字节串对被检测的对象进行扫描，如果发现特征字节串，就表明发现了该特征串所代表的病毒。 这种方法被广泛应用。利用这一技术编制的病毒扫描软件让计算机用户使用很方便，对病毒了解不多的人也能用它来发现病毒。 有哪些信誉好的足球投注网站法的缺点主要有如下内容： 当被扫描的文件很长时，扫描所花的时间也多。 当新的病毒特征串未加入病毒代码库时，老版本的扫描程序无法识别新病毒。 当病毒产生新的变种时，病毒特征串被改变，因此可以躲过扫描程序。 容易产生误报警。 计算机病毒的检测 特征字的识别法 同有哪些信誉好的足球投注网站法不同，特征字识别法只需从病毒体内抽取很少几个关键的特征字，组成特征字库，可进行病毒的查杀。 由于需要处理的字节很少，又不必进行串匹配，特征字识别法的识别速度大大高于有哪些信誉好的足球投注网站法。 特征字识别法比有哪些信誉好的足球投注网站法更加注意“程序活性”，减少了错报的可能性。 计算机病毒的检测 分析法 分析法是反病毒专家使用的方法，不适合普通用户。 反病毒专家采用分析法对染毒文件和病毒代码进行分析，得出分析结果后形成反病毒产品。 分析法可分为动态和静态两种。 一般必须采用动静结合的方法才能完成整个分析过程。 内容安全（防病毒）技术 上图主要示意了病毒清除的四种方法 计算机病毒的清除 文件型病毒的清除 清除文件型病毒，可以有如下一些方案 如果染毒文件有未染毒的备份的话，用备份文件覆盖染毒文件即可。 如果可执行文件有免疫疫苗的话，遇到病毒后，程序可以自动复原。 如果文件没有任何防护的话，可以通过杀毒程序进行杀毒和文件的恢复。但杀毒程序不能保证文件的完全复原。 计算机病毒的清除 引导型病毒的清除 清除引导型病毒，可以有以下一些方案： 启动区和分区表的备份。当感染引导型病毒后，可以将备份的数据写回启动区和分区表即可清除引导型病毒。 可以用杀毒软件来清除引导型病毒。 计算机病毒的清除 内存杀毒 由于内存中的活病毒体会干扰反病毒软件的检测结果，所以几乎所有的反病毒软件设计者都要考虑到内存杀毒。 内存杀毒技术首先找到病毒在内存中的位置，重构其中部分代码，使其传播功能失效。 计算机病毒的清除 压缩文件病毒的检测和清除 压缩程序在压缩文件的同时也改变了依附在文件上的病毒代码，使得一般的反病毒软件无法检查到病毒的存在。 已被压缩的文件被解压缩并执行时，病毒代码也被恢复并激活，将到处传播和破坏。 目前的主流防病毒软件都已经在其产品中包含了特定的解压缩模块，可以既检查被压缩后的病毒，又不破坏被压缩后没有病毒的文件。 * Suggestion to speaker: Read the Radicati white paper before giving this presentation. The white paper is posted in the Hot Topics and Messaging Security