IDS计算机病毒的学习课件.pptxVIP

IDS计算机病毒的学习课件第1页/共48页 2病毒防范公理1. 不存在这样一种反病毒软硬件，能够防治未来产生的所有病毒。2. 不存在这样一种病毒程序，能够让未来的所有反病毒软硬件都无法检测。第2页/共48页 3病毒防范公理3. 目前的反病毒软件和硬件以及安全产品是都易耗品，必须经常进行更新、升级。4. 病毒产生在前，反病毒手段滞后的现状，将是一个长期的过程。第3页/共48页 4对待计算机病毒应持有的态度1. 客观承认计算机病毒的存在，但不要惧怕病毒。2. 树立计算机病毒意识，积极采取预防（备份等）措施。3. 掌握必要的计算机病毒知识和病毒防治技术，对用户至关重要。4. 发现病毒，冷静处理。 第4页/共48页 5反病毒的方法 理想的解决病毒威胁的方法是预防：首先就是不允许病毒进入系统。这个目标通常不可能实现，尽管必要的防护措施可以在一定程度上降低病毒成功攻击的次数。其次就是能够执行如下操作：第5页/共48页 6反病毒的方法 检测（Detection）: 一旦病毒感染系统，系统就应该 确定这一事实并对病毒进行定位。识别（Identification）：检测到病毒后， 应该能够识别被感染的程序中的病毒类型第6页/共48页 7反病毒的方法清除（Removal）: 病毒被识别后，对病毒所感染的程序中所有可能发生的变化进行检查，清除病毒并使程序还原到感染前的状态， 并清除所有被感染系统中的病毒从而使其无法继续传播。第7页/共48页 8反病毒的方法随着病毒的演化，病毒和相应的反病毒软件都变得愈发复杂和高级。将反病毒软件划分为四代：第一代: 简单扫描器；第二代:启发式扫描器；第三代: 活动陷阱；第四代: 全功能防护。第8页/共48页 9反病毒的方法 第一代扫描器 需要病毒特征码作为识别病毒的依据。病毒可能包含一些 “通配符” 。但是在该病毒的所有副本中，通配符具有本质上相同的结构和特征模式。这些指定特征码的扫描器只能检测到已知类型的病毒。第9页/共48页 10特征码扫描技术分析出病毒的特征病毒码并集中存放于病毒代码库文件中，在扫描时将扫描对象与特征代码库比较，如有吻合则判断为染上病毒。查杀病毒滞后，并且庞大的特征码库会造成查毒速度下降；但是对加密、变形的新病毒无能为力。第10页/共48页 11反病毒的方法第二代反病毒技术采用静态广谱特征扫描技术，可以检测变形病毒，但是误报率高，杀毒风险大。第二代扫描器 不再依赖特定的病毒特征码，而是，利用启发式规则有哪些信誉好的足球投注网站可能的病毒感染。 这类扫描器之一就通过搜寻经常与病毒相关联的代码段确定病毒。第11页/共48页 12反病毒的方法第二代扫描器采用的另一种方法是完整性校验。 这种方法对每一个程序计算校验和，并将校验和添加到程序中。 如果某个病毒感染程序而没有改变校验和，那么完整性校验将会捕获这个变化。第12页/共48页 13反病毒的方法第三代反病毒程序是内存驻留型程序，它通过病毒在感染程序中的行为而不是结构进行识别。第四代 产品综合运用了多种不同的反病毒技术软件包其中包括扫描、活动陷阱等组件。另外，这种软件包还包含访问控制功能，它限制病毒渗透系统的能力，也由此限制病毒为不断感染而改写文件的能力。第13页/共48页 14目前的流行技术虚拟机技术计算机监控技术数字免疫系统压缩智能还原技术启发式代码扫描技术文件时事监控技术第14页/共48页 15启发式代码扫描技术启发式指的“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能。”一个运用此技术的病毒检测软件，实际上就是以特定方式实现的动态跟踪器或反编译器，通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。第15页/共48页 16启发式代码扫描技术例如，一段程序以如下序列开始：MOV AH, 5INT 13h实现调用格式化盘操作的BIOS指令功能，那么这段程序就高度可疑值得引起警觉，尤其是假如这段指令之前不存在取得命令行关于执行的参数选项，又没有要求用户交互地输入继续进行的操作指令时，可以有把握地认为这是一个病毒或恶意破坏的程序。第16页/共48页 17启发式代码扫描技术可疑的功能：格式化磁盘类操作有哪些信誉好的足球投注网站和定位各种可执行程序的操作实现驻留内存的操作发现非常的或未公开的系统功能调用的操作第17页/共48页 18文件时事监控技术通过利用操作系统底层接口技术，对系统中的所有类型文件或指定类型的文件进行实时的行为监控。从而实现了对病毒的实时、永久、自动监控。这种技术能够有效控制病毒的传播途径，但是这种技术的实现难度较大，系统资源的占用率也会有所降低。第18页/共48页 19计算机监控技术文件实时监控内存实时监控脚本实时监控邮件实时监控注册表实时监控第19页/共48页 20未知病毒查杀技术未知病毒技术是继虚拟执行技术后的又一大技术突破，它结合了虚拟技术和人工智