主机恶意代码防范技术概论主机恶意代码防范技术概论1 病毒诊断技术计算机病毒诊断技术有比较法、特征代码比对法、行为监测法和分析法等多种方式方 法，随着病毒技术的发展，病毒诊断技术也不断发展，但上述几种基本方法仍显得非常重 要，本节将简略的向大家介绍这些检测方法。 比较法对比较法的理解有两个方面。第一，作为普通的计算机用户，可以根据计算机的变化 判断是否感染了病毒。比如，文件的长度是否发生了变化？文件的最后修改日期是否有问 题？系统是否明显变慢了？内存中是否有异常进程？有异常的网络流量出现等。通过上述 症状，普通用户即可以发现病毒的存在。第二，借助一系列的工具软件检查上面提到的几 个变化，从而诊断是否出现了病毒，这里提到的普通工具软件并非指专业的查病毒软件， 而是诸如进程查看器，流量检测工具等。 虽然，防毒软件的更新速度越来越快，但是新的病毒还是不断涌现，所以比较法这一 实用而又简单的方法对发现新病毒仍然十分重要。因此，计算机用户十分有必要掌握更多 的病毒检测知识来应对新病毒的出现。 特征码比对法特征码比对法是目前防毒软件所使用的最关键的病毒检测技术，使用防毒软件的计算 机用户绝大多数人都知道，防毒软件需要不断地更新病毒码，只有更新了病毒码才能检测 新的病毒。这里的病毒码就是特征码，是含有经过特别选定的各种计算机病毒的代码串。 特征码的提取过程就好比在病毒文件中提取指纹信息，病毒码文件就是这样的指纹库。检 测病毒的过程就好比是指纹比对的过程。显而易见，特征库越大，防毒软件能认出的病毒 就会更多。 特征码比对方法是近年来防病毒最主流的技术，防毒厂商也在病毒码文件大小和抓病毒的 速度上做足文章，并进行比拼。这一方法在病毒数量还在十万级的数量时，可以说是非常 有效的。但是，随着病毒数量的扩大，全球病毒数量以千万计的情况下，病毒码文件不可 能无限制增大，那么势必就需要新的技术来对抗计算机病毒发展。 计算机病毒行为监测法计算机病毒之所以成为“病毒”，其自身必然有众多的行为在表现出其“坏人”的一 面。行为监测法就是利用病毒的特有行为特性来发现病毒。目前，行为监测技术从简单的 行为判断逐步上升到智能防护的阶段。如趋势科技现在倡导的“智能防护网络”可以从程 序的来源、程序和其他恶意程序/网站间的关联、程序的行为表现等多个关联角度，智能判 断程序的属性是否为恶意。 分析法分析法是反病毒专业人员使用的方法，而不是普通用户使用的方法。其方法就是专业 人员运用本书提到的专业知识，通过详细分析病毒文件代码，掌握确切的病毒特征和信息， 并从中提取病毒特征码。分析法分为静态分析法和动态分析法。静态分析法指利用反汇编程序将病毒代码反汇 编后，对程序清单进行分析，从而察看病毒文件的构成，各个功能模块的作用，使用了哪 些系统调用等。动态分析法是使用程序调试工具在内存带毒的情况下对病毒进行动态跟踪，观察病毒的具体工作过程。防毒软件采用各种不同的方法来查找恶意代码和垃圾邮件。每个方法都有其优点和缺 点。当面对一些病毒威胁或特殊情况时，每个方法都不是完全有效的。最好的解决方案是 将这些方法结合起来。2 反病毒技术相关概念为方便读者能更好的理解防毒软件的运作，下面介绍病毒软件中的一些常用概念。 活动监测一些防毒软件会经常检查工作站或网络发现可疑的活动，比如试图写入另一个可执行 程序或对硬盘进行重新格式化，以此来搜索恶意代码。活动监视不能直接检查文件或代码 来发现病毒，而是关注计算机系统中所发生的事件。一个隧道病毒可以绕过或禁用这种保 护。 实时扫描在访问某个文件时，执行实时扫描的防毒产品会检查这个被打开的文件。扫描程序会 检查文件中已知的恶意代码。这个扫描动作在背景中发生，不需要用户的参与。然而，这 类扫描只局限于检查已知的恶意代码签名，无法检测到未知的恶意代码。 完整性检查完整性检查也称为修改检测，是一种可以查找文件是否被病毒行为修改的扫描技术。 一个用这种技术的防毒程序会计算它所扫描文件的校验和或散列值；然后程序会再次计算 文件的散列值，并将这些值与原来的值进行比较。如果该值不匹配，说明文件已经被修改。完整性检查将检查到有意或无意的修改，用户必须确定这种修改是否是由病毒引起的。 内容扫描在内容扫描中，通过检查电子邮件信件和附件来查找某些特定的语句和词语、文件扩 展名或病毒签名。随着垃圾邮件的继续增长，以及其他计算机病毒不断利用电子邮件来传 播病毒，这种技术现在变得越来越重要。 内容扫描程序会将电子邮件和附件与一组规则进行比较来确定它们是否含有可疑的部 分。垃圾邮件中经常会包含某些特殊的语句，可能暗示该邮件的目的，因为可执行文件或 其他附加的文件类型可能包含病毒或蠕虫。如果病毒扫描程序检测到一个被认为是可疑的 语句或特定的文件类型，电子邮件就会被阻挡、删除、清理或转移到管理员那里。 除了过滤发来的电子邮件中的计算机病毒，内容扫描还可以用来过滤发出邮件中的攻 击性语言或秘密信息。 内容过滤的效力是由扫描程序设定的规则决定的。必须在规则中进行明确设置才能够 对内容进行检测。 启发式扫描启发式扫描是一种能够让防毒扫描程序分析一个可执行文件的代码，从而确定该程序 将可能做些什么的一种技术，而不是搜索含有已知病毒签名的文件。启发式扫描将文件的 指令与一组规则进行对比，查看这些指令中是否会产生有害的行为。例如，指示一个程序 编入一个硬盘中的引导扇区的代码可能表明该程序是病毒。 因为启发式扫描不会搜索指定的病毒签名，它能够检测到以前未知的病毒和恶意代码。 不幸的是，这个方法通常还可能产生错误警告。 错误警告当防毒软件错误地识别了一个病毒或恶意代码时就会发生错误警告。错误警告可能是 正面错误或是反面错误。 当防毒软件将一个没有病毒的文件或目标标为“被感染”时会发生正面错误。当一个 文件或目标被感染，但造成感染的恶意代码并不是防毒软件所识别的恶意代码时，会发生 反面错误。如果一个病毒感染被误诊，则清理这个被识别出的病毒的步骤可能就不会清理 真正存在的病毒。 当防毒软件不能识别出一个文件或可执行文件已经被感染时，就会发生反面错误。3 防范病毒的一般措施前几章主要介绍针对特定类型病毒的防范措施，本节将介绍一些通用的病毒防护措施。 使用正版防病毒软件、防病毒墙，并关注最新的病毒警告，及时更新防毒软件。 密切关注系统安全公告和漏洞公告，及时更新系统和安装补丁。 及时备份重要数据和系统数据。 对于新购的软件、存储介质、计算机进行病毒检测。 养成良好的上网习惯，不访问非法、不良网站；从网上下载的免费软件和自由软件 先进行病毒扫描，然后再运行。 对于 U 盘、移动硬盘的使用要格外小心，防止病毒通过移动设备传播。 不要和“陌生人”说话，对于“陌生人”通过 MSN/QQ 等聊天工具提供的软件、 游戏、图片、链接不要轻易点击。 不要轻易打开莫名的电子邮件和附件。 保护好用户名和密码，尤其是银行账号和虚拟信息资产账号。4 企业防毒体系构建本节主要介绍企业构建计算机系统免受病毒、恶意代码和垃圾邮件攻击的常用方法。4.1 全面防护的原则病毒防护体系建设是一项复杂的系统工程，所谓“三分技术，七分管理”，只有将安 全技术和企业管理有机结合，充分发挥人员在安全体系建设过程中的能动性、积极性才能 让体系有效的运作，并发挥最大的价值。下图简要的说明了在安全体系中人员、技术和流 程三个支点的重要关系。4.2 多层次保护战略早期的病毒和恶意代码是通过软盘传播到个人工作站中，其感染主要集中在本地。防 毒软件也主要针对桌面保护。随着网络技术的快速发展，当前大多数病毒和恶意代码都来 自互联网或电子邮件。它们通常先攻击服务器和网关，然后再扩散到公司的整个内部网络。 正是由于这种感染方式的变化，所以，当前许多防毒产品都是基于网络的而不是基于桌面 上的。 现代的网络结构通常分三个等级或层次，可以将防毒产品部署在它们之上。网关网关是内部网和防火墙以外的外部网络，即互联网之间的接口。防火墙、代理服务和信息处理服务器是网关的不同类型服务器应用、网络设备和数据库都是部署在服务器上的，服务器通常是病毒和恶意代码的主要攻击对象桌面除了通过互联网下载或电子邮件感染病毒，工作站也极易通过软盘传播病毒。此外许多无线设备，如 PDA，也能够与 PC 接口，为恶意代码创造了另一个可能的进入点一个多层次的保护战略应该能够将防毒软件安装在所有这三个网络层中，提供对计算 机病毒的集中防护。一个多层的战略可以由一个厂商的产品实施，也可以由多个厂商的产 品共同实施。一个单厂商多层次的战略即在网络的三个层次（网关、服务器和桌面）中部 署来自同一厂商的产品。由于单个厂商经常成套出售其产品，因此，这种方案可能会比多 厂商方案更加经济。不仅如此，单厂商策略在产品上易于管理。一个多厂商多层次的战略 即在网络的三个层次上分别部署来自两个或多个厂商的产品，该方案有可能会带来防护上 的互补性，但是也可能会产生成本上升和难于管理的问题。 同多层次方案不同，一个基于点的保护战略只会将产品置入网络中已知的进入点。桌 面防毒产品就是其中的一个例子，它不负责保护服务器或网关。这个战略比多层次方案更 加经济。但应该注意，“震网”和“飞客”这样的混合型病毒经常会攻击网路中多个进入 点。一个基于点的战略可能无法提供应付这种攻击的有效防护。 一个集成方案可以将多层次的保护和基于点的方法相结合来提供抵御计算机病毒的最 广泛的防护。许多防毒产品包都是根据这个战略设计而成的。另外，一个集成的方案通过 提供一个中央控制台还可以提高管理水平，尤其是在使用单厂商的产品包时更是如此。4.3 主动式防护战略除了在网络中寻找最佳位置实施防毒保护的问题以外，还存在着对抗病毒的最佳时机 问题。许多公司都拥有一个被动型战略，即只有在系统被感染以后才会对抗恶意代码。有些公司甚至没有部署一个保护性基础设施。在被动型战略中，被病毒感染的公司会与防毒 厂商进行联络，希望厂商能够为他们提供所需的代码文件和其他工具来扫描和清除病毒。 这个过程很耽误时间，进而造成生产效率和数据的损失。 一个主动型战略指的是在病毒发生之前便准备好对抗病毒的办法，具体就是定期获得 最新的代码文件，并进行日常的恶意代码扫描。一个主动型的战略不能保证公司永远不被 病毒感染，但它却能够使公司快速检测到和抑制住病毒感染，减少损失的时间，以及被破 坏的数据量。应应用用时时间间风风险险、损损失失或或成成本本没有配备有效的反病 毒产品有效的反病毒产品+强 大的TMES服务仅有效使用反病毒产品对病毒保护采取主动型方案的公司通常会订购防毒支持服务。这些服务由防毒厂商提 供，包括定期更新的代码文件以及有关新病毒的最新消息，对减少病毒感染的建议，提供 解决病毒问题的解决方案。订购服务通常都设有支持中心，能够为客户提供全天候的信息 和帮助服务。4.4 经济高效性战略 选择可信赖的安全服务厂商当前，有许多厂商生产防毒产品。一些厂商创建它们的 “自用”的防毒技术，也就是说， 这些防毒厂商设计和生产它们自己的软件，如趋势科技。有的厂商则采用另一些公司（此处 是指原始设备生产商或OEM）开发的产品组成一个防毒解决方案。 不同的厂商也采取不同的方案来对付计算机病毒。有些厂商将他们的技术集中在桌面 上，而其他厂商则将重点放在网关上，或提供一个完整的多层次解决方案。选择一个厂商 需要系统管理员理解适合于各自公司的最佳战略，并应清楚哪个厂商能够更好地与他们的 战略兼容。 选择高性价比的防毒产品和服务防毒产品在功能和保护网络的方案上有很大的不同。企业需要了解到自身的安全问题 是什么，安全问题的短板是那里，然后选择合适的产品和技术来加强防护体系的强度。下 面的列表对三个市场领先的厂商的防毒产品的一般特性进行了比较。