概述n病毒防范公理n重要的反病毒技术n病毒解决方案和策略n防病毒策略防病毒策略1病毒防范公理n1. 不存在这样一种反病毒软硬件，能够防治未来产生的所有病毒。n2. 不存在这样一种病毒程序，能够让未来的所有反病毒软硬件都无法检测。2病毒防范公理n3. 目前的反病毒软件和硬件以及安全产品是都易耗品，必须经常进行更新、升级。n4. 病毒产生在前，反病毒手段滞后的现状，将是一个长期的过程。3对待计算机病毒应持有的态度n1. 客观承认计算机病毒的存在，但不要惧怕病毒。n2. 树立计算机病毒意识，积极采取预防（备份等）措施。n3. 掌握必要的计算机病毒知识和病毒防治技术，对用户至关重要。n4. 发现病毒，冷静处理。 4反病毒的方法 n理想的解决病毒威胁的方法是预防：首先就是不允许病毒进入系统。这个目标通常不可能实现，尽管必要的防护措施可以在一定程度上降低病毒成功攻击的次数。其次就是能够执行如下操作：5反病毒的方法 n检测（检测（Detection）: 一旦病毒感染系统，系统就应该 确定这一事实并对病毒进行定位。n识别（Identification）：检测到病毒后， 应该能够识别被感染的程序中的病毒类型6反病毒的方法n清除（清除（Removal）: 病毒被识别后，对病毒所感染的程序中所有可能发生的变化进行检查，清除病毒并使程序还原到感染前的状态， 并清除所有被感染系统中的病毒从而使其无法继续传播。7反病毒的方法n随着病毒的演化，病毒和相应的反病毒软件都变得愈发复杂和高级。n将反病毒软件划分为四代：n第一代: 简单扫描器；n第二代:启发式扫描器；n第三代: 活动陷阱；n第四代: 全功能防护。8反病毒的方法n 第一代扫描器第一代扫描器 需要病毒特征码作为识别病毒的依据。病毒可能包含一些 “通配符” 。但是在该病毒的所有副本中，通配符具有本质上相同的结构和特征模式。这些指定特征码的扫描器只能检测到已知类型的病毒。9特征码扫描技术n分析出病毒的特征病毒码并集中存放于病毒代码库文件中，在扫描时将扫描对象与特征代码库比较，如有吻合则判断为染上病毒。n查杀病毒滞后，并且庞大的特征码库会造成查毒速度下降；n但是对加密、变形的新病毒无能为力。10反病毒的方法n第二代反病毒技术采用静态广谱特征扫描技术，可以检测变形病毒，但是误报率高，杀毒风险大。n第二代扫描器第二代扫描器 不再依赖特定的病毒特征码，而是，利用启发式规则搜索可能的病毒感染。 这类扫描器之一就通过搜寻经常与病毒相关联的代码段确定病毒。11反病毒的方法n第二代扫描器采用的另一种方法是完整性校验。 这种方法对每一个程序计算校验和，并将校验和添加到程序中。 如果某个病毒感染程序而没有改变校验和，那么完整性校验将会捕获这个变化。12反病毒的方法n第三代反病毒程序是内存驻留型程序，它通过第三代反病毒程序是内存驻留型程序，它通过病毒在感染程序中的行为而不是结构进行识别。病毒在感染程序中的行为而不是结构进行识别。n第四代第四代 产品综合运用了多种不同的反病毒技术软件包其中包括扫描、活动陷阱等组件。另外，这种软件包还包含访问控制功能，它限制病毒渗透系统的能力，也由此限制病毒为不断感染而改写文件的能力。13目前的流行技术目前的流行技术n虚拟机技术虚拟机技术n计算机监控技术计算机监控技术n数字免疫系统数字免疫系统n压缩智能还原技术n启发式代码扫描技术启发式代码扫描技术n文件时事监控技术14启发式代码扫描技术启发式代码扫描技术n启发式指的“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能。”n一个运用此技术的病毒检测软件，实际上就是以特定方式实现的动态跟踪器或反编译器，通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。15启发式代码扫描技术启发式代码扫描技术n例如，一段程序以如下序列开始：nMOV AH, 5nINT 13hn实现调用格式化盘操作的BIOS指令功能，那么这段程序就高度可疑值得引起警觉，n尤其是假如这段指令之前不存在取得命令行关于执行的参数选项，又没有要求用户交互地输入继续进行的操作指令时，可以有把握地认为这是一个病毒或恶意破坏的程序。16启发式代码扫描技术启发式代码扫描技术n可疑的功能：n格式化磁盘类操作n搜索和定位各种可执行程序的操作n实现驻留内存的操作n发现非常的或未公开的系统功能调用的操作17文件时事监控技术n通过利用操作系统底层接口技术，对系统中的所有类型文件或指定类型的文件进行实时的行为监控。从而实现了对病毒的实时、永久、自动监控。这种技术能够有效控制病毒的传播途径，但是这种技术的实现难度较大，系统资源的占用率也会有所降低。18计算机监控技术n文件实时监控n内存实时监控n脚本实时监控n邮件实时监控n注册表实时监控19未知病毒查杀技术n未知病毒技术是继虚拟执行技术后的又一大技术突破，它结合了虚拟技术和人工智能技术，实现了对未知病毒的准确查杀。20压缩智能还原技术n世界上的压缩工具、打包工具、加“壳”工具多不胜数，病毒如果被这样的工具处理后，对于防病毒软件来说，就是一个噩梦。n为了使用统一的方法来解决这个问题，反病毒专家们发明了未知解压技术，它可以对所有的这类文件在内存中还原，从而使得病毒完全暴露出来。21高级反病毒的技术n更高的反病毒方法和产品不断涌现。在这一节中我们将对其中最重要的两种进行重点说明: 通用解密和数字免疫系统。22通用加密n通用加密通用加密 (GD) 技术使得反病毒软件能够在保证足够快的扫描速度的同时，也能够轻松地检测到最为复杂的病毒变种 。 回想一下当含有多态病毒的文件执行时, 病毒必须首先将自身解密以得到激活。 为了检测到这样的病毒结构可执行文件应该通过GD扫描器运行。23GD扫描器包含以下几个部件nCPU仿真器（仿真器（CPU emulator）：CPU仿真器是一种基于软件的虚拟计算机。 它可以从底层处理器中接管对可执行文件中指令的解释权。仿真器包括所有的寄存器和其他处理硬件的软件版本, 所以 在仿真器上解释运行的程序对底层处理器不会产生实际的危害。24GD扫描器包含以下几个部件n病毒特征码扫描器（病毒特征码扫描器（Virus signature scanner）：）：对目标代码进行扫描来寻找抑制病毒特征码的模块。n仿真控制模块（仿真控制模块（Emulation control module）：该模块控制目标代码的执行。25虚拟机技术虚拟机技术n用程序代码虚拟出一个CPU及其各个寄存器，甚至将硬件端口也虚拟出来，用调试程序调入“病毒样本”并将每一个语句放到虚拟环境中执行，这样我们就可以通过内存和寄存器以及端口的变化来了解程序的执行，从而判断是否中毒。26虚拟机技术虚拟机技术主要执行过程n1. 在查杀病毒时，在机器虚拟内存中模拟出一个“指令执行虚拟机器”；n2. 在虚拟机环境中虚拟执行（不会被实际执行）可疑带毒文件；27虚拟机技术虚拟机技术主要执行过程n3. 在执行过程中，从虚拟机环境内截获文件数据，如果含有可疑病毒代码，则说明发现了病毒。n4. 杀毒过程是在虚拟环境下摘除可疑代码，然后将其还原到原文件中，从而实现对各类可执行文件内病毒的杀除。28免疫技术免疫技术n免疫的原理免疫的原理n传染模块要做传染条件判断n病毒程序要给被传染对象加上传染标识:黑色星期五n在正常对象中自动加上这种标识，就可以不受病毒的传染，起到免疫的作用29免疫技术免疫技术n计算机病毒免疫的方法计算机病毒免疫的方法n针对某一种病毒进行的计算机病毒免疫n把感染标记写入文件和内存,防止病毒感染30免疫技术免疫技术缺点n对不设有感染标识的病毒不能达到免疫目的。n当出现这种病毒的变种不再使用这个免疫标志时，或出现新病毒时，免疫标志发挥不了作用。n某些病毒的免疫标志不容易仿制，非要加上这种标志不可，则对原来的文件要做大的改动。31免疫技术免疫技术缺点n不可能对一个对象加上各种病毒的免疫标识。n这种方法能阻止传染，却不能阻止已经感染的病毒的破坏行为。32免疫方法。n2基于自我完整性检查的病毒的免疫方法。n为可执行程序增加一个免疫外壳，同时在免疫外壳中记录有关用于恢复自身的信息。n执行具有这种免疫功能的程序时，免疫外壳首先得到运行，检查自身的程序大小、校验和，生成日期和时间等情况，没有发现异常后，再转去执行受保护的程序。33缺点和不足：n每个受到保护的文件都要增加1KB-3KB，需要额外的存储空间。n现在使用中的一些校验码算法不能满足防病毒的需要，被某些种类的病毒感染的文件不能被检查出来。n无法对付覆盖方式的文件型病毒。34缺点和不足：n有些类型的文件不能使用外加免疫外壳的防护方法，这样将使那些文件不能正常执行。n当某些尚不能被病毒检测软件检查出来的病毒感染了一个文件，而该文件又被免疫外壳包在里面时，这个病毒就像穿了“保护盔甲”，使查毒软件查不到它，而它却能在得到运行机会时跑出来继续传染扩散。35数字免疫系统n数字免疫系统 是 IBM开发的一种全面而广泛的病毒保护措施。n但是正如 CHES97 中指出的, 近来网络的两种主要技术 对于病毒传播率的提高有着越来越大的影响：36数字免疫系统n集成邮件系统（集成邮件系统（Integrated mail systems）：）：诸如 Lotus Notes 和 Microsoft Outlook 这样的系统,向任何人发送任何内容或者对接收到的客体进行操作都变得非常简单。n移动程序系统（移动程序系统（Mobile-program systems）：）：诸如Java和ActiveX 等提供的机制允许程序自主地从一个系统转移到另外的系统。37数字免疫系统n为了应对这些以互联网为基础的威胁 ，IBM已经开发了一个原型的数字免疫系统。 38数字免疫系统n当一个新病毒进入一个组织的网络系统时，免疫系统会自动地对其进行捕获、分析、检测、屏蔽和清除操作。n并能够向运行IBM反病毒软件的系统报告该病毒信息，从而使这种病毒在广泛传播之前就可以被检测出来。39行为阻断软件 n与启发式或基于特征码的扫描不同， 行为阻断软件与主机操作系统相结合，实时地监控恶意的程序行为。 在检测到恶意的程序行为后，行为阻断软件将在潜在的恶意行为对实际系统实施攻击之前将其阻止。40行为阻断软件 n行为阻断软件所检测的行为包括以下几点：n试图 打开、查看、删除、添加或修改文件。n试图格式化磁盘以及其他不可恢复的磁盘操作。n修改可执行文件或宏的逻辑机制。n修改 关键系统设置（如启动设置）。41行为阻断软件n电子邮件脚本或即时消息客户脚本发送可执行内容。n初始化网络连接。42病毒解决方案和策略n病毒解决方案n病毒解决策略43 企业网络中的病毒漏洞企业网络中的病毒漏洞File ServerMail ServerClientInternet GatewayFirewallInternetInternet 企业网络基本结构企业网络基本结构 网关（网关（网关（网关（Gateway) Gateway) 服务器（服务器（服务器（服务器（Servers)Servers) 邮件服务器邮件服务器邮件服务器邮件服务器 文件文件文件文件/ /应用服务器应用服务器应用服务器应用服务器 客户端（客户端（客户端（客户端（clients)clients)44 趋势整体防病毒解决方案趋势整体防病毒解决方案FirewallInternetInternetFile ServerClientInternet GatewayInterScan VirusWallInterScan VirusWallServerProtectServerProtectfor NTfor NTfor NTfor NetWarefor NetWarefor NetWareCentral ControlTVCSTVCSMail ServerScanMailScanMailfor Exchangefor Exchangefor Exchangefor Lotus Notesfor Lotus Notesfor Lotus NotesOfficeScan ClientsOfficeScan ClientsOfficeScan ServerOfficeScan ServerOfficeScan Server 趋势整体防病毒解决方案趋势整体防病毒解决方案趋势整体防病毒解决方案趋势整体防病毒解决方案 1 1 网关级解决方案网关级解决方案网关级解决方案网关级解决方案 InterScan ViruswallInterScan Viruswall 2 2 服务器级解决方案服务器级解决方案服务器级解决方案服务器级解决方案 邮件服务器邮件服务器邮件服务器邮件服务器 ScanMailScanMail for Exchange / for Notes 文件服务器文件服务器文件服务器文件服务器 ServerProtect ServerProtect for NT / Netware 3 3 客户端解决方案客户端解决方案客户端解决方案客户端解决方案 Office ScanOffice Scan 4 4 集中管理系统解决方案集中管理系统解决方案集中管理系统解决方案集中管理系统解决方案 TVCSTVCS (Trend Virus Control System)45防病毒策略防病毒策略n1建立病毒防治的规章制度，严格管理；n2建立病毒防治和应急体系；n3进行信息安全教育，提高防范意识；n4对系统进行风险评估；n5选择经过公安部认证的病毒防治产品；n6正确配置，使用病毒防治产品；46防病毒策略防病毒策略n7正确配置系统，减少病毒分侵害事件；n8定期检查敏感文件；n9适时进行安全评估,调整病毒防治策略n10建立病毒事故分析制度；n11确保恢复，减少损失； 47本次课的知识点本次课的知识点n病毒防范公理n重要的反病毒技术n病毒解决方案和策略n防病毒策略防病毒策略48