反病毒技術(shù)概述

反病毒技術(shù)概述反病毒技術(shù)概述第1頁(yè)反病毒技術(shù)剖析反病毒技術(shù)概述病毒診療技術(shù)反病毒引擎技術(shù)剖析瑞星信息安全技術(shù)培訓(xùn)–反病毒技術(shù)概述反病毒技術(shù)概述Agenda反病毒技術(shù)概述第2頁(yè)反病毒技術(shù)概述瑞星信息安全技術(shù)培訓(xùn)–反病毒技術(shù)概述反病毒技術(shù)概述反病毒技術(shù)概述第3頁(yè)病毒疫苗舉例：“漂亮莎”病毒修改Windows注冊(cè)表項(xiàng)：HKEY_CURRENT_RSER\Software\Microsoft\Office,增加表項(xiàng)：Melissa并賦值為byKwyjibo瑞星信息安全技術(shù)培訓(xùn)–反病毒技術(shù)概述反病毒技術(shù)概述反病毒技術(shù)概述第4頁(yè)反病毒技術(shù)剖析反病毒技術(shù)概述病毒診療技術(shù)反病毒引擎技術(shù)剖析瑞星信息安全技術(shù)培訓(xùn)–反病毒技術(shù)概述Agenda病毒診療技術(shù)反病毒技術(shù)概述第5頁(yè)病毒診療技術(shù)計(jì)算機(jī)病毒比較法診療原理計(jì)算機(jī)病毒校驗(yàn)法診療原理計(jì)算機(jī)病毒掃描法診療原理計(jì)算機(jī)病毒行為監(jiān)測(cè)法診療原理計(jì)算機(jī)病毒行為感染試驗(yàn)法診療原理計(jì)算機(jī)病毒行為軟件模擬法診療原理計(jì)算機(jī)病毒分析法診療原理瑞星信息安全技術(shù)培訓(xùn)–反病毒技術(shù)概述病毒診療技術(shù)反病毒技術(shù)概述第6頁(yè)病毒診療技術(shù)－計(jì)算機(jī)病毒比較法瑞星信息安全技術(shù)培訓(xùn)–反病毒技術(shù)概述病毒診療技術(shù)反病毒技術(shù)概述第7頁(yè)病毒診療技術(shù)－計(jì)算機(jī)病毒比較法瑞星信息安全技術(shù)培訓(xùn)–反病毒技術(shù)概述病毒診療技術(shù)反病毒技術(shù)概述第8頁(yè)病毒診療技術(shù)－計(jì)算機(jī)病毒比較法瑞星信息安全技術(shù)培訓(xùn)–反病毒技術(shù)概述病毒診療技術(shù)反病毒技術(shù)概述第9頁(yè)病毒診療技術(shù)－計(jì)算機(jī)病毒比較法瑞星信息安全技術(shù)培訓(xùn)–反病毒技術(shù)概述病毒診療技術(shù)反病毒技術(shù)概述第10頁(yè)病毒診療技術(shù)－計(jì)算機(jī)病毒比較法瑞星信息安全技術(shù)培訓(xùn)–反病毒技術(shù)概述病毒診療技術(shù)反病毒技術(shù)概述第11頁(yè)病毒診療技術(shù)計(jì)算機(jī)病毒比較法診療原理計(jì)算機(jī)病毒校驗(yàn)法診療原理計(jì)算機(jī)病毒掃描法診療原理計(jì)算機(jī)病毒行為監(jiān)測(cè)法診療原理計(jì)算機(jī)病毒行為感染試驗(yàn)法診療原理計(jì)算機(jī)病毒行為軟件模擬法診療原理計(jì)算機(jī)病毒分析法診療原理瑞星信息安全技術(shù)培訓(xùn)–反病毒技術(shù)概述病毒診療技術(shù)反病毒技術(shù)概述第12頁(yè)病毒診療技術(shù)－計(jì)算機(jī)病毒掃描法瑞星信息安全技術(shù)培訓(xùn)–反病毒技術(shù)概述病毒診療技術(shù)掃描法是用每一個(gè)病毒體含有特定字符串對(duì)被檢測(cè)對(duì)象進(jìn)行掃描。假如在被檢測(cè)對(duì)象內(nèi)部發(fā)覺(jué)了某一個(gè)特定字符串，就表明發(fā)覺(jué)了該字符串所代表病毒。 特征代碼掃描法 特征字掃描法反病毒技術(shù)概述第13頁(yè)瑞星信息安全技術(shù)培訓(xùn)–反病毒技術(shù)概述病毒診療技術(shù)－計(jì)算機(jī)病毒掃描法特征代碼掃描法病毒掃描軟件由兩個(gè)別組成：一個(gè)別是病毒代碼庫(kù)，含有經(jīng)過(guò)尤其選定各種計(jì)算機(jī)病毒代碼串；另一個(gè)別是利用該代碼庫(kù)進(jìn)行掃描掃描程序。

病毒診療技術(shù)反病毒技術(shù)概述第14頁(yè)病毒診療技術(shù)－計(jì)算機(jī)病毒掃描法選擇代碼串規(guī)則是：代表性避開(kāi)數(shù)據(jù)區(qū)。盡可能使特征代碼長(zhǎng)度簡(jiǎn)短區(qū)分于其它病毒及其變種將病毒與正常非病毒程序區(qū)分開(kāi)瑞星信息安全技術(shù)培訓(xùn)–反病毒技術(shù)概述反病毒技術(shù)反病毒技術(shù)概述第15頁(yè)瑞星信息安全技術(shù)培訓(xùn)–反病毒技術(shù)概述反病毒技術(shù)病毒診療技術(shù)－計(jì)算機(jī)病毒掃描法比如給定特征串：“E97C0010?37CB”“E97C00102737CB”“E97C00109C37CB”又比如：“E97C37CB”“E97C0037CB”“E97C001137CB”“E97C00112237CB”“E97C001122334437CB”（不匹配）

反病毒技術(shù)概述第16頁(yè)瑞星信息安全技術(shù)培訓(xùn)–反病毒技術(shù)概述反病毒技術(shù)病毒診療技術(shù)－計(jì)算機(jī)病毒掃描法反病毒技術(shù)概述第17頁(yè)病毒診療技術(shù)－計(jì)算機(jī)病毒掃描法特征字掃描法速度更加快、誤報(bào)警更少，但依然存在特征代碼掃描法所含有一些缺點(diǎn)。只需從病毒體內(nèi)抽取極少幾個(gè)關(guān)鍵特征字組成特征字庫(kù)。需要處理字節(jié)極少，而又無(wú)須進(jìn)行串匹配，加緊了識(shí)別速度。瑞星信息安全技術(shù)培訓(xùn)–反病毒技術(shù)概述反病毒技術(shù)反病毒技術(shù)概述第18頁(yè)病毒診療技術(shù)－行為監(jiān)測(cè)法診療原理檢測(cè)行為包含占用INT13H修改DOS系統(tǒng)數(shù)據(jù)區(qū)內(nèi)存總量以COM和EXE文件做寫入動(dòng)作病毒程序與宿主程序切換瑞星信息安全技術(shù)培訓(xùn)–反病毒技術(shù)概述反病毒技術(shù)反病毒技術(shù)概述第19頁(yè)病毒診療技術(shù)－行為感染試驗(yàn)法行為感染試驗(yàn)法感染試驗(yàn)是一個(gè)簡(jiǎn)單實(shí)用檢測(cè)病毒方法。當(dāng)病毒檢測(cè)工具不能發(fā)覺(jué)病毒時(shí)，使用感染試驗(yàn)法。能夠檢測(cè)出病毒檢測(cè)工具不認(rèn)識(shí)新病毒，擺脫對(duì)檢測(cè)工具依賴，檢測(cè)可疑新病毒瑞星信息安全技術(shù)培訓(xùn)–反病毒技術(shù)概述反病毒技術(shù)DEMO反病毒技術(shù)概述第20頁(yè)病毒診療技術(shù)－行為軟件模擬法行為軟件模擬法針對(duì)多太性病毒檢測(cè)與查殺虛擬軟件法與特征代碼法相結(jié)合瑞星信息安全技術(shù)培訓(xùn)–反病毒技術(shù)概述反病毒技術(shù)反病毒技術(shù)概述第21頁(yè)病毒診療技術(shù)－計(jì)算機(jī)病毒分析法計(jì)算機(jī)病毒分析法確認(rèn)磁盤引導(dǎo)區(qū)和程序中是否含有病毒確認(rèn)病毒類型和種類，判定是否是新病毒搞清楚病毒體大致結(jié)構(gòu)，提取特征識(shí)別用字符串或特征字詳細(xì)分析病毒代碼，為制訂對(duì)應(yīng)反病毒辦法制訂方案瑞星信息安全技術(shù)培訓(xùn)–反病毒技術(shù)概述反病毒技術(shù)反病毒技術(shù)概述第22頁(yè)瑞星信息安全技術(shù)培訓(xùn)–反病毒技術(shù)概述反病毒技術(shù)病毒診療技術(shù)－計(jì)算機(jī)病毒分析法反病毒技術(shù)概述第23頁(yè)反病毒技術(shù)剖析反病毒技術(shù)概述病毒診療技術(shù)反病毒引擎技術(shù)剖析瑞星信息安全技術(shù)培訓(xùn)–反病毒技術(shù)概述Agenda反病毒技術(shù)概述第24頁(yè)病毒診療技術(shù)－計(jì)算機(jī)病毒分析法反病毒軟件組成瑞星信息安全技術(shù)培訓(xùn)–反病毒技術(shù)概述反病毒引擎技術(shù)反病毒技術(shù)概述第25頁(yè)應(yīng)用程序包含各種平臺(tái)各種應(yīng)用和監(jiān)控程序?qū)ο蠊芾沓绦蛞嬷骺貙?duì)象病毒庫(kù)管理對(duì)象應(yīng)用程序反病毒引擎查殺毒引擎復(fù)合文件拆分對(duì)象病毒庫(kù)文件瑞星信息安全技術(shù)培訓(xùn)–反病毒技術(shù)概述反病毒引擎技術(shù)引擎在反病毒軟件中位置反病毒技術(shù)概述第26頁(yè)瑞星信息安全技術(shù)培訓(xùn)–反病毒技術(shù)概述反病毒引擎技術(shù)對(duì)各種平臺(tái)提供支持支持各種平臺(tái)反病毒引擎是引擎技術(shù)發(fā)展方向，常見(jiàn)有支持Dos、Windows、Linuxforintel、Unixforintel、Freebsdforintel、Novell等各種平臺(tái)以及在此基礎(chǔ)上開(kāi)發(fā)針對(duì)不一樣用戶群不一樣應(yīng)用。反病毒技術(shù)概述第27頁(yè)DOS殺毒引擎宏病毒查殺引擎—特征碼匹配腳本病毒引擎、郵件、郵箱、壓縮包拆分引擎、反病毒虛擬機(jī)—運(yùn)行特征匹配未知病毒行為判定技術(shù)和虛擬脫殼技術(shù)瑞星信息安全技術(shù)培訓(xùn)–反病毒技術(shù)概述反病毒引擎技術(shù)引擎查殺毒技術(shù)發(fā)展歷程反病毒技術(shù)概述第28頁(yè)引擎體系架構(gòu)變遷模塊化設(shè)計(jì)方式年面向?qū)ο笤O(shè)計(jì)方式，基于C++設(shè)計(jì)思想增強(qiáng)了引擎可靠性和易維護(hù)性；年將com組件設(shè)計(jì)思想引入了引擎設(shè)計(jì)中，實(shí)現(xiàn)了引擎對(duì)象化和組建化，增強(qiáng)了引擎易用性、擴(kuò)展性、維護(hù)性和移植方便性瑞星信息安全技術(shù)培訓(xùn)–反病毒技術(shù)概述反病毒引擎技術(shù)反病毒引擎體系架構(gòu)反病毒技術(shù)概述第29頁(yè)瑞星信息安全技術(shù)培訓(xùn)–反病毒技術(shù)概述反病毒引擎技術(shù)引擎體系構(gòu)架反病毒技術(shù)概述第30頁(yè)瑞星信息安全技術(shù)培訓(xùn)–反病毒技術(shù)概述反病毒引擎技術(shù)反病毒引擎技術(shù)特征反病毒技術(shù)概述第31頁(yè)引擎郵件、郵箱、壓縮包對(duì)象在引擎中統(tǒng)稱為復(fù)合文件對(duì)象，在最新引擎復(fù)合文件對(duì)象中采取了虛擬文件系統(tǒng)技術(shù)及將復(fù)合文件對(duì)象看成一個(gè)文件系統(tǒng)（也能夠了解為一個(gè)目錄），采取這種方式能夠便捷地對(duì)郵件、郵箱、壓縮包進(jìn)行管理，處理方式愈加靈活。瑞星信息安全技術(shù)培訓(xùn)–反病毒技術(shù)概述反病毒引擎技術(shù)反病毒引擎技術(shù)特征郵件、郵箱、壓縮包拆分技術(shù)反病毒技術(shù)概述第32頁(yè)利用虛擬機(jī)對(duì)程序進(jìn)行虛擬執(zhí)行，經(jīng)過(guò)返回結(jié)果判定文件是否被加殼。真實(shí)脫殼是對(duì)加殼算法進(jìn)行分析后生成脫殼算法。瑞星信息安全技術(shù)培訓(xùn)–反病毒技術(shù)概述反病毒引擎技術(shù)反病毒引擎技術(shù)特征虛擬與真實(shí)相結(jié)合脫殼技術(shù)反病毒技術(shù)概述第33頁(yè)利用智能代碼分析技術(shù)（即基于對(duì)經(jīng)典病毒代碼特征和執(zhí)行流程進(jìn)行分析，提取經(jīng)典病毒經(jīng)典代碼特征和邏輯特征并作為查殺病毒特征串）可對(duì)木馬程序提取指紋信息。經(jīng)過(guò)指紋，引擎能夠快速地排除正常文件。瑞星信息安全技術(shù)培訓(xùn)–反病毒技術(shù)概述反病毒引擎技術(shù)反病毒引擎技術(shù)特征木馬指紋特征技術(shù)反病毒技術(shù)概述第34頁(yè)查殺病毒時(shí)在機(jī)器虛擬內(nèi)存中模擬出一個(gè)“指令執(zhí)行虛擬機(jī)”；在虛擬機(jī)環(huán)境中虛擬執(zhí)行（不會(huì)被實(shí)際執(zhí)行）帶毒文件；在執(zhí)行過(guò)程中，從虛擬機(jī)環(huán)境內(nèi)截獲文件數(shù)據(jù)，假如含有可疑病毒代碼，則殺毒后將其還原到文件中，從而實(shí)現(xiàn)對(duì)各類可執(zhí)行文件內(nèi)病毒查殺。采取這種方法能夠?qū)Ω都用苄?、變形型、程序自壓縮文件內(nèi)病毒。瑞星信息安全