反病毒技術概述

反病毒技術概述瑞星信息安全技術培訓–反病毒技術－反病毒技術剖析反病毒技術剖析反病毒技術概述病毒診斷技術反病毒引擎技術剖析瑞星信息安全技術培訓–反病毒技術概述反病毒技術概述Agenda反病毒技術概述特征值虛擬機技術啟發(fā)式掃描病毒疫苗瑞星信息安全技術培訓–反病毒技術概述反病毒技術概述病毒疫苗舉例：“美麗莎”病毒修改Windows注冊表項：HKEY_CURRENT_RSER\Software\Microsoft\Office,增加表項：Melissa并賦值為byKwyjibo瑞星信息安全技術培訓–反病毒技術概述反病毒技術概述反病毒技術剖析反病毒技術概述病毒診斷技術反病毒引擎技術剖析瑞星信息安全技術培訓–反病毒技術概述Agenda病毒診斷技術病毒診斷技術計算機病毒比較法診斷原理計算機病毒校驗法診斷原理計算機病毒掃描法診斷原理計算機病毒行為監(jiān)測法診斷原理計算機病毒行為感染試驗法診斷原理計算機病毒行為軟件模擬法診斷原理計算機病毒分析法診斷的原理瑞星信息安全技術培訓–反病毒技術概述病毒診斷技術病毒診斷技術－計算機病毒比較法瑞星信息安全技術培訓–反病毒技術概述病毒診斷技術長度比較內容比較內存比較中斷比較病毒診斷技術－計算機病毒比較法瑞星信息安全技術培訓–反病毒技術概述病毒診斷技術長度比較病毒感染系統(tǒng)或文件長度的變化變化可能是合法的某些病毒感染文件時長度可保持不變病毒診斷技術－計算機病毒比較法瑞星信息安全技術培訓–反病毒技術概述病毒診斷技術內容比較病毒感染系統(tǒng)或文件內容的變化變化可能是合法的病毒診斷技術－計算機病毒比較法瑞星信息安全技術培訓–反病毒技術概述病毒診斷技術內存比較病毒駐留內存必須在內存中申請空間與正常系統(tǒng)內存的占用空間進行比較對于隱蔽型病毒無效病毒診斷技術－計算機病毒比較法瑞星信息安全技術培訓–反病毒技術概述病毒診斷技術中斷比較病毒為實現(xiàn)隱蔽和傳染，常更改、接管中斷向量與正常系統(tǒng)中的中斷向量進行比較，判斷是否有修改和盜用病毒診斷技術計算機病毒比較法診斷原理計算機病毒校驗法診斷原理計算機病毒掃描法診斷原理計算機病毒行為監(jiān)測法診斷原理計算機病毒行為感染試驗法診斷原理計算機病毒行為軟件模擬法診斷原理計算機病毒分析法診斷的原理瑞星信息安全技術培訓–反病毒技術概述病毒診斷技術病毒診斷技術－計算機病毒掃描法瑞星信息安全技術培訓–反病毒技術概述病毒診斷技術掃描法是用每一種病毒體含有的特定字符串對被檢測的對象進行掃描。如果在被檢測對象內部發(fā)現(xiàn)了某一種特定字符串，就表明發(fā)現(xiàn)了該字符串所代表的病毒。 特征代碼掃描法 特征字掃描法對比診斷分析瑞星信息安全技術培訓–反病毒技術概述病毒診斷技術－計算機病毒掃描法特征代碼掃描法病毒掃描軟件由兩部分組成：一部分是病毒代碼庫，含有經(jīng)過特別選定的各種計算機病毒的代碼串；另一部分是利用該代碼庫進行掃描的掃描程序。

病毒診斷技術對比診斷分析病毒診斷技術－計算機病毒掃描法選擇代碼串的規(guī)則是：代表性避開數(shù)據(jù)區(qū)。盡量使特征代碼長度簡短區(qū)別于其它病毒及其變種將病毒與正常的非病毒程序區(qū)分開瑞星信息安全技術培訓–反病毒技術概述反病毒技術對比診斷分析瑞星扶信息海安全手技術膀培訓–反病謙毒技宿術概危述反病瞞毒技鴨術病毒禍診斷疏技術經(jīng)－計算亂機病遮毒掃強描法例如醫(yī)給定丘特征由串：“E9逃7善C槽00偉1灶0達?余37間C茂B”“E邁9鈴7C使0咬0斃10予2鎖7猴37沾C列B”“E辱9逐7C宴0脂0抄10朽9陪C蝴37憑C潛B”又例要如：“E9蹄7有C緣瑞37始C問B”“E到9啊7C爆0懇0免37堅C蹄B”“E宵9詳7C笛0煙0超11代3爸7掘CB修”“E塌9恥7C紗0堅0蜜11心2高2柜37崗C姨B”“E僑9餡7C替0系0咸11首2尼2宅33歐4瘋4汽37嗽C旅B”（不評匹配薯）瑞星粘信息問安全繞技術篩培訓–反病櫻毒技館術概直述反病如毒技溉術病毒弦診斷畝技術睜－計算伐機病秤毒掃洲描法特征串掃描的優(yōu)點當特征串選擇得很好時，軟件操作方便用PCTOOLS等軟件也能用特征串掃描法去檢測特定病毒?？勺R別病毒的名稱誤報警率低依據(jù)檢測結果，可做殺毒處理特征串掃描的缺點當文件很長時費時間多不易選出合適的特征串新病毒的特征串未加入病毒代碼庫時，無法識別出新病毒代碼庫泄密會影響檢測能力容易產(chǎn)生誤報不易識別MutationEngine類病毒搜集已知病毒的特征代碼，費用開銷大在網(wǎng)絡上使用效率低病毒蘇診斷責技術誦－計算善機病伙毒掃叉描法特征但字掃綠描法速度途更快尚、誤須報警謀更少縫，但執(zhí)仍然搭存在伶特征餡代碼憂掃描顯法所搜具有伶的一康些缺矛點。只需胖從病膨毒體篇內抽首取很畏少幾謠個關繭鍵的純特征島字組尼成特古征字坐庫。需要歐處理瀉的字君節(jié)很延少，休而又頑不必翠進行訓串匹健配，兄加快科了識市別速殖度。瑞星珍信息冰安全續(xù)技術棚培訓–反病呢毒技析術概初述反病壞毒技銷術對比診斷分析病毒末診斷吃技術錯－行為之監(jiān)測健法診揭斷原菠理檢測兼的行炕為包炎括占用IN杯T吵13耳H修改DO眾S系統(tǒng)漢數(shù)據(jù)圾區(qū)的盛內存辜總量以CO簽M和EX育E文件歸做寫內入動羊作病毒醫(yī)程序葵與宿頭主程繩序的名切換瑞星晌信息透安全常技術仍培訓–反病粗毒技姻術概與述反病寒毒技冬術對比診斷分析病毒錫診斷摔技術效－行為紀感染魯試驗平法行為翠感染禮試驗雀法感染抱實驗亦是一兼種簡撓單實奔用的內檢測虛病毒牛方法笨。當病參毒檢滾測工載具不籠能發(fā)拉現(xiàn)病罪毒時稀，使礦用感遞染實駱驗法紅?？梢怨獧z測已出病臂毒檢卵測工夸具不同認識章的新鴨病毒抄，擺逗脫對攻檢測炎工具當?shù)囊雷腺嚕臋z測掌可疑掘新病恥毒瑞星忙信息鳳安全柱技術馬培訓–反病怪毒技原術概監(jiān)述反病刑毒技龍術DE拜MO病毒訴診斷沸技術蒜－行為撿軟件謎模擬她法行為蓬軟件效模擬忙法針對康多太自性病華毒的天檢測澆與查典殺虛擬賤軟件威法與校特征始代碼評法相目結合瑞星城信息京安全唯技術羨培訓–反病應毒技在術概妄述反病婦毒技漿術對比診斷分析病毒均診斷全技術鑼－計算打機病勢毒分教析法計算馳機病高毒分雪析法確認尤磁盤贈引導掃區(qū)和嫩程序各中是臭否含鳴有病癥毒確認伶病毒凡的類嶼型和腦種類紅，判賽定是氧否是血新病速毒搞清烘楚病模毒體秋的大侄致結淡構，帳提取茅特征誓識別秤用的擾字符巾串或潤特征輝字詳細困分析印病毒尾代碼攝，為曬制定惑相應雹的反垂病毒餓措施鞭制定池方案瑞星挖信息捷安全野技術扛培訓–反病赤毒技爐術概彈述反病清毒技撥術對比診斷分析瑞星膚信息仗安全屢技術鉛培訓–反病藥毒技幼術概矮述反病修毒技眨術病毒切診斷配技術們－計算客機病唐毒分抓析法靜態(tài)分析指利用DEBUG等反匯編程序將病毒代碼打印成反匯編后的程序清單進行分析動態(tài)分析則是指利用DEBUG等程序調試工具在內存帶毒的情況下，對病毒做動態(tài)跟蹤，觀察病毒的具體工作過程，以進一步在靜態(tài)分析的基礎上理解病毒工作的原理。對比診斷分析反病下毒技曬術剖蛋析反病嗎毒技思術概春述病毒拘診斷拍技術反病咸毒引斷擎技性術剖漂析瑞星鍵信息匯安全亞技術揀培訓–反病以毒技英術概萌述Ag蝕en億da病毒躲診斷特技術悉－計算風機病墓毒分骨析法反病遮毒軟碰件的轟構成瑞星煌信息戶安全戴技術功培訓–反病磨毒技剝術概嬸述反病主毒引遲擎技殃術應用程序進行病毒掃描、提供反病毒軟件與用戶的交互接口。引擎對應用程序傳入的掃描對象進行格式分析和病毒掃描，返回結果進行相應的處理。引擎本身還負責病毒庫的加載、管理、遍歷及卸載。病毒庫病毒數(shù)據(jù)庫黑白名單應用程序包括各種平臺的各種應用和監(jiān)控程序對象管理程序引擎主控對象病毒庫管理對象應用兩程序反病驚毒引功擎查殺毒引擎復合文件拆分對象病毒庫文件瑞星詠信息夫安全渠技術近培訓–反病馳毒技癥術概樸述反病就毒引唱擎技光術引擎敢在反缺病毒加軟件屈中的鈴位置瑞星冶信息或安全摸技術圍培訓–反病紐奉毒技林術概昨述反病并毒引懂擎技營術對多暫種平斤臺提啄供支莫持支持厚多種員平臺帽的反們病毒單引擎賞是引法擎技略術的早發(fā)展前方向欠，常內見的兩有支泰持Do河s、Wi項nd碰ow鑼s、Li捷nu曬x跟fo坊r邀in媽te童l、Un旨ix據(jù)f守or童i蓬nt復el、Fr斜ee閣bs旺d旅fo端r督in濃te丘l、No欺ve傍ll等多讀種平趴臺以扮及在綁此基控礎上待開發(fā)怎針對中不同焰用戶窯群的怨不同蘋應用獄。DO養(yǎng)S殺毒誼引擎宏病費毒查咐殺引瓶擎—特征將碼匹介配腳本隱病毒捆引擎制、郵團件、在郵箱貧、壓摩縮包輛拆分帶引擎曲、反蠢病毒質虛擬醫(yī)機—運行育特征暢匹配未知挑病毒狹行為例判定以技術慚和虛泡擬脫胳殼技身術瑞星蓬信息恰安全打技術泥培訓–反病機毒技馬術概俯述反病外毒引歉擎技創(chuàng)術引擎志查殺灘毒技罵術的暈發(fā)展拐歷程引擎觀體系聚架構字的變踩遷模塊勞化設慮計方遵式20哲01年面蝦向對腐象設綿計方窯式，仙基于C+延+的設悶計思因想增怕強了牛引擎惠的可羨靠性塘和易效維護耽性；20匪03年將co唐m組件字的設氣計思煮想引它入了胞引擎雖設計蒼中，化實現(xiàn)膚了引湊擎的哈對象鴨化和濾組建路化，抬增強快了引宏擎的讓易用姐性、執(zhí)擴展證性、旅維護采性和博移植普的方賊便性瑞星旋信息六安全胳技術舌培訓–反病儀毒技南術概硬述反病鋒毒引悲擎技懂術反病送毒引盤擎的綁體系黨架構瑞星資信息壁安全訂技術輛培訓–反病糟毒技尚術概的述反病傍毒引廣擎技拉術引擎科的體踢系構盞架瑞星窮信息殃安全矛技術北培訓–反病灶毒技圾術概覽述反病余毒引聲擎技晌術反病飄毒引很擎的芹技術橋特征郵件、郵箱、壓縮包拆分虛擬與真實相結合的脫殼木馬指紋特征利用可執(zhí)行引擎執(zhí)行特征提取宏病毒解碼和查殺的相關內存掃描和內存監(jiān)控未知宏病毒虛擬執(zhí)行未知腳本病毒指紋特征判定行為判定引擎泉的郵破件、爺郵箱餓、壓卷縮包的對象晌在引文擎中爺統(tǒng)稱批為復首合文遷件對耍象，寸在最萌新的嘆引擎噸的復福合文偶件對叔象中高采取趨了虛誰擬文近件系勿統(tǒng)技叫術及離將復鉛合文田件對銅象看禿成一濟個文執(zhí)件系蝴統(tǒng)（倒也可湯以理篇解為鞏一個孩目錄權），般采用濁這種辣方式啦可以星便捷王地對勾郵件玩、郵臺箱、穗壓縮拋包進虎行管厭理，震處理卻方式減更加嗽靈活塞。瑞星打信息核安全吉技術婦培訓–反病秧毒技藏術概際述反病痰毒引擴擎技裁術反病晶毒引個擎的倚技術料特征郵件溉、郵哀箱、性壓縮榜包拆銀分技慰術利用橡虛擬費機對肌程序陽進行稱虛擬蔽執(zhí)行紹，通驗過返塞回結晚果判耳定文妄件是盤否被躍加殼李。真實訂脫殼舊是對悼加殼繳算法抱進行放分析倒后生紛成脫猛殼算頂法。瑞星番信息谷安全丟技術照培訓–反病附毒技止術概瓣述反病搶毒引留擎技餃術反病企毒引給擎的陷技術侮特征虛擬工與真沿實相冒結合延的脫沈殼技脆術利用反智能債代碼偏分析催技術膏（即負基于香對典萍型病揀毒的睜代碼趁特征鏟和執(zhí)羊行流依程進撒行分召析，峽提取罪經(jīng)典裹病毒身的典擊型代器碼特落征和扮邏輯矮特征嚴并作鳳為查腸殺病迅毒的緞特征散串）存可對毒木馬憶程序蹤蝶提取暫指紋慘信息免。通果過指柄紋，歌引擎粗可以菊快速踩地排獨除正吃常文傘件。瑞星舉信息誦安全宅技術梳培訓–反病饒毒技鴿術概炸述反病悲毒引糞擎技碰術反病干毒引干擎的繳技術風特征木馬困指紋貓?zhí)卣鞫都夹g查殺估病毒諸時在撕機器路虛擬伐內存黨中模方擬出緩一個灰“指筍令執(zhí)獄行虛盛擬機壺”；在虛堤擬機訴環(huán)境漏中虛斧擬執(zhí)由行（盡不會置被實叨際執(zhí)些行）毀帶毒膜文件獻；在執(zhí)租行過活程中您，從鳥虛擬侍機環(huán)劇境內留截獲怎文件高數(shù)據(jù)壓，如犁果含城有可捷疑的施病毒爬代碼襲，則朗殺毒蘇后將醉