计算机病毒防治技术.ppt

《计算机病毒防治技术.ppt》由会员分享，可在线阅读，更多相关《计算机病毒防治技术.ppt（62页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、计算机病毒防治技术本章的学习目标了解计算机病毒防治的现状掌握常用病毒防治技术了解病毒防治技术的缺陷掌握典型病毒防治方法防治技术概括成四个方面：检测清除预防被动防治免疫主动防治本章内容病毒防治技术现状病毒防治技术现状目前的流行技术目前的流行技术病毒防治技术的缺陷病毒防治技术的缺陷数据备份与数据恢复数据备份与数据恢复驱动程序设计驱动程序设计病毒防治技术现状病毒防治技术现状防病毒产品的历史一对一的防病毒产品防病毒卡自身不被感染但不能清楚磁盘病毒90年代中期，查杀防合一90年代末期开始，推出了实时防病毒产品新时期的防病毒产品趋势反黑客技术与反病毒技术相结合从入口拦截病毒（网络入口、系统入口）全面解决方

2、案个性化定制（后期服务）区域化到国际化病毒防治技术的几个阶段第一代反病毒技术采取单纯的病毒特征诊断，但是对加密、变形的新一代病毒无能为力。第二代反病毒技术采用静态广谱特征扫描技术，可以检测变形病毒，但是误报率高，杀毒风险大。第三代反病毒技术将静态扫描技术和动态仿真跟踪技术相结合。第四代反病毒技术基于多位CRC校验和扫描机理、启发式智能代码分析模块、动态数据还原模块（能查出隐蔽性极强的压缩加密文件中的病毒）、内存解毒模块、自身免疫模块等先进解毒技术，能够较好地完成查解毒的任务。第五代反病毒技术主要体现在反蠕虫病毒、恶意代码、邮件病毒等技术。这一代反病毒技术作为一种整体解决方案出现，形成了包括漏洞

3、扫描、病毒查杀、实时监控、数据备份、个人防火墙等技术的立体病毒防治体系。目前的流行技术目前的流行技术虚拟机技术虚拟机技术宏指纹识别技术宏指纹识别技术驱动程序技术驱动程序技术计算机监控技术计算机监控技术数字免疫系统数字免疫系统网络病毒防御技术网络病毒防御技术立体防毒技术立体防毒技术虚拟机技术虚拟机技术接近于人工分析的过程原理用程序代码虚拟出一个CPU来，同样也虚拟CPU的各个寄存器，甚至将硬件端口也虚拟出来，用调试程序调入“病毒样本”并将每一个语句放到虚拟环境中执行，这样我们就可以通过内存和寄存器以及端口的变化来了解程序的执行，从而判断是否中毒。加密、变形等病毒主要执行过程：在查杀病毒时，在机器

4、虚拟内存中模拟出一个“指令执行虚拟机器”；在虚拟机环境中虚拟执行（不会被实际执行）可疑带毒文件；在执行过程中，从虚拟机环境内截获文件数据，如果含有可疑病毒代码，则说明发现了病毒。杀毒过程是在虚拟环境下摘除可疑代码，然后将其还原到原文件中，从而实现对各类可执行文件内病毒的杀除。宏指纹识别技术宏指纹识别技术宏指纹识别技术（MacroFinger）是基于Office复合文档BIFF格式精确查杀各类宏病毒的技术。其特点是：1、能够查杀Word、Excel、PowerPoint等各类Office文档中的宏病毒；2、能够查出Word、Excel、PowerPoint加密文件中的宏病毒；3、能够清除文档中未

5、知名的宏，因此，从理论上来说可以查杀所有的未知宏病毒；4、可以修复部分宏病毒或其他不合格杀毒产品破坏过的Office文档。驱动程序技术驱动程序技术DOS设备驱动程序VxD（虚拟设备驱动）是微软专门为Windows制定的设备驱动程序接口规范。NT核心驱动程序WDM（WindowsDriverModel）是Windows驱动程序模型的简称。作用：开发监控程序、接近系统内核的程序32位内核技术位内核技术首先，32位较16位大大扩展了内存寻址空间，这是显而易见的，但就反病毒技术而言，这一问题以前并没有引起我们足够的重视。其次，16位应用程序无法实现多任务、多线程调度。系统支持问题。计算机监控技术计算机

6、监控技术计算机监控技术（实时监控技术）：注册表监控脚本监控内存监控邮件监控文件监控等优点：解决了用户对病毒的“未知性”，或者说是“不确定性”问题。实时监控是先前性的，而不是滞后性的。监控病毒源技术监控病毒源技术邮件跟踪体系例如，消息跟踪查寻协议（MTQP-MessageTrackingQueryProtocol）网络入口监控防病毒体系例如，TVCS-TrendVirusControlSystem无缝连接技术无缝连接技术嵌入式杀毒技术无缝连接是在充分掌握系统的底层协议和接口规范的基础上，开发出与之完全兼容的产品的技术。应用实例右键快捷方式硬盘格式的支持Office套件的支持等主动内核技术主动内核

7、技术在操作系统和网络的内核中加入反病毒功能，使反病毒成为系统本身的底层模块，而不是一个系统外部的应用软件是主动内核技术。应用难度大开源非开源检查压缩文件技术检查压缩文件技术压缩文件是病毒的重要藏身地之一。杀毒思路：第一种：压缩病毒码第二种：先解压后查毒（需要虚拟执行技术）启发式代码扫描技术启发式代码扫描技术启发式指的“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能。”一个运用启发式扫描技术的病毒检测软件，实际上就是以特定方式实现的动态跟踪器或反编译器，通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。例如，一段程序以如下序列开始：MOVAH,5INT13h该程序实现调用格

8、式化盘操作的BIOS指令功能，那么这段程序就高度可疑值得引起警觉，尤其是假如这段指令之前不存在取得命令行关于执行的参数选项，又没有要求用户交互地输入继续进行的操作指令时，可以有把握地认为这是一个病毒或恶意破坏的程序。可疑的功能：格式化磁盘类操作搜索和定位各种可执行程序的操作实现驻留内存的操作发现非常的或未公开的系统功能调用的操作等等。不同的操作赋予不同的权值免疫技术免疫技术免疫的原理免疫的原理传染模块要做传染条件判断病毒程序要给被传染对象加上传染标识黑色星期五在正常对象中自动加上这种标识，就可以不受病毒的传染，起到免疫的作用计算机病毒免疫的方法计算机病毒免疫的方法1针对某一种病毒进行的计算机病

9、毒免疫把感染标记写入文件和内存，防止病毒感染缺点:对于不设有感染标识的病毒不能达到免疫的目的。当出现这种病毒的变种不再使用这个免疫标志时，或出现新病毒时，免疫标志发挥不了作用。某些病毒的免疫标志不容易仿制，非要加上这种标志不可，则对原来的文件要做大的改动。不可能对一个对象加上各种病毒的免疫标识。这种方法能阻止传染，却不能阻止已经感染的病毒的破坏行为。2基于自我完整性检查的计算机病毒的免疫方法。为可执行程序增加一个免疫外壳，同时在免疫外壳中记录有关用于恢复自身的信息。执行具有这种免疫功能的程序时，免疫外壳首先得到运行，检查自身的程序大小、校验和，生成日期和时间等情况，没有发现异常后，再转去执行受

10、保护的程序。这种免疫方法可以看作是一种通用的自我完整性检验方法。缺点和不足：（1）每个受到保护的文件都要增加1KB-3KB，需要额外的存储空间。（2）现在使用中的一些校验码算法不能满足防病毒的需要，被某些种类的病毒感染的文件不能被检查出来。（3）无法对付覆盖方式的文件型病毒。（4）有些类型的文件不能使用外加免疫外壳的防护方法，这样将使那些文件不能正常执行。（5）当某些尚不能被病毒检测软件检查出来的病毒感染了一个文件，而该文件又被免疫外壳包在里面时，这个病毒就像穿了“保护盔甲”，使查毒软件查不到它，而它却能在得到运行机会时跑出来继续传染扩散。数字免疫系统数字免疫系统数字免疫系统主要包括封闭循环自

11、动化网络防病毒技术和启发式侦测技术。前者是一个后端基础设施，可以为企业级用户提供高级别的病毒保护。后者则可以自动监视可疑行为，为网络防病毒产品对付未知病毒提供依据。数字免疫系统还可以将病毒解决方案广泛发送到被感染的PC机上。数字免疫系统的超流量控制。立体防毒技术立体防毒技术全方位的威胁-立体防病毒体系立体防毒体系将计算机的使用过程进行逐层分解，对每一层进行分别控制和管理，从而达到病毒整体防护的效果。该体系通过安装杀毒、漏洞扫描、病毒查杀、实时监控、数据备份、个人防火墙、游戏保护等多种病毒防护手段，将电脑的每一个安全环节都监控起来，从而全方位地保护了用户电脑的安全。广谱特征码广谱特征码是对特征码

12、法的改变，本质上一样。在特征码中加入掩码等。网络病毒防御技术网络病毒防御技术网络的复杂性-网络病毒防御技术用户桌面、工作站、服务器、Internet网关和病毒防火墙等各个层次进行防护：用户桌面的防护：用户桌面的防护：桌面系统和远程PC是主要的病毒感染源。Internet网关的防护。网关的防护。群件和电子邮件是网络中重要的通信联络线。防火墙的防护。防火墙的防护。在防火墙上过滤多种协议的病毒。基于工作站的防治技术。基于工作站的防治技术。工作站就像是计算机网络的大门，只有把好这道大门，才能有效防止病毒的侵入。基于服务器的防治技术。基于服务器的防治技术。网络服务器是计算机网络的中心。加强计算机网络的管

13、理。加强计算机网络的管理。管理手段，而非技术手段。技术被动防御，管理上积极主动硬件设备及软件系统的使用、维护、管理、服务等各个环节制定出严格的规章制度对管理员及用户加强法制教育和职业道德教育应有专人负责具体事务，跟踪行业新技术先进的网络多层病毒防护策略具有三个特点：层次性在用户桌面、服务器、Internet网关以及病毒防火墙安装适当的防毒部件，以网为本、多层次地最大限度地发挥作用。集成性所有的保护措施是统一的和相互配合的，支持远程集中式配置和管理。自动化系统能自动更新病毒特征码数据库、杀毒策略和其它相关信息。移动通讯工具和移动通讯工具和PDA的杀毒技术的杀毒技术全新的领域目前已有部分公司（例如

14、，Trendmicro、Mcafee、F-Secure等）推出这类产品。病毒防治技术的缺陷病毒防治技术的缺陷技术反思技术反思一次一次的大面积发生一次一次的大面积发生缺陷缺陷永无止境的服务永无止境的服务库、培训、指导等未知病毒发现未知病毒发现有限未知病毒清除的准确性病毒清除的准确性从恢复的角度来考虑数据备份与数据恢复数据备份与数据恢复a-人为原因b-软件原因c-盗窃d-硬件的毁坏e-计算机病毒f-硬件故障数据丢失原因调查在病毒清除工作越来越困难的今天，数据备份和恢复成了计算机病毒防治技术的一个核心问题数据备份数据备份-个人个人PC备份策略备份策略一、备份个人数据所谓个人数据就是用户个人劳动的结果

15、，包括自己制作的各种文档、编制的各种源代码、下载或从其他途径获取的有用数据和程序等等。养成良好存放的习惯：拒绝所有的缺省位置个人数据集中存放经常备份这些数据养成良好的定期备份习惯二、备份系统重要数据磁盘的分区表、主引导区、引导区等重要区域的数据。三、注册表的备份系统把它物理地分为两个文件:USER.DAT(用户设置)和SYSTEM.DAT(系统设置)。备份方式：系统自动备份USER.DAT-USER.DAOSYSTEM.DAT-SYSTEM.DAOC:WINDOWSSYSBCKUP目录中以CAB文件格式备份了最近五天开机后的系统文件。其备份文件名分别是rb000.cab、rb001.cab、r

16、b002.cab、rb003.cab和rb005.cab。（可用Windows自带的Scanreg.exe命令）手工备份Cfgback.exe、手工备份两个文件、导出注册表四、OUTLOOK数据的备份首先，应对注册表的相关部分备份。Hkey-current-userSoftwareMicrosoftInternetAccountManagerAccounts然后，还要对目录文件进行备份。%windows%applicationdatamicrosoftoutlook最后，通讯簿的备份。五、Foxmail数据的备份比OutLook简单六、即时消息数据的备份1.备份MESSAGES(历史数据)2.

17、备份ADDRESSBOOK(地址数据)七、输入法自定义词组的备份1.中文五笔输入法中自定义词组的备份C:WindowsSystemwbx.emb2.智能拼音输入法中自定义词组的备份C:WINDOWSSYSTEMtmmr.rem3.微软拼音输入法中自定义词组的备份C:WindowspjyyP.UPT八、IE收藏夹和NN书签的备份IE收藏夹C:WindowsFavorites文件夹NN书签将其saveas为一个html文件数据备份数据备份-系统级备份策略系统级备份策略一、数据备份需求分析一、数据备份需求分析关键服务器的地位越来越重要，需要备份造成系统失效的主要原因有以下几个方面：硬盘驱动器损坏，由

18、于一个系统或电器的物理损坏导致文件、数据的丢失；人为错误，人为删除一个文件或格式化一个磁盘（占数据灾难的80%）；黑客的攻击，黑客侵入计算机系统，破坏计算机系统；病毒，使计算机系统感染，甚至损坏计算机数据；自然灾害，火灾、洪水或地震也会无情地毁灭计算机系统；电源浪涌，一个瞬间过载电功率损害计算机驱动器上的文件；磁干扰，生活、工作中常见的磁场可以破坏磁碟中的文件。建立完整的网络数据备份系统必须考虑以下内容：计算机网络数据备份的自动化，以减少系统管理员的工作量；使数据备份工作制度化、科学化；对介质管理的有效化，防止读写操作的错误；对数据形成分门别类的介质存储,使数据的保存更细致、科学；自动介质的清

19、洗轮转,提高介质的安全性和使用寿命；以备份服务器形成备份中心，对各种平台的应用系统及其他信息数据进行集中的备份，系统管理员可以在任意一台工作站上管理、监控、配置备份系统，实现分布处理，集中管理的特点；维护人员可以容易地恢复损坏的整个文件系统和各类数据；备份系统还应考虑网络带宽对备份性能的影响，备份服务器的平台选择及安全性，备份系统容量的适度冗余，备份系统良好的扩展性等因素。二、二、备份设备的选择备份设备的选择常用的存储介质类型有：磁盘、磁带、光盘和MO（磁光盘）等。1.四种磁带技术的比较Dat螺旋扫描、4mm、高强金属带、20GBDlt高强金属带、40GBLto开放标准、100GB8mm螺旋扫

20、描、高速2、数据备份的容量计算网络中的总数据量，q1；数据备份时间表（即增量备份的天数），假设用户每天作一个增量备份，周末作一个全备份，d=6天每日数据改变量，即q2期望无人干涉的时间，假定为3个月，m=3数据增长量的估计，假定每年以20%递增，i=20%考虑坏带，不可预见因素，一般为30%，假定u=30%通过以上各因素考虑，可以较准确地推算出备份设备的大概容量为：c=（q1+q2*d）*4*m*(1+i)*（1+u）三、分析应用环境、选择备份管理三、分析应用环境、选择备份管理软件软件大型数据库自动备份功能缺陷包括：但它们既不能实现自动备份，而且只能将数据备份到磁带机或硬盘上，不能驱动磁带库等

21、自动加载设备。现有产品：legatonetworker、caarcserve、hpopenviewomnibackii、ibmadsm及veritasnetbackup等四、存储备份策略四、存储备份策略备份策略可以确定需备份的内容、备份时间及备份方式。目前被采用最多的备份策略主要有以下三种：1、完全备份（fullbackup）2、增量备份（incrementalbackup）3、差分备份（differentialbackup）差分备份即备份上一次完全备份后产生和更新的所有新的数据。差分备份的恢复简单：系统管理员只需要对两份备份文件进行恢复，即完全备份的文件和灾难发生前最近的一次差分备份文件，就

22、可以将系统恢复。增量备份恢复复杂。在实际应用中，备份策略通常是以上三种的结合。例如每周一至周六进行一次增量备份或差分备份，每周日进行全备份，每月底进行一次全备份，每年底进行一次全备份。五、五、项目实施过程应注意的问题项目实施过程应注意的问题1、统计备份客户机信息了解各台备份主机的系统配置、备份数据量、备份方式（文件、数据库在线）、允许的备份时间窗口，每日数据增量等信息。2、做好培训工作3、制定备份策略制定备份日程表制定备份客户机分组方案制定备份卷分组方案配置各客户机选项其它选项配置：包括管理员设置，数据远程恢复权限设置，设备并行流设置，设备自动管理选项，数据压缩选项等4、日常维护有关问题硬件（

23、磁带磁头等）、软件维护数据恢复数据恢复数据恢复正常数据恢复灾难数据恢复所谓灾难数据恢复是指由于各种原因导致数据损失时把保留在介质上的数据重新恢复的过程。即使数据被删除或硬盘出现故障，只要在介质没有严重受损的情况下,数据就有可能被完好无损地恢复。重要性一、灾难数据恢复的分类一、灾难数据恢复的分类软件恢复由病毒感染、误分区、误格式化等造成的数据丢失，仍然有可能使用第三方软件来恢复硬件恢复至于硬件恢复，如修复盘面划伤、磁组撞毁、芯片以及其他元器件烧坏等都成为硬件恢复二、数据可恢复的前提二、数据可恢复的前提如果被删除的文件已经被其他文件取代，或者文件数据占用的空间已经分配给其他文件，那么该文件就不可能

24、再恢复了。电子碎纸机就是利用这种原理来设计的。如果硬件或介质损坏严重，也是不可能恢复的。三、出现数据灾难时如何处理三、出现数据灾难时如何处理如果是由病毒感染、误分区、误格式化等原因造成的数据丢失，这将关系到整块硬盘数据的存亡，千万不要再用该硬盘进行任何操作，更不能继续往上面写任何数据，而应马上找专业人员来处理；如果是由硬件原因造成的数据丢失（如硬盘受到激烈振动而损坏），则要注意事故发生后的保护工作，不应继续对该存储器反复进行测试，否则，将造成永久性的损坏！四、低难度数据恢复四、低难度数据恢复1.如果怀疑硬盘有故障，先检查信号线和电源是否插好，或将硬盘挂接到另一台正常机器上，用BIOS检测，如果

25、还是无法检测到硬盘，就是硬件故障。2.如果怀疑分区损坏，可用Win98的Fdisk命令观察，如无任何分区显示即表示已被破坏。3.如果怀疑硬盘电路板有故障，可以找一个相同型号的好硬盘更换电路板。4.如果是硬盘分区损坏、误格式化或误删除，可以将该硬盘挂接到另一台正常机器上作为第二个硬盘，用Easyrecovery或Finaldata数据恢复软件抢救数据。五、高难度数据恢复五、高难度数据恢复第一，分区表破坏原因：1.个人误操作删除分区，只要没有进行其它的操作完全可以恢复。2.安装多系统引导软件或者采用第三方分区工具，有恢复的可能性。3.病毒破坏，可以部分或者全部恢复。4.利用Ghost克隆分区/硬盘

26、破坏，只可以部分恢复或者不能恢复。牢记以下两点:1.在硬盘数据出现丢失后，请立即关机，不要再对硬盘进行任何写操作，那样会增大修复的难度，也影响到修复的成功率.2.你的每一步操作都应该是可逆的（就像NortonDiskDoctor中的Undo功能）或者对故障硬盘是只读的（大名大名鼎鼎的EasyRecovery和Lost&Found都是这种工作原理）。第二，硬盘坏扇区逻辑坏道软件恢复物理坏道标记坏道使用硬盘的注意事项：1.硬盘在工作时不能突然关机2.防止灰尘进入3.要防止温度过高4.要定期整理硬盘上的信息5.要定期对硬盘进行杀毒6.用手拿硬盘时要小心7.尽量不要使用硬盘压缩技术8.在工作中不能移动

27、硬盘9.使用塑料或橡皮来消除硬盘噪音第三，磁头损坏精度是1-2微寸一粒灰尘是4-8微寸，人的头发是10微寸。恢复难度较大（跟换磁头）第四，盘片损伤硬盘的盘片都是使用塑料材料作为盘片基质，然后再在塑料基质上涂上磁性材料就可构成硬盘的盘片。采用铝材料作为硬盘盘片基质随后推出，目前市场上的IDE硬盘几乎都是使用铝硬盘盘片基质。而采用玻璃材料作为盘片基质则是最新的硬盘盘片技术。硬盘由多个盘片组成（可以恢复未被破坏的那些盘片）六、数据恢复工具箱六、数据恢复工具箱一、EasyRecovery6.0恢复被删除文件，连不小心格式化后的分区数据都可以恢复；恢复引导记录、BIOS参数数据块、分区表、FAT表、引导

28、区等；6.0版本能对ZIP文件及Office文档进行修复。二、FinaData它不依赖目录入口和FAT表记录的信息，所以它既可以恢复的被删除的文件，还可以在整个目录入口和FAT表都遭到破坏的情况下进行数据恢复，甚至在磁盘引导区被破坏、分区全部信息丢失（如硬盘被重新分区或者格式化）的情况下进行数据恢复。三、Recall该软件对于因使用SHIFT+DEL或清空回收站，及使用DEL命令删除的文件恢复非常方便，只需轻轻的点击几次鼠标，就可以把自己需要的文件找回来。四、三茗硬盘医生这个软件是西安三茗公司开发的硬盘救助软件，它具有备份和恢复硬盘主引导区和引导扇区功能，同时还有修复具有错误的分区表的功能。五、FlipFlop软盘恢复工具对于软盘上文件被误删除或格式化，软盘介质损坏的数据恢复非常有用。六、Undelete和UnformatDOS6.2有Undelete和Unformat可以方便地恢复我们误删除或误格式化造成的过失。七、诺顿磁盘医生DISKEDIT可以对磁盘扇区进行读写和查找功能，对于手动恢复数据非常有用。五、KV3000附带的功能F10功能对于修复被CIH病毒破坏的硬盘非常方便，能够快速的找回丢失的D，E，F.等逻辑分区。