《IDS计算机病毒.ppt》由会员分享,可在线阅读,更多相关《IDS计算机病毒.ppt(48页珍藏版)》请在三一办公上搜索。
1、1,概述,病毒防范公理重要的反病毒技术病毒解决方案和策略防病毒策略,2,病毒防范公理,1.不存在这样一种反病毒软硬件,能够防治未来产生的所有病毒。2.不存在这样一种病毒程序,能够让未来的所有反病毒软硬件都无法检测。,3,病毒防范公理,3.目前的反病毒软件和硬件以及安全产品是都易耗品,必须经常进行更新、升级。4.病毒产生在前,反病毒手段滞后的现状,将是一个长期的过程。,4,对待计算机病毒应持有的态度,1.客观承认计算机病毒的存在,但不要惧怕病毒。2.树立计算机病毒意识,积极采取预防(备份等)措施。3.掌握必要的计算机病毒知识和病毒防治技术,对用户至关重要。4.发现病毒,冷静处理。,5,反病毒的方
2、法,理想的解决病毒威胁的方法是预防:首先就是不允许病毒进入系统。这个目标通常不可能实现,尽管必要的防护措施可以在一定程度上降低病毒成功攻击的次数。其次就是能够执行如下操作:,6,反病毒的方法,检测(Detection):一旦病毒感染系统,系统就应该 确定这一事实并对病毒进行定位。识别(Identification):检测到病毒后,应该能够识别被感染的程序中的病毒类型,7,反病毒的方法,清除(Removal):病毒被识别后,对病毒所感染的程序中所有可能发生的变化进行检查,清除病毒并使程序还原到感染前的状态,并清除所有被感染系统中的病毒从而使其无法继续传播。,8,反病毒的方法,随着病毒的演化,病毒
3、和相应的反病毒软件都变得愈发复杂和高级。将反病毒软件划分为四代:第一代:简单扫描器;第二代:启发式扫描器;第三代:活动陷阱;第四代:全功能防护。,9,反病毒的方法,第一代扫描器 需要病毒特征码作为识别病毒的依据。病毒可能包含一些“通配符”。但是在该病毒的所有副本中,通配符具有本质上相同的结构和特征模式。这些指定特征码的扫描器只能检测到已知类型的病毒。,10,特征码扫描技术,分析出病毒的特征病毒码并集中存放于病毒代码库文件中,在扫描时将扫描对象与特征代码库比较,如有吻合则判断为染上病毒。查杀病毒滞后,并且庞大的特征码库会造成查毒速度下降;但是对加密、变形的新病毒无能为力。,11,反病毒的方法,第
4、二代反病毒技术采用静态广谱特征扫描技术,可以检测变形病毒,但是误报率高,杀毒风险大。第二代扫描器 不再依赖特定的病毒特征码,而是,利用启发式规则搜索可能的病毒感染。这类扫描器之一就通过搜寻经常与病毒相关联的代码段确定病毒。,12,反病毒的方法,第二代扫描器采用的另一种方法是完整性校验。这种方法对每一个程序计算校验和,并将校验和添加到程序中。如果某个病毒感染程序而没有改变校验和,那么完整性校验将会捕获这个变化。,13,反病毒的方法,第三代反病毒程序是内存驻留型程序,它通过病毒在感染程序中的行为而不是结构进行识别。第四代 产品综合运用了多种不同的反病毒技术软件包其中包括扫描、活动陷阱等组件。另外,
5、这种软件包还包含访问控制功能,它限制病毒渗透系统的能力,也由此限制病毒为不断感染而改写文件的能力。,14,目前的流行技术,虚拟机技术计算机监控技术数字免疫系统压缩智能还原技术启发式代码扫描技术文件时事监控技术,15,启发式代码扫描技术,启发式指的“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能。”一个运用此技术的病毒检测软件,实际上就是以特定方式实现的动态跟踪器或反编译器,通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。,16,启发式代码扫描技术,例如,一段程序以如下序列开始:MOV AH,5INT 13h实现调用格式化盘操作的BIOS指令功能,那么这段程序就高度可疑值
6、得引起警觉,尤其是假如这段指令之前不存在取得命令行关于执行的参数选项,又没有要求用户交互地输入继续进行的操作指令时,可以有把握地认为这是一个病毒或恶意破坏的程序。,17,启发式代码扫描技术,可疑的功能:格式化磁盘类操作搜索和定位各种可执行程序的操作实现驻留内存的操作发现非常的或未公开的系统功能调用的操作,18,文件时事监控技术,通过利用操作系统底层接口技术,对系统中的所有类型文件或指定类型的文件进行实时的行为监控。从而实现了对病毒的实时、永久、自动监控。这种技术能够有效控制病毒的传播途径,但是这种技术的实现难度较大,系统资源的占用率也会有所降低。,19,计算机监控技术,文件实时监控内存实时监控
7、脚本实时监控邮件实时监控注册表实时监控,20,未知病毒查杀技术,未知病毒技术是继虚拟执行技术后的又一大技术突破,它结合了虚拟技术和人工智能技术,实现了对未知病毒的准确查杀。,21,压缩智能还原技术,世界上的压缩工具、打包工具、加“壳”工具多不胜数,病毒如果被这样的工具处理后,对于防病毒软件来说,就是一个噩梦。为了使用统一的方法来解决这个问题,反病毒专家们发明了未知解压技术,它可以对所有的这类文件在内存中还原,从而使得病毒完全暴露出来。,22,高级反病毒的技术,更高的反病毒方法和产品不断涌现。在这一节中我们将对其中最重要的两种进行重点说明:通用解密和数字免疫系统。,23,通用加密,通用加密(GD
8、)技术使得反病毒软件能够在保证足够快的扫描速度的同时,也能够轻松地检测到最为复杂的病毒变种。回想一下当含有多态病毒的文件执行时,病毒必须首先将自身解密以得到激活。为了检测到这样的病毒结构可执行文件应该通过GD扫描器运行。,24,GD扫描器包含以下几个部件,CPU仿真器(CPU emulator):CPU仿真器是一种基于软件的虚拟计算机。它可以从底层处理器中接管对可执行文件中指令的解释权。仿真器包括所有的寄存器和其他处理硬件的软件版本,所以 在仿真器上解释运行的程序对底层处理器不会产生实际的危害。,25,GD扫描器包含以下几个部件,病毒特征码扫描器(Virus signature scanner
9、):对目标代码进行扫描来寻找抑制病毒特征码的模块。仿真控制模块(Emulation control module):该模块控制目标代码的执行。,26,虚拟机技术,用程序代码虚拟出一个CPU及其各个寄存器,甚至将硬件端口也虚拟出来,用调试程序调入“病毒样本”并将每一个语句放到虚拟环境中执行,这样我们就可以通过内存和寄存器以及端口的变化来了解程序的执行,从而判断是否中毒。,27,虚拟机技术主要执行过程,1.在查杀病毒时,在机器虚拟内存中模拟出一个“指令执行虚拟机器”;2.在虚拟机环境中虚拟执行(不会被实际执行)可疑带毒文件;,28,虚拟机技术主要执行过程,3.在执行过程中,从虚拟机环境内截获文件数
10、据,如果含有可疑病毒代码,则说明发现了病毒。4.杀毒过程是在虚拟环境下摘除可疑代码,然后将其还原到原文件中,从而实现对各类可执行文件内病毒的杀除。,29,免疫技术,免疫的原理传染模块要做传染条件判断病毒程序要给被传染对象加上传染标识:黑色星期五在正常对象中自动加上这种标识,就可以不受病毒的传染,起到免疫的作用,30,免疫技术,计算机病毒免疫的方法针对某一种病毒进行的计算机病毒免疫把感染标记写入文件和内存,防止病毒感染,31,免疫技术缺点,对不设有感染标识的病毒不能达到免疫目的。当出现这种病毒的变种不再使用这个免疫标志时,或出现新病毒时,免疫标志发挥不了作用。某些病毒的免疫标志不容易仿制,非要加
11、上这种标志不可,则对原来的文件要做大的改动。,32,免疫技术缺点,不可能对一个对象加上各种病毒的免疫标识。这种方法能阻止传染,却不能阻止已经感染的病毒的破坏行为。,33,免疫方法。,2基于自我完整性检查的病毒的免疫方法。为可执行程序增加一个免疫外壳,同时在免疫外壳中记录有关用于恢复自身的信息。执行具有这种免疫功能的程序时,免疫外壳首先得到运行,检查自身的程序大小、校验和,生成日期和时间等情况,没有发现异常后,再转去执行受保护的程序。,34,缺点和不足:,每个受到保护的文件都要增加1KB-3KB,需要额外的存储空间。现在使用中的一些校验码算法不能满足防病毒的需要,被某些种类的病毒感染的文件不能被
12、检查出来。无法对付覆盖方式的文件型病毒。,35,缺点和不足:,有些类型的文件不能使用外加免疫外壳的防护方法,这样将使那些文件不能正常执行。当某些尚不能被病毒检测软件检查出来的病毒感染了一个文件,而该文件又被免疫外壳包在里面时,这个病毒就像穿了“保护盔甲”,使查毒软件查不到它,而它却能在得到运行机会时跑出来继续传染扩散。,36,数字免疫系统,数字免疫系统 是 IBM开发的一种全面而广泛的病毒保护措施。但是正如 CHES97 中指出的,近来网络的两种主要技术 对于病毒传播率的提高有着越来越大的影响:,37,数字免疫系统,集成邮件系统(Integrated mail systems):诸如 Lotu
13、s Notes 和 Microsoft Outlook 这样的系统,向任何人发送任何内容或者对接收到的客体进行操作都变得非常简单。移动程序系统(Mobile-program systems):诸如Java和ActiveX 等提供的机制允许程序自主地从一个系统转移到另外的系统。,38,数字免疫系统,为了应对这些以互联网为基础的威胁,IBM已经开发了一个原型的数字免疫系统。,39,数字免疫系统,当一个新病毒进入一个组织的网络系统时,免疫系统会自动地对其进行捕获、分析、检测、屏蔽和清除操作。并能够向运行IBM反病毒软件的系统报告该病毒信息,从而使这种病毒在广泛传播之前就可以被检测出来。,40,行为阻
14、断软件,与启发式或基于特征码的扫描不同,行为阻断软件与主机操作系统相结合,实时地监控恶意的程序行为。在检测到恶意的程序行为后,行为阻断软件将在潜在的恶意行为对实际系统实施攻击之前将其阻止。,41,行为阻断软件,行为阻断软件所检测的行为包括以下几点:试图 打开、查看、删除、添加或修改文件。试图格式化磁盘以及其他不可恢复的磁盘操作。修改可执行文件或宏的逻辑机制。修改 关键系统设置(如启动设置)。,42,行为阻断软件,电子邮件脚本或即时消息客户脚本发送可执行内容。初始化网络连接。,43,病毒解决方案和策略,病毒解决方案病毒解决策略,44,企业网络中的病毒漏洞,File Server,Mail Ser
15、ver,Client,Internet Gateway,Firewall,企业网络基本结构 网关(Gateway)服务器(Servers)邮件服务器 文件/应用服务器 客户端(clients),45,趋势整体防病毒解决方案,Firewall,File Server,Client,Internet Gateway,InterScan VirusWall,Mail Server,趋势整体防病毒解决方案 1 网关级解决方案 InterScan Viruswall 2 服务器级解决方案 邮件服务器 ScanMail for Exchange/for Notes 文件服务器 ServerProtect
16、for NT/Netware 3 客户端解决方案 Office Scan 4 集中管理系统解决方案 TVCS(Trend Virus Control System),46,防病毒策略,1建立病毒防治的规章制度,严格管理;2建立病毒防治和应急体系;3进行信息安全教育,提高防范意识;4对系统进行风险评估;5选择经过公安部认证的病毒防治产品;6正确配置,使用病毒防治产品;,47,防病毒策略,7正确配置系统,减少病毒分侵害事件;8定期检查敏感文件;9适时进行安全评估,调整病毒防治策略10建立病毒事故分析制度;11确保恢复,减少损失;,48,本次课的知识点,病毒防范公理重要的反病毒技术病毒解决方案和策略防病毒策略,
