病毒防護技術基礎

publog發表於2009-03-15
1. 計算機病毒定義、特徵
●定義:編制或者在計算機程式中插入的破壞計算機功能或者毀壞資料,影響計算機使用,並能夠自我複製的一組計算機指令或者程式程式碼。
●特徵:
(1)寄生性。病毒所寄生的合法程式被稱做病毒的載體,也稱為病毒的宿主程式
(2)傳染性。是病毒的基本特徵,是否具有傳染性是判別一個程式是否為計算機病毒的首要條件
(3)隱蔽性。計算機病毒的隱蔽性表現為存在的隱蔽性與傳染的隱蔽性。
(4)潛伏性。潛伏性越好,其在系統中的存在時間就會越長,其傳染範圍就會越大。
(5)可觸發性。因某個特徵或數值的出現,誘使病毒實施感染或進行攻擊的特性稱為可觸發性。
(6)破壞性。共同的危害:降低系統的工作效率,佔用系統資源;病毒的破壞性主要取決於計算機病毒設計者的目的
2. 特洛伊木馬
●攻擊步驟:(1)設定好伺服器程式;(2)騙取對方執行伺服器程式;(3)尋找對方IP地址;(4)用客戶端程式來控制對方的計算機。
●特徵和行為:(1)木馬本身不進行自我複製。(2)被感染的計算機系統會表現出不尋常的行為或執行變慢。
●傳播途徑:(1)作為電子郵件附件傳播;(2)隱藏在使用者與其他使用者進行交流的文件其他檔案中;(3)被其他惡意程式碼所攜帶,如蠕蟲;(4)會隱藏在從網際網路上下載的捆綁的免費軟體中。
3. 計算機蠕蟲(Worm)
●特點:利用網路中軟體系統的缺陷,進行自我複製和主動傳播。但它與病毒在檔案之間的傳播不同,它們是從一臺計算機傳播到另一臺計算機,從而感染整個系統。
●組成:主程式和載入程式
4. 計算機病毒的邏輯結構
(1)病毒的引導模組:當病毒的宿主程式開始工作時將病毒程式從外存引入記憶體,使其與宿主程式獨立,並且使病毒的傳染模組和破壞模組處於活動狀態,以監視系統執行。
(2)病毒的傳染模組:負責將病毒傳染給其他計算機程式,使病毒向外擴散。它由兩部分組成:病毒傳染的條件判斷部分和病毒傳染程式主體部分。
(3)病毒的破壞(表現)模組:是病毒的核心部分,它體現了病毒製造者的意圖。由兩部分組成:病毒破壞的條件判斷部分和破壞程式主體部分。
5. 引導型和檔案型病毒的工作流程
(1) 引導型: 系統啟動,自檢à讀入引導區內容(病毒進入記憶體)à執行引導區內容(病毒進行自身引導)à病毒處於動態à修改系統引數,設定觸發條件à正常的系統引導à滿足條件,進行傳染à滿足條件,進行破壞。
(2) 檔案型: 染毒檔案被執行à病毒引導模組被裝入記憶體à引入傳染及破壞模組à病毒處於動態à修改系統引數,設定觸發條件à滿足條件,進行傳染à滿足條件,進行破壞。
6. 宏病毒
●宏病毒:是一種儲存於文件、模板或載入宏程式中的計算機病毒。
●特點:只感染微軟資料(文件)檔案
●機制:用VB高階語言編寫的病毒程式碼,直接混雜在檔案中,並加以傳播。當開啟受感染的檔案或執行觸發宏病毒的操作時,病毒就會被啟用,並儲存到Normal.dot模板或Personal.xls檔案中,以後儲存的每個文件都會自動被病毒感染。
7. 病毒技術
(1)寄生技術
病毒在感染的時候,將病毒程式碼加入正常程式之中,原正常程式功能的全部或者部分被保留。是檔案型病毒使用最多的技術。
分類:①頭寄生、尾寄生、插入寄生(病毒程式碼插入宿主程式位置的不同)②空洞利用(例:CIH)
(2)駐留技術
當被感染的檔案執行時,病毒的一部分功能模組進入記憶體,即使程式執行完畢,它們仍一直駐留在記憶體中。(病毒需要實時地監控合適的感染物件和觸發條件,它總是希望關鍵的程式碼能一直保留在記憶體中,得到機會就能執行。防毒軟體如果只清除檔案中的病毒而沒有清除記憶體中的病毒,則病毒在系統退出前仍有機會感染檔案。)
(3)加密變形技術
是一個具有里程碑意義的病毒技術。在加密病毒的基礎上改進,使解密子的程式碼對不同傳染例項呈現多樣性。
傳統病毒在程式碼中總是具有自身的特點(如:標記已感染的字串、特殊的駐留程式碼、特殊的感染程式碼等),反病毒廠商就利用這些特點編制特徵碼,用於病毒的檢測
(4)隱藏技術:病毒在進入使用者系統之後,會採取種種方法隱藏自己的行蹤,使病毒不易被使用者和反病毒軟體發現。
8. 反病毒技術(計算機病毒檢測技術、計算機病毒的清除、計算機病毒的免疫、計算機病毒的預防
(1)計算機病毒檢測技術
●比較法:進行原始的或正常的特徵與被檢測物件的特徵比較。
優點:簡單、方便,不需專用軟體。缺點:無法確認計算機病毒的種類和名稱。
●病毒校驗和法:計算出正常檔案的程式程式碼的校驗和,並儲存起來,可供被檢測物件對照比較,以判斷是否感染了病毒。
優點:可偵測到各式的計算機病毒,包括未知病毒。缺點:誤判率高,無法確認病毒種類。
●分析法:該方法的使用人員主要是反計算機病毒的技術專業人員。
搜尋法:用每一種計算機病毒體含有的特定字串對被檢測物件進行掃描。(最常用)
缺點:被掃描的檔案很長時,掃描所花時間也越多;不容易選出合適的特徵串;計算機病毒程式碼庫未及時更新時,無法識別出新型計算機病毒;不易識別變形計算機病毒等。
行為監測法:由於病毒在感染及破壞時都表現出一些共同行為,而且比較特殊,這些行為在正常程式中比較罕見,因此可透過檢測這些行為來檢測病毒的存在與否。
優點:不僅可檢測已知病毒,而且可預報未知病毒。缺點:有可能誤報
●病毒行為軟體模擬法
●感染實驗法
(2)計算機病毒的清除:可用專用軟體防毒或手工進行
(3)計算機病毒的免疫:
原理:根據病毒簽名來實現。由於有些病毒在感染其他程式時要先判斷是否已被感染過,即欲攻擊的宿主程式是否已有相應病毒簽名,如有則不再感染。因此,可人為地在“健康程式”中進行病毒簽名,起到免疫效果
(4)計算機病毒的預防:
①經常進行資料備份(資料、系統);②對於新購置的計算機、硬碟、軟體等,先用查毒軟體檢測後方可使用;③儘量避免在無防毒軟體的機器上或公用機器上使用可移動磁碟;④對計算機的使用許可權進行嚴格控制,禁止來歷不明的人和軟體進入系統;⑤採用一套公認最好的病毒查殺軟體,以便在對檔案和磁碟操作時進行實時監控,及時控制病毒的入侵,並及時可靠地升級反病毒產品。
--本資料由heki總結整理
[@more@]

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/21110967/viewspace-1018736/,如需轉載,請註明出處,否則將追究法律責任。

相關文章