计算机病毒的检测方法 PPT
合集下载
计算机病毒ppt课件
互联网的普及使得病毒的传播速度更快、范围更广,对网络安全和数据安全造成了 更大的威胁。
计算机病毒的特点与危害
计算机病毒具有以下 特点
传染性:病毒可以通 过复制自身和传播其 他文件来感染计算机 系统。
隐蔽性:病毒通常隐 藏在可执行文件或数 据文件中,难以被发 现。
计算机病毒的特点与危害
01
02
03
传播方式
通过加密算法对文件进行加密, 并要求用户支付赎金以解锁文件
。
影响范围
全球范围内,影响多个行业和组 织,如医院、学校、政府机构等
。
防范措施
及时更新系统和软件补丁,关闭 恶意软件传播渠道,备份重要数
据。
Petya勒索软件病毒
传播方式
通过感染Windows操作系统文件,使用加密算法对文件进行加密 ,并要求用户支付赎金以解锁文件。
CodeRed蠕虫病毒
传播方式
通过感染Windows操作系统文件和网络共享文件夹,使用复制 和感染文件的方式进行传播。
影响范围
全球范围内,影响多个行业和组织,如医疗、教育、政府机构等 。
防范措施
限制网络共享文件夹访问权限,及时更新系统和软件补丁,关闭 恶意软件传播渠道。
THANKS。
病毒活动。
清除方法
备份恢复法
备份重要数据,然后恢复到正 常状态。
安全模式法
在安全模式下启动计算机,然 后使用防病毒软件进行全盘扫 描。
程序修复法
使用防病毒软件提供的工具修 复被病毒感染的文件。
手动删除法
手动删除病毒文件和相关配置 文件,恢复系统设置。
05
最新计算机病毒案例分析
WannaCry勒索软件病毒
致程序无法正常运行或数据文件损坏。
计算机病毒的特点与危害
计算机病毒具有以下 特点
传染性:病毒可以通 过复制自身和传播其 他文件来感染计算机 系统。
隐蔽性:病毒通常隐 藏在可执行文件或数 据文件中,难以被发 现。
计算机病毒的特点与危害
01
02
03
传播方式
通过加密算法对文件进行加密, 并要求用户支付赎金以解锁文件
。
影响范围
全球范围内,影响多个行业和组 织,如医院、学校、政府机构等
。
防范措施
及时更新系统和软件补丁,关闭 恶意软件传播渠道,备份重要数
据。
Petya勒索软件病毒
传播方式
通过感染Windows操作系统文件,使用加密算法对文件进行加密 ,并要求用户支付赎金以解锁文件。
CodeRed蠕虫病毒
传播方式
通过感染Windows操作系统文件和网络共享文件夹,使用复制 和感染文件的方式进行传播。
影响范围
全球范围内,影响多个行业和组织,如医疗、教育、政府机构等 。
防范措施
限制网络共享文件夹访问权限,及时更新系统和软件补丁,关闭 恶意软件传播渠道。
THANKS。
病毒活动。
清除方法
备份恢复法
备份重要数据,然后恢复到正 常状态。
安全模式法
在安全模式下启动计算机,然 后使用防病毒软件进行全盘扫 描。
程序修复法
使用防病毒软件提供的工具修 复被病毒感染的文件。
手动删除法
手动删除病毒文件和相关配置 文件,恢复系统设置。
05
最新计算机病毒案例分析
WannaCry勒索软件病毒
致程序无法正常运行或数据文件损坏。
计算机病毒的检测方法(共19张PPT)
1.4 比较法
比较法是用原始的或正常的文件与被检测的文件 进行比较。
长度比较法
一般对磁盘进行病毒检测时,要求内存中不带病毒,因为某些计算机病毒会向检测者报告假情况。
内容比较法 如果检索5000种病毒,必须对5000个病毒特征代码逐一检查。
例如4096病毒在内存中时,查看被它感染的文件长度时,不会发现该文件的长度已发生变化,而当在内存中没有病毒时,才会发现文件长度已 经增加了4096字节。
计算机病毒的检测方法
计算机病毒进行传染,必然会留下痕迹
。检测计算机病毒,就是要到病毒寄生场 所去检查,发现异常情况,并进而验明“ 正身”,确认计算机病毒的存在。病毒静 态时存储于磁盘中,激活时驻留在内存中 。
因此对计算机病毒的检测分为对内存的检 测和对磁盘的检测。
一般对磁盘进行病毒检测时,要求内存中不带病毒 ,因为某些计算机病毒会向检测者报告假情况。
可以发现那些尚不能被现有的查病毒程序发
现的计算机病毒。因为病毒传播得很快,新病
毒层出不穷,由于目前还没有做出通用的能查
出一切病毒,或通过代码分析,可以判定某个 一般对磁盘进行病毒检测时,要求内存中不带病毒,因为某些计算机病毒会向检测者报告假情况。
可以发现那些尚不能被现有的查病毒程序发现的计算机病毒。
缺点
不能识非文件内容改变的惟一的排 他性原因,文件内容的改变有可能是正常程序引起的 ,所以校验和法常常误报警。
会影响文件的运行速度
当已有软件版本更新、变更口令或修改运行参数时,校 验和法都会误报警。
校验和法对隐蔽性病毒无效:
隐蔽性病毒进驻内存后,会自动剥去染毒程序中的 病毒代码,使校验和法受骗,对一个有毒文件算出正 常校验和。
有的特征搜集在一个病毒码资料库中,简称“病毒库”
计算机病毒(共22张PPT)
计算机感染上病毒后出现的症状有多种 :一般不破坏系统内的程序和数据,病毒设计者大多是想通过该病毒的传播表现设计者的编程才能,这类病毒对计算机屏幕的显示产生干
扰,占用计算机资源(硬盘空间、CPU时间等),使计算机运行速度降低。
多样,很难全部预料和描述。一般可能
出现的症状如下:
返回
§文件长度增加 如黑色星期五
当计算机感染上病毒后,计算机的运行会发生异常。 预防计算机病毒的技术措施 该软件具有多项创新技术与功能:可查找目前已知的15000种以上的病毒及其变种; 这些破坏性极大的病毒的最终目的是使计算机系统瘫痪。
§引导型病毒 3、用于交换数据和信息的软盘应尽量不带系统,并在使用前对软盘进行病毒检测;
一般可能出现的症状如下: 当计算机感染上病毒后,计算机的运行会发生异常。 预防计算机病毒的技术措施 例如侵入者病毒、3544幽灵病毒等。 内存解毒,不需干净盘启动即可安全查杀病毒; 例如小球病毒、雨点病毒、毛毛虫病毒等。
固树立计算机安全意识;
2、增强法制观念,阻止计算机犯罪;
3、加强计算机安全的行政管理,建立和健全计算机
安全管理的各项规章制度,抓好落实工作;
4、建立和培养本单位计算机安全管理队伍,提高计算 机安全管理水平;
5、制定完善的计算机安全技术措施,通过有效的技 术手段,保障本单位计算机系统安全。
返回
二、按破坏程序分类 按病毒对计算机资源的破坏程序 可分为两大类。
§良性病毒
§恶性病毒
返回
良性病毒 :一般不破坏系统内
的程序和数据,病毒设计者大多 是想通过该病毒的传播表现设计 者的编程才能,这类病毒对计算 机屏幕的显示产生干扰,占用计 算机资源(硬盘空间、CPU时间 等),使计算机运行速度降低。 例如小球病毒、雨点病毒、毛毛 虫病毒等。
扰,占用计算机资源(硬盘空间、CPU时间等),使计算机运行速度降低。
多样,很难全部预料和描述。一般可能
出现的症状如下:
返回
§文件长度增加 如黑色星期五
当计算机感染上病毒后,计算机的运行会发生异常。 预防计算机病毒的技术措施 该软件具有多项创新技术与功能:可查找目前已知的15000种以上的病毒及其变种; 这些破坏性极大的病毒的最终目的是使计算机系统瘫痪。
§引导型病毒 3、用于交换数据和信息的软盘应尽量不带系统,并在使用前对软盘进行病毒检测;
一般可能出现的症状如下: 当计算机感染上病毒后,计算机的运行会发生异常。 预防计算机病毒的技术措施 例如侵入者病毒、3544幽灵病毒等。 内存解毒,不需干净盘启动即可安全查杀病毒; 例如小球病毒、雨点病毒、毛毛虫病毒等。
固树立计算机安全意识;
2、增强法制观念,阻止计算机犯罪;
3、加强计算机安全的行政管理,建立和健全计算机
安全管理的各项规章制度,抓好落实工作;
4、建立和培养本单位计算机安全管理队伍,提高计算 机安全管理水平;
5、制定完善的计算机安全技术措施,通过有效的技 术手段,保障本单位计算机系统安全。
返回
二、按破坏程序分类 按病毒对计算机资源的破坏程序 可分为两大类。
§良性病毒
§恶性病毒
返回
良性病毒 :一般不破坏系统内
的程序和数据,病毒设计者大多 是想通过该病毒的传播表现设计 者的编程才能,这类病毒对计算 机屏幕的显示产生干扰,占用计 算机资源(硬盘空间、CPU时间 等),使计算机运行速度降低。 例如小球病毒、雨点病毒、毛毛 虫病毒等。
《计算机病毒与防治》PPT课件
《计算机病毒与防治》PPT课件目录CONTENCT •计算机病毒概述•计算机病毒分类及原理•传播途径与感染方式•预防措施与策略部署•检测方法与技术手段•清除方法与工具介绍•总结回顾与未来展望01计算机病毒概述定义与特点定义计算机病毒是一种恶意软件,通过复制自身并在计算机网络中进行传播,从而破坏数据、干扰计算机操作,甚至危害网络安全。
特点具有隐蔽性、传染性、潜伏性、可触发性、破坏性等。
01020304早期病毒蠕虫病毒宏病毒恶意软件与勒索软件发展历程及现状利用宏语言编写的病毒,通过办公软件的宏功能进行传播。
90年代,随着互联网的发展,蠕虫病毒开始流行,通过网络漏洞进行传播。
20世纪80年代,计算机病毒开始出现,以恶作剧和炫耀技术为主。
近年来,恶意软件和勒索软件大量涌现,以窃取个人信息和勒索钱财为目的。
数据破坏系统崩溃网络传播经济损失危害程度与影响范围病毒可以删除、修改或加密用户数据,导致数据丢失或无法访问。
病毒会占用系统资源,导致系统性能下降、崩溃或无法启动。
病毒可以通过网络传播到其他计算机,造成大规模感染。
病毒会给个人和企业带来巨大的经济损失,包括数据恢复成本、系统修复成本和业务中断成本等。
02计算机病毒分类及原理010203寄生在可执行文件上,通过感染文件来传播。
修改文件内容,插入病毒代码,使文件执行时先执行病毒代码。
常见的文件型病毒有CIH、熊猫烧香等。
寄生在硬盘或软盘的引导区,通过感染引导区来传播。
修改引导区内容,插入病毒代码,使系统启动时先执行病毒代码。
常见的引导型病毒有大麻、小球等。
宏病毒寄生在Word、Excel等文档的宏中,通过文档传播。
脚本病毒寄生在网页脚本或邮件脚本中,通过网络传播。
利用宏或脚本语言的编程功能,实现病毒的自我复制和传播。
常见的宏病毒有TaiwanNo.1、Concept等,常见的脚本病毒有红色代码、爱虫等。
宏病毒和脚本病毒01020304网络蠕虫通过扫描网络漏洞,利用漏洞进行传播。
网络病毒ppt课件
THANKS
感谢观看
总结词
网络病毒的传播与防范
详细描述
熊猫烧香病毒是一种蠕虫病毒,通过感染可执行文件和网页文件进行传播。该病毒会在感染的电脑上打开后门、 收集用户信息,并发送给黑客。为了防范熊猫烧香病毒,用户应定期备份重要数据、安装防病毒软件、不打开未 知来源的邮件和链接等。
案例二:震网病毒事件
总结词
网络病毒对工业控制系统的危害
03
网络病毒的防范与应对
Chapter
安全防范措施
安装防病毒软件
选择可靠的品牌和版本,并及时更新病毒库。
谨慎下载和打开未知来源的文件
避免从不可信的网站或邮件下载和打开未知来源 的文件,以防病毒入侵。
ABCD
定期备份重要数据
将重要数据备份到外部硬盘或云端,以防数据丢 失。
限制网络访问权限
根据工作需要,合理设置网络访问权限,避免不 必要的网络访问。
。
技术创新与防范手段
开发更高效的杀毒软件、防火墙 等安全防护工具。
通过虚拟化技术隔离网络环境, 降低病毒传播风险。
智能防御技术 安全防护软件
数据备份与恢复 虚拟化技术应用
利用人工智能和机器学习技术, 实时监测和识别网络病毒。
定期备份重要数据,确保在遭受 攻击后能迅速恢复。
国际合作与政策建议
信息共享平台
03
数据泄露
网络病毒会窃取用户的个 人信息,如账号、密码、 信用卡信息等,导致数据 泄露和财产损失。
系统崩溃
网络病毒会对计算机系统 造成破坏,导致系统运行 缓慢、死机、蓝屏等问题 。
网络瘫痪
一些蠕虫病毒和勒索软件 可能会感染大量计算机, 导致网络瘫痪和业务中断 。
02
《计算机病毒》ppt课件完整版
复制模块(Replication Mod…
负责病毒的自我复制,生成新的病毒实例。
破坏/表现模块(Destruction/…
负责实施破坏行为或展示特定信息。
侵入途径及过程
可执行文件感染
通过修改可执行文件,将病 毒代码嵌入其中。当文件被 执行时,病毒代码也被激活 。
宏病毒感染
利用宏语言编写的病毒,感 染使用宏的应用程序文档。 当文档被打开或宏被执行时 ,病毒被激活。
《计算机病毒》ppt课 件完整版
contents
目录
• 计算机病毒概述 • 计算机病毒结构与工作原理 • 常见计算机病毒类型及特点 • 防护措施与策略部署 • 检测方法与工具应用 • 总结回顾与展望未来发展趋势
01
计算机病毒概述
定义与分类
定义
计算机病毒是一种恶意软件,能 够在计算机系统内进行自我复制 和传播,从而破坏数据、干扰计 算机操作或占用系统资源。
利用网络共享
病毒搜索并感染网络共享文件 夹中的文件,进而传播到其他 计算机。
利用移动设备
病毒通过感染移动设备(如U盘 、手机等)中的文件,在用户 将设备连接到其他计算机时进 行传播。
利用漏洞攻击
病毒利用操作系统或应用程序 的漏洞进行攻击,获取控制权
并传播到其他计算机。
03
常见计算机病毒类型及特点
蠕虫病毒
计算机病毒的传播途径
详细阐述了计算机病毒通过网络、移 动存储介质等途径进行传播的方式, 以及防范病毒传播的方法。
计算机病毒的检测与防范
介绍了病毒检测的原理、方法和技术 ,以及防范计算机病毒的策略和措施 ,包括使用杀毒软件、定期更新操作 系统补丁等。
行业前沿动态分享
新型计算机病毒分析
负责病毒的自我复制,生成新的病毒实例。
破坏/表现模块(Destruction/…
负责实施破坏行为或展示特定信息。
侵入途径及过程
可执行文件感染
通过修改可执行文件,将病 毒代码嵌入其中。当文件被 执行时,病毒代码也被激活 。
宏病毒感染
利用宏语言编写的病毒,感 染使用宏的应用程序文档。 当文档被打开或宏被执行时 ,病毒被激活。
《计算机病毒》ppt课 件完整版
contents
目录
• 计算机病毒概述 • 计算机病毒结构与工作原理 • 常见计算机病毒类型及特点 • 防护措施与策略部署 • 检测方法与工具应用 • 总结回顾与展望未来发展趋势
01
计算机病毒概述
定义与分类
定义
计算机病毒是一种恶意软件,能 够在计算机系统内进行自我复制 和传播,从而破坏数据、干扰计 算机操作或占用系统资源。
利用网络共享
病毒搜索并感染网络共享文件 夹中的文件,进而传播到其他 计算机。
利用移动设备
病毒通过感染移动设备(如U盘 、手机等)中的文件,在用户 将设备连接到其他计算机时进 行传播。
利用漏洞攻击
病毒利用操作系统或应用程序 的漏洞进行攻击,获取控制权
并传播到其他计算机。
03
常见计算机病毒类型及特点
蠕虫病毒
计算机病毒的传播途径
详细阐述了计算机病毒通过网络、移 动存储介质等途径进行传播的方式, 以及防范病毒传播的方法。
计算机病毒的检测与防范
介绍了病毒检测的原理、方法和技术 ,以及防范计算机病毒的策略和措施 ,包括使用杀毒软件、定期更新操作 系统补丁等。
行业前沿动态分享
新型计算机病毒分析
《计算机病毒》PPT课件
12
计算机病毒检测技术
静态检测技术
通过对病毒代码的特征进行分析 和比对,实现对病毒的静态检测
。
2024/1/30
动态检测技术
通过监控计算机系统的运行行为, 发现异常行为并判定为病毒攻击。
启发式检测技术
利用启发式算法对病毒代码进行智 能分析和识别。
13
计算机病毒防范策略
01
02
03
预防为主
通过加强计算机系统的安 全防护,提高用户的安全 意识,减少病毒攻击的机 会。
成严重经济损失。
传播途径与防范
03
蠕虫病毒主要通过漏洞传播,及时修补系统漏洞、安装杀毒软
件可有效防范。
17
木马病毒案例分析
2024/1/30
木马病毒定义
隐藏在正常程序中的恶意代码,窃取用户信息、控制系统资源。
典型案例分析
灰鸽子、冰河等木马病毒,窃取用户账号密码、远程控制计算机 ,实施网络犯罪。
传播途径与防范
社交工程攻击
通过欺骗用户获取敏感信息,进而实施 病毒攻击。
2024/1/30
26
加强国际合作,共同应对计算机病毒威胁
建立国际反病毒联盟
各国共同组建反病毒联盟,共享病 毒信息和防范技术。
加强跨国协作
跨国企业、研究机构和政府部门加 强协作,共同应对病毒威胁。
制定国际反病毒法规
制定国际反病毒法规和标准,规范 病毒防范和处置流程。
随着互联网的普及,计算机病毒传播速度 加快,出现了宏病毒、蠕虫病毒等,通过 电子邮件、恶意网站等途径传播。
近年来,计算机病毒不断演变,出现了勒 索病毒、挖矿病毒等,利用漏洞、弱口令 等方式进行传播,对计算机系统和网络安 全造成严重威胁。
计算机病毒.ppt
ARP攻击的对治方法 ARP攻击的对治方法
• 由于ARP攻击往往不是病毒造成的,而是合法运行的程序 由于ARP攻击往往不是病毒造成的, ARP攻击往往不是病毒造成的 (外挂、网页)造成的,所杀毒软件多数时候束手无策。 外挂、网页)造成的,所杀毒软件多数时候束手无策。 目前为止我还没有看到互联网上有任何一个完美的解决 方法, 方法,一个重要的原因就是这本身是互联网的一个致命 的顽疾(arp协议相信网络内的所有主机),越大的网络 的顽疾(arp协议相信网络内的所有主机),越大的网络 协议相信网络内的所有主机), 越难处理。只要有一台电脑中毒,整个网络都瘫痪,这 越难处理。只要有一台电脑中毒,整个网络都瘫痪, 给杀毒处理工作带来很大的难度。 给杀毒处理工作带来很大的难度。 • 一般我们能采用的方法是: 一般我们能采用的方法是: • (1)全校全面杀毒。这一定要做的,但是可行性很 全校全面杀毒。这一定要做的, 低,就算某断时间所有电脑都没毒,但是过不了两天, 就算某断时间所有电脑都没毒,但是过不了两天, 又会有人中毒,又会瘫痪。杀毒是一方面, 又会有人中毒,又会瘫痪。杀毒是一方面,更重要的是 要所有人都提高防毒意识。 要所有人都提高防毒意识。
计算机病毒
木 马
木马病毒概述 “特洛伊木马”简称木马,其英文叫做“Trojan 特洛伊木马”简称木马,其英文叫做“ house”,其名称取自希腊神话的“特洛伊木马记” house”,其名称取自希腊神话的“特洛伊木马记”,它 是一种基于远程控制的黑客工具。木马通常寄生于用户的 是一种基于远程控制的黑客工具。 计算机系统中,盗窃用户信息,并通过网络发送给黑客。 计算机系统中,盗窃用户信息,并通过网络发送给黑客。 在黑客进行的各种攻击行为中, 在黑客进行的各种攻击行为中,木马都起到了开路先锋的 作用
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
由于病毒驻留于内存,必须在内存中申请一定 的空间,并对该空间进行占用、保护。因此, 通过对内存的检测,观察其空间变化,与正常 系统内存的占用和空间进行比较,可以判断是 否有病毒驻留其间。但无法判定为何种病毒。 此法对于那些隐蔽型病毒无效。
计算机病毒的检测方法
15
3. 中断比较法
病毒为实现其隐蔽和传染破坏之目的,常采 用“截留盗用”技术,更改、接管中断向量, 让系统中断向量转向执行病毒控制部分。因此, 将正常系统的中断向量与有毒系统的中断向量 进行比较,可以发现是否有病毒修改和盗用中 断向量。
计算机病毒的检测方法
16
比较法的好处是简单、方便,不需专用软件。 缺点是无法确认病毒的种类名称。
计算机病毒的检测方法
17
1.5 分析法
一般使用分析法的人不是普通用户,而是反 病毒技术人员。使用分析法的目的是:
(1) 确认被观察的磁盘引导区和程序中是否含 有病毒。
(2) 确认病毒的类型和种类,判定其是否是一 种新病毒。
计算机病毒的检测方法
3
病毒检测的原理主要基于下列几种方法:
➢利用病毒特征代码串的特征代码法 ➢利用文件内容校验的校验和法 ➢用软件虚拟分析的软件模拟法 ➢比较被检测对象与原始备份的比较法
➢运用反汇编技术分析被检测对象确认 是否为病毒的分析法
计算机病毒的检测方法
4
1. 病毒的检测方法
1.1 特征代码法
5
在设计此类检测工具时,应考虑如下一些问题:
(1) 高速性。
随着病毒种类的增多,检索时间变长。如果检索 5000种病毒,必须对5000个病毒特征代码逐一检 查。如果病毒种数再增加,检查病毒的时间开销 就变得十分可观。此类工具检测的高速性,将变 得日益困难。
(2) 误报警率低。
(3) 要具有检查多态性病毒的能力。此要求是对 病毒检测工具的新要求,特征代码法是不可能检 测多态性病毒的。
2
一般对磁盘进行病毒检测时,要求内存中不带 病毒,因为某些计算机病毒会向检测者报告假 情况。
例如4096病毒在内存中时,查看被它感染的文 件长度时,不会发现该文件的长度已发生变化, 而当在内存中没有病毒时,才会发现文件长度 已经增加了4096字节。
又如引导区型的巴基斯坦大脑病毒,当它 被激活在内存中时,检查引导区时看不到病毒 程序而只看到正常的引导扇区。
计算机病毒的检测方法
6
(4) 能对付隐蔽性病毒。隐蔽性病毒如果先进 驻内存,后运行病毒检测工具,隐蔽性病毒能 先于检测工具,将被查文件中的病毒代码剥去, 检测工具的确是在检查一个有毒文件,但它真 正看到的却是一个虚假的“好文件”,而不能 报警,被隐蔽性病毒所蒙骗。
计算机病毒的检测方法
7
1.2 校验和法
计算机病毒的检测方法
计算机病毒的检测方法
1
计算机病毒进行传染,必然会留下痕迹。 检测计算机病毒,就是要到病毒寄生场 所去检查,发现异常情况,并进而验明 “正身”,确认计算机病毒的存在。病 毒静态时存储于磁盘中,激活时驻留在 内存中。
因此对计算机病毒的检测分为对内存的 检测和对磁盘的检测。
计算机病毒的检测方法
(3) 搞清楚病毒体的大致结构,提取特征识别 用的字符串或特征字, 用于增添到病毒代码库 供病毒扫描和识别程序用。
(4) 详细分析病毒代码,制订相应的反病毒措 施方案。
特征代码法被认为是用来检测已知病毒的最 简单、开销最小的方法。
原理:
将所有病毒的病毒码加以剖析,并且将这些 病毒独有的特征搜集在一个病毒码资料库中, 简称“病毒库”,检测时,以扫描的方式将 待检测程序与病毒库中的病毒特征码进行一 一对比,如果发现有相同的代码,则可判定 该程序已遭病毒感染。
计算机病毒的检测方法
计算机病毒的检测方法8源自缺点不能识别病毒种类,不能报出病毒名称
误报警:由于病毒感染并非文件内容改变的惟一 的排他性原因,文件内容的改变有可能是正常程 序引起的,所以校验和法常常误报警。
会影响文件的运行速度
当已有软件版本更新、变更口令或修改运行参数 时,校验和法都会误报警。
计算机病毒的检测方法
9
校验和法对隐蔽性病毒无效:
新型检测工具纳入了软件模拟法,该类工具开 始运行时,使用特征代码法检测病毒,如果发 现隐蔽病毒或多态性病毒嫌疑时,启动软件模 拟模块,监视病毒的运行,待病毒自身的密码 译码以后,再运用特征代码法来识别病毒的种 类。
计算机病毒的检测方法
11
1.4 比较法
比较法是用原始的或正常的文件与被检测的 文件进行比较。
➢ 长度比较法 ➢ 内容比较法 ➢ 内存比较法 ➢ 中断比较法
比较时可以靠打印的代码清单(比如DEBUG 的口命令输出格式)进行比较,或用程序来进 行比较(如DOS的DISKCOMP、COMP或 PCTOOLS等其他软件)。
计算机病毒的检测方法
12
可以发现那些尚不能被现有的查病毒程序发
现的计算机病毒。因为病毒传播得很快,新 病毒层出不穷,由于目前还没有做出通用的 能查出一切病毒,或通过代码分析,可以判 定某个程序中是否含有病毒的查毒程序,发 现新病毒就只有靠比较法和分析法,有时必 须结合这两者一同工作。
隐蔽性病毒进驻内存后,会自动剥去染毒程序中 的病毒代码,使校验和法受骗,对一个有毒文件 算出正常校验和。
计算机病毒的检测方法
10
1.3 软件模拟法
为了检测多态性病毒,国外研制了新的检测方 法——软件模拟法。它是一种软件分析器,用 软件方法来模拟和分析程序的运行,以后演绎 为虚拟机上进行的查毒,启发式查毒技术等, 是相对成熟的技术。
计算机病毒的检测方法
13
1. 长度比较法及内容比较法
病毒感染系统或文件,必然引起系统或文件 的变化,既包括长度的变化,又包括内容的变 化。因此,将无毒的系统或文件与被检测的系 统或文件的长度和内容进行比较,即可发现病 毒。
计算机病毒的检测方法
14
2. 内存比较法
这是一种对内存驻留病毒进行检测的方法。
校验和法是将正常文件的内容,计算其“校 验和”,将该校验和写入文件中或写入别的文 件中保存。
在文件使用过程中,定期地或每次使用文件前, 检查文件现在内容算出的校验和与原来保存的 校验和是否一致,以此来发现文件是否感染。
优点: 既可发现已知病毒又可发现未知病毒。
常用: 在许多常用的检测工具中,都采用了这种方法。
计算机病毒的检测方法
15
3. 中断比较法
病毒为实现其隐蔽和传染破坏之目的,常采 用“截留盗用”技术,更改、接管中断向量, 让系统中断向量转向执行病毒控制部分。因此, 将正常系统的中断向量与有毒系统的中断向量 进行比较,可以发现是否有病毒修改和盗用中 断向量。
计算机病毒的检测方法
16
比较法的好处是简单、方便,不需专用软件。 缺点是无法确认病毒的种类名称。
计算机病毒的检测方法
17
1.5 分析法
一般使用分析法的人不是普通用户,而是反 病毒技术人员。使用分析法的目的是:
(1) 确认被观察的磁盘引导区和程序中是否含 有病毒。
(2) 确认病毒的类型和种类,判定其是否是一 种新病毒。
计算机病毒的检测方法
3
病毒检测的原理主要基于下列几种方法:
➢利用病毒特征代码串的特征代码法 ➢利用文件内容校验的校验和法 ➢用软件虚拟分析的软件模拟法 ➢比较被检测对象与原始备份的比较法
➢运用反汇编技术分析被检测对象确认 是否为病毒的分析法
计算机病毒的检测方法
4
1. 病毒的检测方法
1.1 特征代码法
5
在设计此类检测工具时,应考虑如下一些问题:
(1) 高速性。
随着病毒种类的增多,检索时间变长。如果检索 5000种病毒,必须对5000个病毒特征代码逐一检 查。如果病毒种数再增加,检查病毒的时间开销 就变得十分可观。此类工具检测的高速性,将变 得日益困难。
(2) 误报警率低。
(3) 要具有检查多态性病毒的能力。此要求是对 病毒检测工具的新要求,特征代码法是不可能检 测多态性病毒的。
2
一般对磁盘进行病毒检测时,要求内存中不带 病毒,因为某些计算机病毒会向检测者报告假 情况。
例如4096病毒在内存中时,查看被它感染的文 件长度时,不会发现该文件的长度已发生变化, 而当在内存中没有病毒时,才会发现文件长度 已经增加了4096字节。
又如引导区型的巴基斯坦大脑病毒,当它 被激活在内存中时,检查引导区时看不到病毒 程序而只看到正常的引导扇区。
计算机病毒的检测方法
6
(4) 能对付隐蔽性病毒。隐蔽性病毒如果先进 驻内存,后运行病毒检测工具,隐蔽性病毒能 先于检测工具,将被查文件中的病毒代码剥去, 检测工具的确是在检查一个有毒文件,但它真 正看到的却是一个虚假的“好文件”,而不能 报警,被隐蔽性病毒所蒙骗。
计算机病毒的检测方法
7
1.2 校验和法
计算机病毒的检测方法
计算机病毒的检测方法
1
计算机病毒进行传染,必然会留下痕迹。 检测计算机病毒,就是要到病毒寄生场 所去检查,发现异常情况,并进而验明 “正身”,确认计算机病毒的存在。病 毒静态时存储于磁盘中,激活时驻留在 内存中。
因此对计算机病毒的检测分为对内存的 检测和对磁盘的检测。
计算机病毒的检测方法
(3) 搞清楚病毒体的大致结构,提取特征识别 用的字符串或特征字, 用于增添到病毒代码库 供病毒扫描和识别程序用。
(4) 详细分析病毒代码,制订相应的反病毒措 施方案。
特征代码法被认为是用来检测已知病毒的最 简单、开销最小的方法。
原理:
将所有病毒的病毒码加以剖析,并且将这些 病毒独有的特征搜集在一个病毒码资料库中, 简称“病毒库”,检测时,以扫描的方式将 待检测程序与病毒库中的病毒特征码进行一 一对比,如果发现有相同的代码,则可判定 该程序已遭病毒感染。
计算机病毒的检测方法
计算机病毒的检测方法8源自缺点不能识别病毒种类,不能报出病毒名称
误报警:由于病毒感染并非文件内容改变的惟一 的排他性原因,文件内容的改变有可能是正常程 序引起的,所以校验和法常常误报警。
会影响文件的运行速度
当已有软件版本更新、变更口令或修改运行参数 时,校验和法都会误报警。
计算机病毒的检测方法
9
校验和法对隐蔽性病毒无效:
新型检测工具纳入了软件模拟法,该类工具开 始运行时,使用特征代码法检测病毒,如果发 现隐蔽病毒或多态性病毒嫌疑时,启动软件模 拟模块,监视病毒的运行,待病毒自身的密码 译码以后,再运用特征代码法来识别病毒的种 类。
计算机病毒的检测方法
11
1.4 比较法
比较法是用原始的或正常的文件与被检测的 文件进行比较。
➢ 长度比较法 ➢ 内容比较法 ➢ 内存比较法 ➢ 中断比较法
比较时可以靠打印的代码清单(比如DEBUG 的口命令输出格式)进行比较,或用程序来进 行比较(如DOS的DISKCOMP、COMP或 PCTOOLS等其他软件)。
计算机病毒的检测方法
12
可以发现那些尚不能被现有的查病毒程序发
现的计算机病毒。因为病毒传播得很快,新 病毒层出不穷,由于目前还没有做出通用的 能查出一切病毒,或通过代码分析,可以判 定某个程序中是否含有病毒的查毒程序,发 现新病毒就只有靠比较法和分析法,有时必 须结合这两者一同工作。
隐蔽性病毒进驻内存后,会自动剥去染毒程序中 的病毒代码,使校验和法受骗,对一个有毒文件 算出正常校验和。
计算机病毒的检测方法
10
1.3 软件模拟法
为了检测多态性病毒,国外研制了新的检测方 法——软件模拟法。它是一种软件分析器,用 软件方法来模拟和分析程序的运行,以后演绎 为虚拟机上进行的查毒,启发式查毒技术等, 是相对成熟的技术。
计算机病毒的检测方法
13
1. 长度比较法及内容比较法
病毒感染系统或文件,必然引起系统或文件 的变化,既包括长度的变化,又包括内容的变 化。因此,将无毒的系统或文件与被检测的系 统或文件的长度和内容进行比较,即可发现病 毒。
计算机病毒的检测方法
14
2. 内存比较法
这是一种对内存驻留病毒进行检测的方法。
校验和法是将正常文件的内容,计算其“校 验和”,将该校验和写入文件中或写入别的文 件中保存。
在文件使用过程中,定期地或每次使用文件前, 检查文件现在内容算出的校验和与原来保存的 校验和是否一致,以此来发现文件是否感染。
优点: 既可发现已知病毒又可发现未知病毒。
常用: 在许多常用的检测工具中,都采用了这种方法。