計算機病毒查殺方法.ppt
《計算機病毒查殺方法.ppt》由會員分享,可在線閱讀,更多相關《計算機病毒查殺方法.ppt(86頁珍藏版)》請在裝配圖網上搜索。
計算機病毒查殺,本章學習目標,掌握計算機病毒診斷知識掌握殺毒引擎掃描算法了解病毒診斷實驗理解計算機病毒清除知識,本章內容:計算機病毒的診斷原理方法源碼分析計算機病毒的清除典型病毒的查殺,1計算機病毒的診斷,內容:計算機病毒的診斷原理計算機病毒的診斷方法高速模式匹配自動診斷的源碼分析,計算機病毒的診斷原理,用什么來判斷?染毒后的特征常用方法:比較法校驗和掃描法行為監(jiān)測法行為感染試驗法虛擬執(zhí)行法陷阱技術先知掃描分析法等等,比較法,比較法是用原始或正常的對象與被檢測的對象進行比較。手工比較法是發(fā)現(xiàn)新病毒的必要方法。比較法又包括:注冊表比較法工具RegMon弱點:正常程序也操作注冊表文件比較法通常比較文件的長度和內容兩個方面工具FileMon弱點:長度和內容的變化有時是合法的病毒可以模糊這種變化,內存比較法主要針對駐留內存病毒判斷駐留特征中斷比較法將正常系統(tǒng)的中斷向量與有毒系統(tǒng)的中斷向量進行比較比較法的好處:簡單比較法的缺點:無法確認病毒,依賴備份,校驗和法,首先,計算正常文件內容的校驗和并且將該校驗和寫入某個位置保存。然后,在每次使用文件前或文件使用過程中,定期地檢查文件現(xiàn)在內容算出的校驗和與原來保存的校驗和是否一致,從而可以發(fā)現(xiàn)文件是否感染,這種方法叫校驗和法,它既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒。,優(yōu)點:方法簡單能發(fā)現(xiàn)未知病毒被查文件的細微變化也能發(fā)現(xiàn)缺點:必須預先記錄正常態(tài)的校驗和會誤報警不能識別病毒名稱程序執(zhí)行附加延遲不對付隱蔽性病毒。,掃描法,掃描法是用每一種病毒體含有的特定字符串(Signature)對被檢測的對象進行掃描。如果在被檢測對象內部發(fā)現(xiàn)了某一種特定字符串,就表明發(fā)現(xiàn)了該字符串所代表的病毒。掃描器由兩部分組成:特征串(Signature)和掃描算法(Scanner),選擇代碼串的規(guī)則是:代碼串不應含有病毒的數(shù)據(jù)區(qū),數(shù)據(jù)區(qū)是會經常變化的。在保持唯一性的前提下,應盡量使特征代碼長度短些,以減少時間和空間開銷。代碼串一定要在仔細分析了程序之后才能選出最具代表性的,足以將該病毒區(qū)別于其他病毒和該病毒的其他變種的代碼串。特征串必須能將病毒與正常的非病毒程序區(qū)分開。例如:給定特征串為“E97C0010?37CB”,則“E97C00102737CB”和“E97C00109C37CB”都能被識別出來.,其優(yōu)點包括:(1)當特征串選擇得很好時,病毒檢測軟件讓計算機用戶使用起來方便快速,對病毒了解不多的人也能用它來發(fā)現(xiàn)病毒。(2)不用專門軟件,用編輯軟件也能用特征串掃描法去檢測特定病毒。(3)可識別病毒的名稱。(4)誤報警率低。(5)依據(jù)檢測結果,可做殺毒處理。,缺點:(1)當被掃描的文件很長時,掃描所花時間也較多。(2)不容易選出合適的特征串,有時會發(fā)出假警報。(3)新病毒的特征串未加入病毒代碼庫時,老版本的掃毒程序無法識別出新病毒。(4)懷有惡意的計算機病毒制造者得到代碼庫后,會很容易地改變病毒體內的代碼,生成一個新的變種,使掃描程序失去檢測它的能力。(5)容易產生誤警報。只要正常程序內帶有某種病毒的特征串,即使該代碼段已不可能被執(zhí)行,而只是被殺死的病毒體殘余,掃描程序仍會報警。(6)不易識別變異類病毒。(7)搜集已知病毒的特征代碼,費用開銷大。(8)在網絡上使用效率低。,行為監(jiān)測法,利用病毒的特有行為特性來監(jiān)測病毒的方法稱為行為監(jiān)測法。常用行為:占用INT13H修改DOS系統(tǒng)數(shù)據(jù)區(qū)的內存總量對COM和EXE文件做寫入動作寫注冊表自動聯(lián)網請求優(yōu)點:發(fā)現(xiàn)未知病毒缺點:難度大、誤報警,感染實驗法,這種方法的原理是利用了病毒的最重要的基本特征:感染特性。觀察正常程序和可疑程序的表現(xiàn)是非不同。,1檢測未知引導型病毒的感染實驗法a.先用一張軟盤,做一個清潔無毒的系統(tǒng)盤,用DEBUG程序,讀該盤的BOOT扇區(qū)進入內存,計算其校驗和,并記住此值。同時把正常的BOOT扇區(qū)保存到一個文件中。上述操作必須保證系統(tǒng)環(huán)境是清潔無毒的b.在這張實驗盤上拷貝一些無毒的系統(tǒng)應用程序。c.啟動可疑系統(tǒng),將實驗盤插入可疑系統(tǒng),運行實驗盤上的程序,重復一定次數(shù)。d.再在干凈無毒機器上,檢查實驗盤的BOOT扇區(qū),可與原BOOT扇區(qū)內容比較,如果實驗盤BOOT扇區(qū)內容已改變,可以斷定可疑系統(tǒng)中有引導型病毒。,2檢測未知文件型病毒的感染實驗法a.在干凈系統(tǒng)中制作一張實驗盤,上面存放一些應用程序,這些程序應保證無毒,應選擇長度不同,類型不同的文件(既有COM型又有EXE型)。記住這些文件正常狀態(tài)的長度和校驗和。b.在實驗盤上制作一個批處理文件,使盤中程序在循環(huán)中輪流被執(zhí)行數(shù)次c.將實驗盤插入可疑系統(tǒng),執(zhí)行批處理文件,多次執(zhí)行盤中程序。d.將實驗盤放人干凈系統(tǒng),檢查盤中文件的長度和校驗和,如果文件長度增加,或者校驗和變化,則可斷定系統(tǒng)中有病毒。,對于Windows中的病毒,感染實驗法檢測內容會更多一些,例如,當使用感染實驗法檢測“廣外女生”木馬病毒時,可以采用如下步驟:首先打開RegSnap,從file菜單選new,然后單擊OK按鈕,對當前干凈的注冊表以及系統(tǒng)文件做一個記錄。如果木馬修改了其中某項,就可以分析出來了。備份完成之后把它存為Regsnp1.rgs。在計算機上運行感染了“廣外女生”病毒的文件,例如雙擊gdufs.exe,然后等一小會兒。如果此時發(fā)現(xiàn)正在運行著的“天網防火墻”或“金山毒霸”自動退出,就很可能木馬已經駐留在系統(tǒng)中了。,重新打開RegSnap,從file菜單選new,然后單擊OK按鈕,把這次的snap結果存為Regsnp2.rgs。從RegSnap的file菜單選擇Compare,在Firstsnapshot中選擇打開Regsnp1.rgs,在Secondsnapshot中選擇打開Regsnp2.rgs,并在下面的單選框中選中Showmodifiedkeynamesandkeyvalues,然后單擊OK按鈕。這樣RegSnap就開始比較兩次記錄有什么區(qū)別了,當比較完成時會自動打開分析結果文件Regsnp1-Regsnp2.htm。為找出木馬的駐留位置以及在注冊表中的啟動項,看Regsnp1-Regsnp2.htm,若顯示如下信息:,Summaryinfo:Deletedkeys:0Modifiedkeys:15Newkeys:1FilelistinC:WINNTSystem32*.*Summaryinfo:Deletedfiles:0Modifiedfiles:0Newfiles:1Newfilesdiagcfg.exeSize:97792,Date/Time:2001年07月01日23:00:12Totalpositions:1,則表明兩次記錄中,沒有刪除注冊表鍵,修改了15處注冊表,新增加了一處注冊表鍵值,在C:WINNTSystem32目錄下面新增加了一個文件diagcfg.exe。這個文件非??梢桑驗樵诒容^兩次系統(tǒng)信息之間只運行了“廣外女生”這個木馬,所以有理由相信diagcfg.exe就是木馬留在系統(tǒng)中的后門程序。這時打開任務管理器,可以發(fā)現(xiàn)其中有一個diagcfg.exe的進程,這就是木馬的原身。但這個時候千萬不要刪除diagcfg.exe,否則系統(tǒng)就無法正常運行了。,木馬一般都會在注冊表中設置一些鍵值以便以后在系統(tǒng)每次重新啟動時能夠自動運行。從Regsnp1-Regsnp2.htm中可以看到哪些注冊表項發(fā)生了變化,此時若看到:HKEY_LOCAL_MACHINESOFTWAREClassesexefileshellopencommandOldvalue:String:%1%*Newvalue:String:C:WINNTSystem32diagcfg.exe%1%*,則說明這個鍵值由原來的%1%*被修改成了C:WINNTSystem32DIAGCFG.EXE%1%*,這就使得以后每次運行任何可執(zhí)行文件時都要先運行C:WINNTSystem32diagcfg.exe這個程序。找出木馬監(jiān)聽的端口。使用fport可以輕松的實現(xiàn)這一點。在命令行中運行fport.exe,可以看到:,C:toolfportfportFPortv1.33TCP/IPProcesstoPortMapperCopyright2000byFoundstone,Inc.PidProcessPortProtoPath584tcpsvcs-7TCPC:WINNTSystem32tcpsvcs.exe584tcpsvcs-9TCPC:WINNTSystem32tcpsvcs.exe584tcpsvcs-13TCPC:WINNTSystem32tcpsvcs.exe584tcpsvcs-17TCPC:WINNTSystem32tcpsvcs.exe584tcpsvcs-19TCPC:WINNTSystem32tcpsvcs.exe836inetinfo-80TCPC:WINNTSystem32inetsrvinetinfo.exe408svchost-135TCPC:WINNTsystem32svchost.exe,836inetinfo-443TCPC:WINNTSystem32inetsrvinetinfo.exe8System-445TCP464msdtc-1025TCPC:WINNTSystem32msdtc.exe684MSTask-1026TCPC:WINNTsystem32MSTask.exe584tcpsvcs-1028TCPC:WINNTSystem32tcpsvcs.exe836inetinfo-1029TCPC:WINNTSystem32inetsrvinetinfo.exe8System-1030TCP464msdtc-3372TCPC:WINNTSystem32msdtc.exe1176DIAGCFG-6267TCPC:WINNTSystem32DIAGCFG.EXE/*注意這行!*/,836inetinfo-7075TCPC:WINNTSystem32inetsrvinetinfo.exe584tcpsvcs-7UDPC:WINNTSystem32tcpsvcs.exe584tcpsvcs-9UDPC:WINNTSystem32tcpsvcs.exe584tcpsvcs-13UDPC:WINNTSystem32tcpsvcs.exe584tcpsvcs-17UDPC:WINNTSystem32tcpsvcs.exe584tcpsvcs-19UDPC:WINNTSystem32tcpsvcs.exe584tcpsvcs-68UDPC:WINNTSystem32tcpsvcs.exe408svchost-135UDPC:WINNTsystem32svchost.exe8System-445UDP228services-1027UDPC:WINNTsystem32services.exe836inetinfo-3456UDPC:WINNTSystem32inetsrvinetinfo.exe,虛擬執(zhí)行法,為了檢測多態(tài)性病毒,提出了虛擬執(zhí)行法。它是一種軟件分析器,用軟件方法來模擬和分析程序的運行。如果發(fā)現(xiàn)隱蔽性病毒或多態(tài)性病毒嫌疑時,啟動虛擬執(zhí)行模塊,監(jiān)視病毒的運行,待病毒自身的密碼譯碼以后,再運用特征代碼法來識別病毒的種類。,分析法,分析法的目的在于:1確認被觀察的磁盤引導區(qū)和程序中是否含有2確認病毒的類型和種類,判定其是否是一種新病毒。3搞清楚病毒體的大致結構,提取特征識別用的字符串或特征字,用于增添到病毒代碼庫供掃描和識別程序用。4詳細分析病毒代碼,為制定相應的反病毒措施制定方案。,人工智能陷阱技術和宏病毒陷阱技術,人工智能陷阱是一種監(jiān)測計算機行為的常駐式掃描技術。它將所有計算機病毒所產生的行為歸納起來,一旦發(fā)現(xiàn)內存中的程序有任何不當?shù)男袨?,系統(tǒng)就會有所警覺,并告知使用者。這種技術的優(yōu)點是執(zhí)行速度快、操作簡便,且可以偵測到各式計算機病毒。其缺點就是程序設計難度大,且不容易考慮周全。在這千變萬化的計算機病毒世界中,人工智能陷阱掃描技術是一個具有主動保護功能的技術。宏病毒陷阱技術結合了搜索法和人工智能陷阱技術,依行為模式來偵測已知及未知的宏病毒。其中,配合OLE2技術,可將宏與文件分開,加快掃描速度,而且可以有效地將宏病毒徹底清除。,先知掃描法,先知掃描技術將專業(yè)人員用來判斷程序是否存在計算機病毒代碼的方法,分析歸納成專家系統(tǒng)和知識庫,再利用軟件模擬技術(SoftwareEmulation)偽執(zhí)行新的計算機病毒,超前分析出新計算機病毒代碼,對付未知的計算機病毒。,利用原始備份和被檢測程序相比較的方法適合于不需專用軟件,可以發(fā)現(xiàn)異常情況的場合,是一種簡單的基本的病毒檢測方法;掃描特征串和識別特征字的方法適用于制作成查病毒軟件的方式供廣大PC機用戶使用,方便而又迅速,但對新出現(xiàn)的病毒會出現(xiàn)漏檢的情況,需要與分析和比較法相結合;分析病毒的方法主要是由專業(yè)人員識別病毒,研制反病毒系統(tǒng)時使用,要求較多的專業(yè)知識,是反病毒研究不可缺少的方法。,計算機病毒的診斷方法,手工檢測工具軟件(Debug、UltraEdit、EditPlus、SoftICE、TRW、Ollydbg等)優(yōu)點:Aver發(fā)現(xiàn)并分析新病毒缺點:不可能普及自動檢測自動檢測是指通過一些自動診斷軟件來判斷系統(tǒng)是否有毒的方法。優(yōu)點:易于普及缺點:滯后性,高速模式匹配,查找的速度是評價一個查毒引擎的關鍵因素之一。算法種類:單模式匹配算法:KMPQSBM等多模式匹配算法:DFSA基于二叉樹的算法問題描述設待處理(動態(tài))文本為單模式匹配是從文本中查找一個模式串多模式匹配就是通過一次查找從文本中發(fā)現(xiàn)多個P1,P2,.,Pq,最簡單的查找算法BF算法,Brute-Force算法匹配過程,單模式匹配BM算法,bad-character位移,字符a在P中出現(xiàn),bad-character位移,字符a在P中不出現(xiàn),計算公式,good-suffix位移,只有u的前綴v在P中重現(xiàn),good-suffix位移,u的一次重現(xiàn)且其前一個字符與b不同,首先定義兩個條件:cond1(j,s):對每個k,jkget_Inspectors(,當郵件在一個獨立的窗口打開時,觸發(fā)下列事件voidCOutlooksampleDlg:NewInspector(IDispatch*disp)/給該郵件一個事件newCEventSink(*this,disp);,/當郵件顯示在預覽窗口時voidCEventSink:SelectionChange()longcount=0;if(m_explorer!=0)Outlook:SelectionPtr,WEB惡意代碼查殺方法,惡意代碼經常通過修改注冊表和系統(tǒng)配置來破壞系統(tǒng)的正常操作,影響用戶的正常使用。被這種病毒感染后,要設法修復被修改和禁用各個注冊表項。檢查位置:網關客戶端(魔法兔子等)修復方法是:首先新建一個文本文件,接著把擴展名改為reg;然后,把恢復腳本填入該文件中;最后,運行該文件就可以了。,網關技術,客戶端技術,實時文件監(jiān)控(殺毒軟件)禁止功能例如,禁止3721REGEDIT5#B83FC273-3522-4CC6-92EC-75CC86678DA43721sCLSIDHKEY_LOCAL_MACHINESOFTWAREMicrosoftInternetExplorerActiveXCompatibilityB83FC273-3522-4CC6-92EC-75CC86678DA4CompatibilityFlags=dword:00000400,修復腳本,REGEDIT4/修復RUN按鈕HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoRun=dword:00000000/修復關閉按鈕HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoClose=dword:00000000/修復注銷按鈕HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoLogOff=dword:00000000,/取消隱藏盤符HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDrives=dword:00000000/取消禁止注冊表HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegistryTools=dword:00000000/取消禁止運行DOS程序HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesWinOldAppDisabled=dword:00000001,/取消禁止進入DOS模式HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesWinOldAppNoRealMode=dword:00000001/取消開機提示窗口標題HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogonLegalNoticeCaption=/取消開機提示窗口信息HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogonLegalNoticeText=,/重設IE標題HKEY_LOCAL_MACHINESoftwareMicrosoftInternetExplorerMainWindowTitle=MicrosoftInternetExplorerHKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerMainWindowTitle=MicrosoftInternetExplorer/重置IE起始頁HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerMainStartPage=,宏病毒查殺方法,方法1:用WordBasic語言以Word模板方式編制殺毒工具,在Word環(huán)境中殺毒。優(yōu)點:殺毒準確,兼容性好缺點:適合手工,不宜商品化方法2:根據(jù)WordBFF格式,在Word環(huán)境外解剖病毒文檔(模板),去掉病毒宏。缺點:第一,容易將原文檔破壞;第二,很容易漏殺病毒;第三,要不斷地隨著Word版本升級和病毒變化而改變程序。易于商品化,殺毒和病毒入侵的原理完全相同查找感染標記-用新宏代替舊宏病毒:壞-好殺毒:好-壞以Maker病毒為例在Normal.dot的“ThisDocument”中加入以下代碼:,PrivateSubDocument_Open()DimSaveDocument,DocumentInfectedAsBooleanDimadAsObjectDimstrVirusNameAsStringDimintVBComponentNoAsInteger病毒感染標記(如果要掃描自己,用&連接字符串可以避免誤判自己)代碼重用時,針對不同的病毒可修改以下兩句ConstMarker=-thisisanother&marker!strVirusName=Marker將病毒所作的安全修改回來Options.VirusProtection=True可能存在的宏代碼數(shù)目intVBComponentNo=ActiveDocument.VBProject.VBComponents.Count,Fori=1TointVBComponentNo獲取當前激活文檔的宏代碼Setad=ActiveDocument.VBProject.VBComponents.Item(i)是否包含特征字符串DocumentInfected=ad.CodeModule.Find(Marker,1,1,10000,10000)如果包含病毒特征字符串IfDocumentInfected=TrueThenSaveDocument=ActiveDocument.Saved如果病毒為追加感染,請修改這一句。注意這里為全刪除宏ad.CodeModule.DeleteLines1,ad.CodeModule.CountOfLinesActiveDocument.VBProject.VBComponents.Remove(ad)MsgBoxActiveDocument.FullName&被&strVirusName&_宏病毒感染.已去除!,vbInformation,By:Ray.DengEndIfNexti,IfDocumentInfected=True&SaveDocument=TrueThenActiveDocument.Save如果是成批消毒,建議加上這一句,自動關閉打開的文件ActiveDocument.CloseEndIfEndSub編好后存盤,然后查找所有doc和dot文件并執(zhí)行打開操作。,清除W32.Spybot.Worm蠕蟲病毒,Win32.Spybot.Worm是一種在線網絡聊天系統(tǒng)機器人(BOT)的開放性源代碼蠕蟲病毒,由于它的開放性和管理方式都來源于這些分布的機器人,所以這些廣泛的機器人病毒都有一些很微小的不同。威脅:搜集本地計算機的配置信息(包括連接的類型、CPU速度和本地驅動的信息);在本地計算機安裝和刪除的文件;在本地計算機執(zhí)行各色各樣的命令;鍵盤操作記錄;毀掉防火墻和殺毒軟件程序避免被察覺等等。,利用的漏洞:使用TCPport135的DCOMRPC弱點;微軟本機安全性認證服務遠程緩沖區(qū)弱點;使用UDPport1434(MSSQL2000或MSDE2000)驗證弱點;使用TCPport80的WebDAV弱點;UPnP通知緩沖區(qū)弱點;使用TCPport445的工作站服務緩沖區(qū)溢位弱點。,清除方法,感染了Win32.Spybot.Worm病毒后,清除過程比較繁瑣。商業(yè)殺毒軟件和專殺工具都不能自接清除,而是需要手工干預。其清除步驟如下:隔離計算機清除病毒(1)關閉操作系統(tǒng)的“系統(tǒng)還原”功能。右鍵點擊“我的電腦”屬性系統(tǒng)還原關閉所有盤上的系統(tǒng)還原功能(2)更新殺毒軟件(例如Symantec)為最新的病毒定義碼。,(3)重新啟動計算機到安全模式。(4)手工啟動殺毒程序,對計算機做完全掃描。(5)記錄被感染的文件名,并刪除受感染的文件。(6)備份注冊表。(7)檢查注冊表中的一下各項Run、RunOnce、RunServices、Run刪除剛才記錄的文件名鍵值(8)針對不同的操作系統(tǒng),安裝相應的補丁。(9)增強管理員賬號的密碼強度。,謝謝Q&A,- 配套講稿:
如PPT文件的首頁顯示word圖標,表示該PPT已包含配套word講稿。雙擊word圖標可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設計者僅對作品中獨創(chuàng)性部分享有著作權。
- 關 鍵 詞:
- 計算機病毒 方法
裝配圖網所有資源均是用戶自行上傳分享,僅供網友學習交流,未經上傳用戶書面授權,請勿作他用。
鏈接地址:http://www.szxfmmzy.com/p-3592200.html