|
采集已知病毒樣本,,病毒如果既感染COM文件,,又感染EXE文件,對這種病毒要同時采集COM型病毒樣本和EXE型病毒樣本,。
在病毒樣本中,,抽取特征代碼。依據(jù)如下原則:
抽取的代碼比較特殊,,不大可能與普通正常程序代碼吻合。抽取的代碼要有適當長度,,一方面維持特征代碼的唯一性,,另一方面又不要有太大的空間與時間的開銷。如果一種病毒的特征代碼增長一字節(jié),,要檢測3000種病毒,,增加的空間就是3000字節(jié)。在保持唯一性的前提下,,盡量使特征代碼長度短些,,以減少空間與時間開銷。
在既感染COM文件又感染EXE文件的病毒樣本中,,要抽取兩種樣本共有的代碼,。將特征代碼納入病毒數(shù)據(jù)庫。
打開被檢測文件,,在文件中搜索,,檢查文件中是否含有病毒數(shù)據(jù)庫中的病毒特征代碼。如果發(fā)現(xiàn)病毒特征代碼,,由于特征代碼與病毒一一對應,,便可以斷定,被查文件中患有何種病毒,。
采用病毒特征代碼法的檢測工具,,面對不斷出現(xiàn)的新病毒,必須不斷更新版本,否則檢測工具便會老化,,逐漸失去實用價值,。病毒特征代碼法對從未見過的新病毒,自然無法知道其特征代碼,,因而無法去檢測這些新病毒,。
特征代碼法的優(yōu)點是:檢測準確快速、可識別病毒的名稱,、誤報警率低,、依據(jù)檢測結(jié)果,可做解毒處理,。其缺點是:不能檢測未知病毒,、搜集已知病毒的特征代碼,費用開銷大,、在網(wǎng)絡上效率低(在網(wǎng)絡服務器上,,因長時間檢索會使整個網(wǎng)絡性能變壞)。
其特點:
A.速度慢,。隨著病毒種類的增多,,檢索時間變長。如果檢索5000種病毒,,必須對5000個病毒特征代碼逐一檢查,。如果病毒種數(shù)再增加,檢病毒的時間開銷就變得十分可觀,。此類工具檢測的高速性,,將變得日益困難。
B.誤報警率低,。
非C.不能檢查多形性病毒,。特征代碼法是不可能檢測多態(tài)性病毒的。國外專家認為多態(tài)性病毒是病毒特征代碼法的索命者,。
D.不能對付隱蔽性病毒,。隱蔽性病毒如果先進駐內(nèi)存,后運行病毒檢測工具,,隱蔽性病毒能先于檢測工具,,將被查文件中的病毒代碼剝?nèi)ィ瑱z測工具的確是在檢查一個虛假的“好文件”,,而不能報警,,被隱蔽性病毒所蒙騙。
校驗和法
將正常文件的內(nèi)容,,計算其校驗和,,將該校驗和寫入文件中或?qū)懭雱e的文件中保存,。在文件使用過程中,定期地或每次使用文件前,,檢查文件現(xiàn)在內(nèi)容算出的校驗和與原來保存的校驗和是否一致,,因而可以發(fā)現(xiàn)文件是否感染,這種方法叫校驗和法,,它既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒,。在SCAN和CPAV工具的后期版本中除了病毒特征代碼法之外,還納入校驗和法,,以提高其檢測能力,。
這種方法既能發(fā)現(xiàn)已知病毒,也能發(fā)現(xiàn)未知病毒,,但是,,它不能識別病毒類,不能報出病毒名稱,。由于病毒感染并非文件內(nèi)容改變的唯一的非他性原因,,文件內(nèi)容的改變有可能是正常程序引起的,所以校驗和法常常誤報警,。而且此種方法也會影響文件的運行速度,。
病毒感染的確會引起文件內(nèi)容變化,但是校驗和法對文件內(nèi)容的變化太敏感,,又不能區(qū)分正常程序引起的變動,,而頻繁報警。用監(jiān)視文件的校驗和來檢測病毒,,不是最好的方法。
這種方法遇到下述情況:已有軟件版更新,、變更口令,、修改運行參數(shù)、校驗和法都會誤報警,。
校驗和法對隱蔽性病毒無效,。隱蔽性病毒進駐內(nèi)存后,會自動剝?nèi)ト径境绦蛑械牟《敬a,,使校驗和法受騙,,對一個有毒文件算出正常校驗和。
運用校驗和法查病毒采用三種方式:
①在檢測病毒工具中納入校驗和法,,對被查的對象文件計算其正常狀態(tài)的校驗和,,將校驗和值寫入被查文件中或檢測工具中,而后進行比較,。
②在應用程序中,,放入校驗和法自我檢查功能,將文件正常狀態(tài)的校驗和寫入文件本身中,每當應用程序啟動時,,比較現(xiàn)行校驗和與原校驗和值,。實現(xiàn)應用程序的自檢測。
③將校驗和檢查程序常駐內(nèi)存,,每當應用程序開始運行時,,自動比較檢查應用程序內(nèi)部或別的文件中預先保存的校驗和。
校驗和法的優(yōu)點是:方法簡單能發(fā)現(xiàn)未知病毒,、被查文件的細微變化也能發(fā)現(xiàn),。其缺點是:發(fā)布通行記錄正常態(tài)的校驗和、會誤報警,、不能識別病毒名稱,、不能對付隱蔽型病毒。
行為監(jiān)測法
利用病毒的特有行為特征性來監(jiān)測病毒的方法,,稱為行為監(jiān)測法,。通過對病毒多年的觀察、研究,,有一些行為是病毒的共同行為,,而且比較特殊。在正常程序中,,這些行為比較罕見,。當程序運行時,監(jiān)視其行為,,如果發(fā)現(xiàn)了病毒行為,,立即報警。
這些做為監(jiān)測病毒的行為特征如下:
A.占有INT 13H
所有的引導型病毒,,都攻擊Boot扇區(qū)或主引導扇區(qū),。系統(tǒng)啟動時,當Boot扇區(qū)或主引導扇區(qū)獲得執(zhí)行權(quán)時,,系統(tǒng)剛剛開工,。一般引導型病毒都會占用INT 13H功能,因為其他系統(tǒng)功能未設置好,,無法利用,。引導型病毒占據(jù)INT 13H功能,在其中放置病毒所需的代碼,。
B.改DOS系統(tǒng)為數(shù)據(jù)區(qū)的內(nèi)存總量
病毒常駐內(nèi)存后,,為了防止DOS系統(tǒng)將其覆蓋,必須修改系統(tǒng)內(nèi)存總量,。
C.對COM,、EXE文件做寫入動作
病毒要感染,,必須寫COM、EXE文件,。
D.病毒程序與宿主程序的切換
染毒程序運行中,,先運行病毒,而后執(zhí)行宿主程序,。在兩者切換時,,有許多特征行為。
行為監(jiān)測法的長處:可發(fā)現(xiàn)未知病毒,、可相當準確地預報未知的多數(shù)病毒,。行為監(jiān)測法的短處:可能誤報警、不能識別病毒名稱,、實現(xiàn)時有一定難度,。
軟件模擬法
多態(tài)性病毒每次感染都變化其病毒密碼,對付這種病毒,,特征代碼法失效,。因為多態(tài)性病毒代碼實施密碼化,而且每次所用密鑰不同,,把染毒的病毒代碼相互比較,,也無法找出相同的可能做為特征的穩(wěn)定代碼。雖然行為檢測法可以檢測多態(tài)性病毒,,但是在檢測出病毒后,,因為不知病毒的種類,難于做消毒處理,。
計算機病毒的防治策略
計算機病毒的防治要從防毒,、查毒、解毒三方面來進行,;系統(tǒng)對于計算機病毒的實際防治能力和效果也要從防毒能力,、查毒能力和解毒能力三方面來評判。
“防毒”是指根據(jù)系統(tǒng)特性,,采取相應的系統(tǒng)安全措施預防病毒侵入計算機。“查毒”是指對于確定的環(huán)境,,能夠準確地報出病毒名稱,,該環(huán)境包括,內(nèi)存,、文件,、引導區(qū)(含主導區(qū))、網(wǎng)絡等,。“解毒”是指根據(jù)不同類型病毒對感染對象的修改,,并按照病毒的感染特性所進行的恢復,。該恢復過程不能破壞未被病毒修改的內(nèi)容。感染對象包括:內(nèi)存,、引導區(qū)(含主引導區(qū)),、可執(zhí)行文件、文檔文件,、網(wǎng)絡等,。
防毒能力是指預防病毒侵入計算機系統(tǒng)的能力。通過采取防毒措施,,應可以準確地,、實時地監(jiān)測預警經(jīng)由光盤、軟盤,、硬盤不同目錄之間,、局域網(wǎng)、因特網(wǎng)(包括FTP方式,、E-MAIL,、HTTP方式)或其它形式的文件下載等多種方式進行的傳輸;能夠在病毒侵入系統(tǒng)是發(fā)出警報,,記錄攜帶病毒的文件,,即時清除其中的病毒;對網(wǎng)絡而言,,能夠向網(wǎng)絡管理員發(fā)送關(guān)于病毒入侵的信息,,記錄病毒入侵的工作站,必要時還要能夠注銷工作站,,隔離病毒源,。
查毒能力是指發(fā)現(xiàn)和追蹤病毒來源的能力。通過查毒應該能準確地發(fā)現(xiàn)計算機系統(tǒng)是否感染有病毒,,并準確查找出病毒的來源,,并能給出統(tǒng)計報告;查解病毒的能力應由查毒率和誤報率來評判,。
解毒能力是指從感染對象中清除病毒,,恢復被病毒感染前的原始信息的能力;解毒能力應用解毒率來評判,。
本篇文章來源于 黑基網(wǎng)-中國最大的網(wǎng)絡安全站點 原文鏈接:http://www./tech/2010-04-09/59848.html
|
|
|
來自: 夜魂520 > 《黑客技術(shù)》
