[TOC]
计算机病毒查杀
信息保障PDRR
- 保护protect
- 检测detect
- 反应react
- 恢复restore
病毒防范总纲
检测
清除
预防
被动防治
免疫
主动防治
数据恢复及备份
病毒检测
比较法
比较法是用原始或正常的对象与被检测的对象进行比较。
注册表
缺点
部分正常操作也会改变注册表
内存
针对内存驻留型病毒
缺点
无法辨别病毒种类
文件
比较文件的内容和长度
- 缺点
- 文件内容改变有时候是合法的
- 一些病毒可以做到不改变文件大小
- 缺点
中断
比较正常系统中断向量与病毒程序中断向量
- 已经淘汰
比较法的优缺点
- 优点
- 简答易执行,不需要专门的工具
- 缺点
- 无法辨别病毒的种类与名称
- 需要有原始文件备份
校验和法
计算正常文件内容的校验和并且将该校验和写入某个位置保存。然后,在每次使用文件前或文件使用过程中,定期地检查文件现在内容算出的校验和与原来保存的校验和是否一致,从而可以发现文件是否感染。
优缺点
- 优点
- 方法简单
- 可以发现未知病毒
- 对文件变化敏感
- 缺点
- 需要预先记录校验和
- 误报警
- 不能识别名称
- 程序执行延迟
- 不能对付一些隐蔽性好的病毒
特征码扫描
用每一种病毒体含有的特定字符串(Signature)对被检测的对象进行扫描。如果在被检测对象内部发现了某一种特定字符串,就表明发现了该字符串所代表的病毒。
特征码扫描器
- 特征串
- 扫描算法
特征串选取原则
- 不包含病毒数据区
- 尽可能短
- 具有代表性
- 能与正常程序区分
扫描引擎
扫描引擎是杀毒软件的精华部分,常用扫描算法有单匹配模式和双匹配模式
- 单匹配模式
- KMP算法
- QS算法
- BM算法
- 双匹配模式
- DFSA算法
- 基于二叉树算法
优缺点
- 优点
- 对于好的特征串,使用方便
- 不需要专门软件
- 可以识别病毒名称
- 误报警率低
- 可以根据检测结果辅助杀毒
- 缺点
- 对于一些长的特征串,扫描效率低
- 特征串需要仔细斟酌,否则容易误报
- 无法识别新病毒
- 当病毒制造者获得代码库后可以轻易制造出无法被检测的病毒
- 储存特征码开销大
- 对变形病毒效果弱
- 在网络上使用效率低
行为监测法
利用病毒特有的行为来监测病毒
病毒常见行为
- 占用INT 13H中断
- 修改Dos系统数据区内存总量
- 对COM、EXE文件进行写操作
- 修改注册表
- 自动联网请求
优缺点
- 优点
- 能够发现未知病毒
- 缺点
- 实现难度大
- 有误报风险
- 无法辨别病毒种类
感染试验法
即运行可疑程序后再运行一些正常程序,观察正常程序运行后的变化
虚拟执行法
用软件来模拟计算机系统,然后引导病毒在虚拟系统中传染,待病毒自动解码进行感染时,再利用特征码等方法识别病毒。
分析法
让专业人员手动分析病毒
分析法步骤
- 确认磁盘引导区和程序是否染毒
- 确认病毒种类和类型
- 了解病毒大致结构,提取其特征码加入数据库
- 分析病毒代码并制定杀毒方案
病毒检测总结
- 手动检测
- 可以分析新病毒
- 技术难度大,无法普及
- 自动检测
- 易于普及
- 难以处理新病毒
病毒清除
病毒的清除比起检测在原理上困难许多,因为清除病毒必须知道病毒确切的感染过程及机理。
病毒清除原理
清除原则
将病毒模块从染毒文件上摘除并恢复染毒文件至正常可用
清除难点
并不是所有病毒都可以被安全去除,并不是所有文件在去除病毒后都可以恢复
- 清除过程会破坏文件
- 有些病毒的去除过程会进行格式化操作
引导型病毒清除
引导型病毒的破坏行为
- 破坏硬盘主引导扇区
- 破坏BOOT扇区
- 对其他扇区写入内容
修复方案
主引导扇区染毒
可以修复
- 使用无毒软盘启动系统
- 寻找另一台配置完全相同的计算机,将其主引导区写入一张软盘
- 将该软盘插入染毒计算机并将主引导区数据写入病毒硬盘
BOOT扇区染毒
可以修复
找一张与染毒计算机版本相同的无毒系统软盘,执行SYS命令
根目录区被覆盖式写入
不可恢复
第一FAT表被覆盖而第二FAT表无改变
可以恢复
将第二FAT表复制到第一FAT表
占用其他存储空间
一般可以恢复
文件型病毒清除
覆盖型病毒
无法恢复,除非有备份
非覆盖型病毒
原则上可以恢复
根据染毒的逆过程恢复
交叉病毒清除
清除关键
- 搞清染毒顺序
清除过程
根据染毒顺序的逆序清除
病毒清除方法
手工清除
用反汇编工具追踪病毒进而进行清除
优点
可以处理新型病毒或疑难病毒
缺点
技术难度高、容易出现风险
自动清除
杀毒软件自动清除病毒
优点
方便易普及
缺点
滞后、不一定完全有用
病毒清除实例
Outlook病毒清除
清除原则
在附件或邮件本体搜索病毒特征码
查杀关键
及时拦截病毒邮件
杀毒方案
服务端
反垃圾邮件系统
客户端
- 客户端绑定工具Add-in
- 杀毒软件,第三方反垃圾邮件工具
W32.Spybot.Worm蠕虫清除
该蠕虫源自网络聊天机器人开放性源码病毒,由于其开放性和分布性,该类蠕虫存在很大具有微小差异的版本,一般杀毒软件难以清除,需要手工杀毒。
- 隔离计算机,断网
- 关闭计算机“系统还原”功能
- 更新杀毒软件
- 进入安全模式
- 扫描全文件
- 记录染毒文件名称并删除
- 备份注册表
- 将注册表中含有染毒文件的键值对删除
- 安装系统补丁
- 加强管理员密码
免疫技术
原理
在正常对象中添加病毒重入检测标志以防止感染
方案
特定病毒免疫
加入某个特定病毒的标识
- 缺点
- 对于不设重入标识的病毒无效
- 病毒的变种可能不采用其原型的标识
- 以此方法进行大规模免疫会导致文件内容冗杂
- 只能预防感染,不能阻止易感染吧病毒的破坏
- 有些病毒的标识难以仿制
完整性检查
对可执行文件增加自我完整性检查外壳,执行前先执行外壳出现程序,检查文件是否完好,只有通过检测的文件才能被运行。
- 缺点
- 会增加文件大小
- 只对文件有效,不能保护引导区
- 一些文件增加外壳后不能正常执行
- 检验算法可能无法检验某些病毒
- 病毒一旦进入外壳,则无法被杀毒软件发现
数字免疫系统DIS
DIS的目标是提供快速响应,使病毒出现时就消灭它。
当新病毒进入到一个系统时,该系统自动捕获到该病毒并进行分析,同时将它添加到病毒库中,以增加系统保护能力,接着清除它,并把这个病毒的信息传送给正在运行的DIS系统,使该病毒在其他地方运行之前也能被检测到。
- 封闭循环自动化网络防病毒技术
- 启发式侦测技术
系统加固
- 安装最新补丁
- 禁止不必要的服务
- 禁止不必要的账号
- 去除后门
- 内核参数配置
- 系统最小化处理
- 加强口令管理
- 启动日志审计
预防技术
计算机监控技术
内存监控
注册表监控
脚本监控
文件监控
邮件监控
优点
- 入侵即报警,并启动自动查杀
- 防止未知病毒
监控病毒源技术
密切侦测和监控网络系统外部计算机病毒的动向,将所有计算机病毒源堵截在网络入口处,是当前网络防范病毒的重点。
邮件跟踪
消息跟踪查询协议MTQP
网络入口监控
个人防火墙
- 监控网络级、控制应用级数据流
- 报告异常网络通信
- 切断危险网络行为
虚拟机技术
在虚拟执行的基础上继续在虚拟机中摘除病毒代码实现杀毒
驱动程序技术
一种接近内核级的监控程序
主动内核技术
在操作系统和网络的内核中加入反病毒功能,使其成为系统底层的一部分
压缩文件检查技术
- 压缩病毒特征码
- 在虚拟机下解压可疑文件
启发式代码扫描
以特定方式实现一个反编译器,使其对有关指令进行反汇编并找出可疑操作
可疑的操作
- 格式化磁盘
- 搜索和定位可执行文件
- 驻留内存
- 进行平时不常用的系统调用
立体防毒技术
即对病毒检测、漏洞扫描、病毒查杀、个人防火墙、数据备份等防毒技术分层次管理控制,从而达到一体化的效果。
网络病毒防御技术
用户桌面防护级
用户桌面一般是计算机病毒的传染源
网关防护
对邮件进行检测
防火墙防护
过滤病毒
工作站防护
服务器防护
网络管理
网络防护的特征
- 多层次
- 集成性
- 自动化
移动终端杀毒技术
各类新型杀毒软件
云查杀技术
将原本用于查杀的计算从客户端转移至服务器,以减轻客户端运行压力
防毒技术的缺陷
- 需要不断更新技术与代码库,不能一劳永逸
- 难以查杀未知病毒
- 难以准确清除病毒
数据备份与恢复
数据丢失原因
- 硬件故障
- 人为损坏
- 病毒破坏
- 软件原因
- 盗窃
- 硬件损坏
数据备份系统原则
- 自动化备份
- 备份工作制度化、科学化
- 介质管理有效化
- 科学数据分类
- 介质轮转自动化,提高介质寿命
- 以备份服务器为中心,实现分布处理、统一管理
- 文件恢复效率
- 网络带宽、平台安全性、适度冗余
存储备份策略
备份方式
完全备份
增量备份
对上一次备份后新产生和修改的数据进行备份
差分备份
对上一次完全备份后新产生以及发生变化的数据进行备份
差分备份和增量备份的区别
增量备份是相对上一次备份而言的,只记录上一次备份基础上的变化,恢复时需要有前一次全备份,以及每一次增量备份,对全备份进行增量累计实现恢复,其特点是存储量小、速度慢。
差分备份是针对上一次全备份而言的,记录了当前数据和上一次全备份之间的区别,恢复时只要有上一次全备份以及最新的差分备份数据,直接对全备份进行差分计算即可,其特点的容量稍大但恢复快。
三种备份比较
数据量
全备份>差分备份>增量备份
恢复速度
全备份>差分备份>增量备份
备份速度
全备份<差分备份<增量备份
数据恢复
正常(备份)数据恢复
按照备份方式恢复
灾难数据恢复
因为各种原因导致数据损失时仅对保留在介质上的数据进行恢复
格式化
大部分数据丢失,可以用恢复软件读取一部分
硬件损坏
更换硬件后正常读取
介质损坏或被覆盖
无法恢复
低难数据恢复
硬件损坏
现象
机器正常且接线正常的情况下无法检测到硬盘
操作
找到受损硬件并更换
分区损坏、格式化、误删等
操作
将硬盘挂载到另一台计算机,用第三方软件抢修
高难数据恢复
分区表破坏
误删
如果没有进行其他操作,则原则上可以恢复
用第三方分区工具导致
有恢复的可能性
病毒破坏
可以部分或完全恢复
利用Ghost克隆分区
部分或不能恢复
坏道
逻辑坏道
使用软件恢复
物理坏道
已经写入坏道的数据无法恢复,接下来只能标记坏道并在后续读写中避免使用该坏道。
硬盘数据恢复原则
- 发现数据丢失立刻关机,且切勿继续对硬盘操作。操作越多,恢复越困难
- 如果操作可逆或者只对硬盘进行读操作的情况下有恢复的机会
杀毒软件
杀毒软件评价指标
- 病毒查杀
- 漏报率
- 误报率
- 清除能力
- 自我保护
- 反应能力
- 供应商的病毒信息网络
- 病毒库更新周期
- 供应商对新病毒的响应速度
- 备份和恢复能力
- 监控能力
- 升级效率
- 智能安装、远程安装服务
- 界面友好、操作难度
- 资源占用率
- 价格
反病毒产品的地缘性
病毒的地缘性
- 早期病毒依靠磁盘传播,以制造者为中心辐射
- 各地区流行的操作系统及软件环境
- 定向攻击以及传播条件
国外产品的本土化改造
- 有效对抗本土新病毒
- 及时采集本土病毒样本
- 符合国内用户使用习惯
- 推广企业级反病毒策略
- 宣传技术优势
企业级病毒防治
企业病毒防治的重要性
企业的业务数据以及企业网络对其是至关重要的
企业网络结构
结构
- 网关
- 服务器
- 邮件服务器
- 文件服务器
- 客户端
网络应用模式
大多采用C/S结构
操作系统
以WIndows为主,一些关键业务用到Unix
通讯协议
绝大多数为TCP/IP协议
病毒在企业网络中的传播途径
- 来自互联网
- 内部共享文件
- 用户之间硬盘传递
防治策略
远程安装、集中管理、统一防护,需要建立多层次立体防护体系以及有效的管理系统。
病毒防治策略
病毒防治策略的意义
- 技术不能完全解决防毒问题
- 策略是对技术的补充
- 策略可以最大限度的发挥技术的作用
病毒防治策略评价指标
拒绝访问能力
病毒检测能力
控制传播能力
清除能力
恢复能力
替代操作
在系统未恢复前提供原有程序的可替代措施
单机用户防治策略
单机用户特点
- 只有一台计算机
- 上网方式简单
- 威胁相对较低
- 损失相对较低
个人用户特点
- 相对简单
- 防范意识薄弱
- 技术能力薄弱
一般措施
- 下载杀毒软件
- 及时升级系统
- 提高口令强度
- 备份重要数据
- 定期使用杀毒软件对硬盘进行检测
- 安装防火墙
- 不使用时及时断网
- 正确配置系统
- 定期检查敏感文件
上网基本策略
- 经常更改密码
- 匿名浏览,关闭Cookie选项
- 阅读网站隐私保护条款
- 安装个人防火墙
- 网上购物时确认采用了安全的连接方式
- 不要向任何人透露密码
- 关闭不必要的文件打印和共享
- 定时扫描全盘
- 关闭不必要的组件和服务
- 使用代理服务器
企业病毒防治策略
- 开发和实现防御计划
- 反病毒扫描程序
- 对每个单独系统加固
- 配置额外的防御工具
扫描策略
扫描策略
- 实时扫描
- 定时扫描
- 按需扫描
- 只对新文件扫描
策略对比
实时扫描系统开销太大;
定时扫描需要避免高峰期,按需扫描完全由用户决定,两种方式都有可能在两次扫描工作之间发生感染;
扫描新文件相对最优
其他防御工具
防火墙
入侵检测系统
蜜罐
引诱黑客对一个看似保存了重要文件的虚假服务器进行攻击从而避免真实系统被入侵
端口监视和扫描程序
漏洞扫描
Internet内容扫描程序
备份