• 病毒数据库 • 黑白名单
瑞星信息安全技术培训–反病毒技术概述
引擎在反病毒软件中的位置
应用程序包括各种平台的各种应用和监控程序
应用程序 对象管理程序
引擎主控对象
查杀毒引擎 复合文件拆分对象
病毒库文件
反病毒引擎
病毒库管理对象
瑞星信息安全技术培训–反病毒技术概述
对多种平台提供支持
支持多种平台的反病毒引擎是引擎 技术的发展方向，常见的有支持Dos、 Windows、Linux for intel、Unix for intel、Freebsd for intel、 Novell等多种平台以及在此基础上 开发针对不同用户群的不同应用。
瑞星信息安全技术培训–反病毒技术概述
病毒诊断技术－计算机病毒扫描法
扫描法是用每一种病毒体含有的特定字符 串对被检测的对象进行扫描。 如果在被检测对象内部发现了某一种特定 字符串，就表明发现了该字符串所代表的 病毒。 • 特征代码扫描法 • 特征字扫描法
对比 诊断 分析
瑞星信息安全技术培训–反病毒技术概述
瑞星信息安全技术培训–反病毒技术概述
病毒诊断技术－行为软件模拟法
行为软件模拟法

针对多太性病毒的检测与查杀 虚拟软件法与特征代码法相结合
对比
诊断
分析
瑞星信息安全技术培训–反病毒技术概述
病毒诊断技术－计算机病毒分析法
计算机病毒分析法


确认磁盘引导区和程序中是否含有病毒 确认病毒的类型和种类，判定是否是新病毒 搞清楚病毒体的大致结构，提取特征识别用的 字符串或特征字 详细分析病毒代码，为制定相应的反病毒措施 制定方案
瑞星信息安全技术培训–反病毒技术概述
引擎查杀毒技术的发展历程
•DOS杀毒引擎 •宏病毒查杀引擎—特征码匹配 •脚本病毒引擎、邮件、邮箱、压缩 包拆分引擎、反病毒虚拟机—运行 特征匹配 •未知病毒行为判定技术和虚拟脱壳 技术
瑞星信息安全技术培训–反病毒技术概述
反病毒引擎的体系架构
•引擎体系架构的变迁 •模块化设计方式 •2001年面向对象设计方式，基于C++的设 计思想增强了引擎的可靠性和易维护性； •2003年将com组件的设计思想引入了引擎 设计中，实现了引擎的对象化和组建化， 增强了引擎的易用性、扩展性、维护性和 移植的方便性
病毒诊断技术
• • • • • • • 计算机病毒比较法诊断原理 计算机病毒校验法诊断原理 计算机病毒扫描法诊断原理 计算机病毒行为监测法诊断原理 计算机病毒行为感染试验法诊断原理 计算机病毒行为软件模拟法诊断原理 计算机病毒分析法诊断的原理
瑞星信息安全技术培训–反病毒技术概述
病毒诊断技术－计算机病毒比较法
“美丽莎”病毒修改Windows注册表 项： HKEY_CURRENT_RSER\Software\Micr osoft\Office,增加表项：Melissa 并赋值为byKwyjibo
瑞星信息安全技术培训–反病毒技术概述
反病毒技术剖析
反病毒技术概述 病毒诊断技术 反病毒引擎技术剖析

瑞星信息安全技术培训–反病毒技术概述
瑞星信息安全技术培训–反病毒技术概述
病毒诊断技术－计算机病毒扫描法
特征字扫描法



速度更快、误报警更少，但仍然存在特 征代码扫描法所具有的一些缺点。 只需从病毒体内抽取很少几个关键的特 征字组成特征字库。 需要处理的字节很少，而又不必进行串 匹配，加快了识别速度。
对比 诊断 分析
瑞星信息安全技术培训–反病毒技术概述
对比
诊断
分析
瑞星信息安全技术培训–反病毒技术概述
病毒诊断技术－计算机病毒分析法
静态分析 • 指利用DEBUG等反汇编程 序将病毒代码打印成反汇 编后的程序清单进行分析 动态分析 • 则是指利用DEBUG等程序 调试工具在内存带毒的情 况下，对病毒做动态跟踪， 观察病毒的具体工作过程， 以进一步在静态分析的基 础上理解病毒工作的原理。
病毒感染系统或 文件内容的变化 变化可能是合法 的
瑞星信息安全技较法
内存比较
病毒驻留内 存必须在内 存中申请空 间 与正常系统 内存的占用 空间进行比 较 对于隐蔽型 病毒无效
瑞星信息安全技术培训–反病毒技术概述
病毒诊断技术－计算机病毒比较法
中断比较
病毒诊断技术－计算机病毒扫描法
特征代码扫描法


病毒扫描软件由两部分组成：一部分是 病毒代码库，含有经过特别选定的各种 计算机病毒的代码串； 另一部分是利用该代码库进行扫描的扫 描程序。
对比 诊断 分析
瑞星信息安全技术培训–反病毒技术概述
病毒诊断技术－计算机病毒扫描法
选择代码串的规则是： 代表性 避开数据区。 尽量使特征代码长度简短 区别于其它病毒及其变种 将病毒与正常的非病毒程序区分开
瑞星信息安全技术培训–反病毒技术
反病毒技术概述
－反病毒技术剖析
瑞星信息安全技术培训–反病毒技术概述
反病毒技术剖析
反病毒技术概述 病毒诊断技术 反病毒引擎技术剖析

瑞星信息安全技术培训–反病毒技术概述
反病毒技术概述
特征值 虚拟机技术
启发式扫描
病毒疫苗
瑞星信息安全技术培训–反病毒技术概述
病毒疫苗举例：
病毒为实现隐蔽和传 染，常更改、接管中 断向量 与正常系统中的中断 向量进行比较，判断 是否有修改和盗用
瑞星信息安全技术培训–反病毒技术概述
病毒诊断技术
• • • • • • • 计算机病毒比较法诊断原理 计算机病毒校验法诊断原理 计算机病毒扫描法诊断原理 计算机病毒行为监测法诊断原理 计算机病毒行为感染试验法诊断原理 计算机病毒行为软件模拟法诊断原理 计算机病毒分析法诊断的原理
瑞星信息安全技术培训–反病毒技术概述
病毒的发展趋势
• • • • • • 病毒更新换代，向多元化发展 依赖网络进行传播 攻击方式多样 利用系统漏洞成为病毒有力的传播方式 病毒与黑客技术相融合 隐蔽性增强 0环和3环的构挂技术运用的越来越多。 更新速度加快
•
瑞星信息安全技术培训–反病毒技术概述
引擎的发展趋势
对比 诊断 分析
瑞星信息安全技术培训–反病毒技术概述
病毒诊断技术－计算机病毒扫描法
例如给定特征串： “E9 7C 00 10 ? 37 CB” “E9 7C 00 10 27 37 CB” “E9 7C 00 10 9C 37 CB” 又例如： “E9 7C 37 CB” “E9 7C 00 37 CB” “E9 7C 00 11 37 CB” “E9 7C 00 11 22 37 CB” “E9 7C 00 11 22 33 44 37 CB”（不匹配）
病毒诊断技术－行为监测法诊断原理
检测的行为包括

占用INT 13H 修改DOS系统数据区的内存总量 以COM和EXE文件做写入动作 病毒程序与宿主程序的切换
对比
诊断
分析
瑞星信息安全技术培训–反病毒技术概述
病毒诊断技术－行为感染试验法
行为感染试验法



感染实验是一种简单实用的检测病毒 方法。 当病毒检测工具不能发现病毒时，使 用感染实验法。 可以检测出病毒检测工具不认识的新 病毒，摆脱对检测工具的依赖，检测 可疑新病毒
瑞星信息安全技术培训–反病毒技术概述
反病毒引擎的技术特征
虚拟与真实相结合的脱壳技术
• •
利用虚拟机对程序进行虚拟执行，通过 返回结果判定文件是否被加壳。 真实脱壳是对加壳算法进行分析后生成
脱壳算法。
瑞星信息安全技术培训–反病毒技术概述
反病毒引擎的技术特征
木马指纹特征技术
利用智能代码分析技术（即基于对典型病 毒的代码特征和执行流程进行分析，提取 经典病毒的典型代码特征和逻辑特征并作 为查杀病毒的特征串）可对木马程序提取 指纹信息。通过指纹，引擎可以快速地排 除正常文件。
长 度 比 较
内 容 比 较
内 存 比 较
中 断 比 较
瑞星信息安全技术培训–反病毒技术概述
病毒诊断技术－计算机病毒比较法
长度比较
病毒感染系 统或文件长 度的变化 变化可能是 合法的 某些病毒感 染文件时长 度可保持不 变
瑞星信息安全技术培训–反病毒技术概述
病毒诊断技术－计算机病毒比较法
内容比较
瑞星信息安全技术培训–反病毒技术概述
引擎的体系构架
瑞星信息安全技术培训–反病毒技术概述
反病毒引擎的技术特征
虚拟 邮件、 与真 邮箱、 实相 压缩 结合 包拆 的脱 分 壳
木马 指纹 特征
利用 可执 行引 擎执 行特 征提 取
宏病 毒解 码和 查杀 的相 关
内存 扫描 和内 存监 控
未知 宏病 毒虚 拟执 行
瑞星信息安全技术培训–反病毒技术概述
病毒诊断技术－计算机病毒扫描法
特征串扫描的优点 • 当特征串选择得很好时，软件 操作方便 • 用PCTOOLS等软件也能用特征 串扫描法去检测特定病毒。 • 可识别病毒的名称 • 误报警率低 • 依据检测结果，可做杀毒处理 特征串扫描的缺点 • 当文件很长时费时间多 • 不易选出合适的特征串 • 新病毒的特征串未加入病毒代 码库时，无法识别出新病毒 • 代码库泄密会影响检测能力 • 容易产生误报 • 不易识别Mutation Engine类病毒 • 搜集已知病毒的特征代码，费 用开销大 • 在网络上使用效率低
• 多层面立体防护体系
• 进一步发展未知病毒的检测技术
• 主动修复技术
• 更可靠的数据备份和灾难恢复技术
• 与其它安全产品的联动
• 完善的应急相应系统
对比
诊断
分析
瑞星信息安全技术培训–反病毒技术概述