1、殺毒軟件的工作原理殺毒軟件的工作原理煙臺大學 網絡中心 萬紅波1. 殺毒軟件的基本原理殺毒軟件的基本原理l殺毒軟件就是一個信息分析的系統，它監控所有的，當它發現某些信息被感染后，就會清除其中的病毒。l內存硬盤l網絡內存l網絡硬盤l信息的分析（或掃描）方式取決于其來源，殺毒軟件在監控光驅、電子郵件或局域網間數據移動時工作方式是不同的。 2. 殺毒軟件的監控位置殺毒軟件的監控位置l內存監控：當發現內存中存在病毒的時候，就會主動報警；l監控所有進程；l監控讀取到內存中的文件；l監控讀取到內存的網絡數據；l文件監控：當發現寫到磁盤上的文件中存在病毒，或者是被病毒感染，就會主動報警；X5O!P%AP4P

2、ZX54(P)7CC)7$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* 3.殺毒軟件的基本功能殺毒軟件的基本功能l防范病毒防范病毒：指根據系統特性，采取相應的系統安全措施預防病毒侵入計算機。l查找病毒查找病毒指對于確定的環境，能夠準確地報出病毒名稱，該環境包括，內存、文件、引導區（含主導區）、網絡等。l清除病毒清除病毒指根據不同類型病毒對感染對象的修改，并按照病毒的感染特性所進行的恢復。該恢復過程不能破壞未被病毒修改的內容。感染對象包括：內存、引導區（含主引導區）、可執行文件、文檔文件、網絡等。 4. 核心模塊病毒掃描引擎核心模塊病毒掃描引擎l特征碼掃描特征

3、碼掃描：將掃描信息與（即所謂的“病毒特征庫”）進行對照，如果信息與其中的任何一個病毒特征符合，殺毒軟件就會判斷此文件被病毒感染。 l啟發式掃描啟發式掃描：通過分析信息的行為并將其與一個危險行為樣式庫進行對照以判別信息的危險性 。4.1 特征碼識別法機制特征碼識別法機制 l殺毒軟件在進行查殺的時候，會挑選文件內部的一段或者幾段代碼來作為他識別病毒的方式，這種代碼就叫做病毒的特征碼；l在中，抽取特征代碼 ；l抽取的代碼比較特殊，不大可能與普通正常程序代碼吻合；l抽取的代碼要有適當長度，一方面維持特征代碼的唯一性，另一方面保證病毒掃描時候不要有太大的空間與時間的開銷。4.1 特征碼識別法特征碼特征碼

4、識別法特征碼l文件特征碼：對付病毒在文件中的存在方式；l單一文件特征碼l復合文件特征碼：通過多處特征進行判斷；l內存特征碼：對付病毒在內存中的存在方式；l單一內存特征碼 l復合內存特征碼4.1 特征碼識別法缺點特征碼識別法缺點l采用病毒特征代碼法的檢測工具，面對不斷出現的新病毒，必須不斷更新病毒庫的版本，否則檢測工具便會老化，逐漸失去實用價值；l病毒特征代碼法對從未見過的新病毒，無法知道其特征代碼，因而無法去檢測新病毒；l病毒特征碼如果沒有經過充分的檢驗，可能會出現誤報，數據誤刪，系統破壞，給用戶帶來麻煩；4.1 特征碼識別法優點特征碼識別法優點l速度快，配備高性能的掃描引擎；l準確率相對比較

5、高，誤殺操作相對較少；l很少需要用戶參與；4.2 全盤掃描文件校驗和法全盤掃描文件校驗和法 l對文件進行掃描后，可以將正常文件的內容，計算其校驗和，將該校驗和寫入文件中或寫入別的文件中保存。l在文件使用過程中，定期地或每次使用文件前，檢查文件現在內容算出的校驗和與原來保存的校驗和是否一致，因而可以發現文件是否感染病毒。4.2 全盤掃描文件校驗和法全盤掃描文件校驗和法 l對于不常修改的文件（如可執行程序，系統DLL等），可以加快病毒的掃描速度；l既可發現已知病毒又可發現未知病毒； l系統文件掃描sfc /scannow4.3 進程行為監測法機制進程行為監測法機制 l通過對病毒多年的觀察、研究，有

6、一些行為是病毒的共同行為，而且比較特殊，在正常程序中，這些行為比較罕見。l當程序運行時，監視其進程的各種行為，如果發現了病毒行為，立即報警。 4.3 進程行為監測法進程行為監測法l占有占有INT 13H l引導型病毒占據引導型病毒占據INT 13H功能，在其中放置病毒所需的代碼。功能，在其中放置病毒所需的代碼。 l改改DOS系統為數據區的內存總量系統為數據區的內存總量 l病毒常駐內存后，為了防止病毒常駐內存后，為了防止DOS系統將其覆蓋，必須修改系統將其覆蓋，必須修改系統內存總量。系統內存總量。 l對對COM、EXE等可執行程序文件做寫入動作等可執行程序文件做寫入動作 l病毒要感染，必須寫病毒

7、要感染，必須寫COM、EXE文件。文件。 l病毒程序與宿主程序的切換病毒程序與宿主程序的切換 l染毒程序運行中，先運行病毒，而后執行宿主程序；在兩染毒程序運行中，先運行病毒，而后執行宿主程序；在兩者切換時，有許多特征行為。者切換時，有許多特征行為。l加載驅動，截獲系統函數調用加載驅動，截獲系統函數調用(HOOK程序程序)4.3 進程行為監測法優缺點進程行為監測法優缺點l行為監測法的長處：可發現未知病毒、可相當準確地預報未知的多數病毒；l行為監測法的短處：可能誤報警、不能識別病毒名稱、有一定實現難度、需要更多的用戶參與判斷； 5. 主動防御技術主動防御技術l主動防御并不需要病毒特征碼支持，只要殺

8、毒軟件能分析并掃描到目標程序的行為，并根據預先設定的，判定是否應該進行清除操作。 5. 主動防御技術主動防御技術5. 主動防御技術主動防御技術l主動防御本來想領先于病毒，讓殺毒軟件自己變成安全工程師來分析病毒，從而達到以不變應萬變的境界。l但是，計算機的智能總是在一系列的規則下誕生，而普通用戶的技術水平達不到專業分析病毒的水平，兩者之間的博弈將主動防御推上了一個尷尬境地。 6. 殺毒軟件的內幕殺毒軟件的內幕 l“馬后炮”與“發病毒財”l病毒數量越來越多,殺毒軟件效率變得很低.更因為病毒呈現趨利性、定制化竊取財產,很多病毒在“作案”后都未被發現。l殺毒軟件年銷量卻高達千萬套，用戶付錢買正版殺毒軟

9、件,卻不能受保護。6. 殺毒軟件的內幕殺毒軟件的內幕l“殺毒軟件末路” 與“升級熱潮”l隨著未來病毒數量呈直線增長的趨勢越來越明顯,有一種很有可能出現的情況是,在殺毒軟件尚未制服病毒之前,計算機內存已經宣布告罄.l只是把最近三年新出現的病毒數量相加,殺毒軟件病毒庫內的病毒種類就將超過3500萬種.保守計算,它所需要的計算機硬盤空間約為1.75G.l在目前PC 的32位尋址限制下,內存最大只能有4G,一般而言其中2G還得分配給系統內核使用,應用程序只能占用另外2G.因此,如果殺毒軟件一開機即占用 1.75G內存,只能剩下250M內存6. 殺毒軟件的內幕殺毒軟件的內幕l從計算機科學的角度出發,現有的殺毒軟件技術已經走到盡頭,這就像當年處理器頻率的路線走到盡頭l用戶只看到殺毒廠商不斷換包裝和升級以及頻頻拋出新的概念,但是所有的殺毒軟件,哪怕打著“智能主動防御”的軟件,依然主要依靠傳統殺毒技術,而并非真正的主動防御(默認設置為關閉). 7. 殺毒軟件的未來殺毒軟件的未來l廠商們