計算機病毒與防治重慶電子工程職業學院計算機病毒與防治課程小組教學單元5-1分析反病毒軟件的編制技術啟發式掃描技術虛擬機技術

病毒疫苗第2講殺毒技術解析和反病毒軟件的構成計算機病毒與防治課程小組反病毒軟件的構成

反病毒引擎的體系構架

反病毒引擎的發展方向殺毒技術解析——虛擬機技術在殺毒技術中，有一種自始至終都在用的方法——特征值法。但是隨著病毒技術的發展，加密技術漸漸成熟起來，很多病毒的特征不再那么容易提取了，因此出現了虛擬機殺毒技術。所謂虛擬機技術，就是用軟件先虛擬一套運行環境，讓病毒先在該虛擬環境下運行，看看它的執行效果。由于加密的病毒在執行時最終還是要解密的，這樣，在其解密之后我們可以通過特征值查毒法對其進行查殺。虛擬機技術殺毒技術解析——虛擬機技術虛擬機在反病毒軟件中應用范圍廣，并成為目前反病毒軟件的一個趨勢。一個比較完整的虛擬機，不僅能夠識別新的未知病毒，而且能夠清除未知病毒，我們會發現這個反病毒工具不再是一個程序，而成為可以和卡斯帕羅夫抗衡的ibm深藍超級計算機。首先，虛擬機必須提供足夠的虛擬，以完成或將近完成病毒的“虛擬傳染”；殺毒技術解析——虛擬機技術其次，盡管根據病毒定義而確立的“傳染”標準是明確的，但是，這個標準假如能夠實施，它在判定病毒的標準上仍然會有問題；第三，假如上一步能夠通過，那么，我們必須檢測并確認所謂“感染”的文件確實感染的就是這個病毒或其變形。殺毒技術解析——虛擬機技術目前虛擬機的處理對象主要是文件型病毒。對于引導型病毒、word／excel宏病毒、木馬程序在理論上都是可以通過虛擬機來處理的，但目前的實現水平仍相距甚遠。就像病毒編碼變形使得傳統特征值方法失效一樣，針對虛擬機的新病毒可以輕易使得虛擬機失效。雖然虛擬機也會在實踐中不斷得到發展。但是，pc的計算能力有限，反病毒軟件的制造成本也有限，而病毒的發展可以說是無限的。讓虛擬技術獲得更加實際的功效，甚至要以此為基礎來清除未知病毒，其難度相當大。計算機病毒與防治課程小組殺毒技術解析由于新病毒不斷出現，而傳統的特征值查毒法不可能完全查出新出現的病毒，于是啟發式掃描技術產生了。何謂啟發式掃描呢？我們知道，任何一個病毒總存在與普通程序不一樣的地方，譬如格式化硬盤、重定位、改回文件時間、修改文件大小、傳染等。這樣，我們就可以對每一類病毒特征進行加權，譬如重定位得3分，格式化硬盤得15分，傳染得10分，這樣，如果一個程序擁有這3個功能，它就得到了28分。如果我們設定判斷一個病毒的標準是20分，那么這個程序在遇到采用了啟發式掃描技術的殺毒軟件時，殺毒軟件就會報警發現了新病毒。這就是啟發式掃描技術。啟發式掃描技術病毒疫苗還有一種技術叫病毒疫苗，這種疫苗程序（比如美麗莎病毒）會修改Windows注冊表項：HKEY_CURRENT_USER\Software\Microsoft\Office，它將增加表項：Melissa，并給賦值為：byKwyjibo，這是病毒避免進行重復感染的標志。如果一臺沒有感染美麗莎病毒的機器上事先設立這項注冊表值，那么當美麗莎病毒準備感染者抬機器時，由于發現存在該鍵值會認為該機器已經被感染而不對它進行再次感染。這樣就達到了對這臺機器進行免疫的目的，當然有些病毒的免疫機制比較復雜。病毒疫苗技術總結受病毒在理論上就是不可判定的這一根本前提的制約，事實上，無論是啟發式，亦或是虛擬機，都只能是一種工程學的努力，其成功的概率永遠不可達到100％。這是惟一的卻又是無可奈何的缺憾。6.4反病毒軟件構成分析計算機病毒與防治課程小組由于引導型病毒從結構到原理上都想對簡單，目前，反病毒軟件與病毒的對抗主要體現在與文件型病毒的對抗上，我們主要就針對文件型病毒的反病毒軟件的結構進行探討。反病毒軟件由應用程序、反病毒引擎和病毒庫三部分構成。反病毒軟件的構成反病毒軟件構成分析應用程序的主要功能就是把掃描對象提供給引擎進行病毒掃描、提供反病毒軟件與用戶的交互接口。應用程序主要包括搜索文件部分和匹配病毒特征串部分，其中搜索文件部分負責進行全盤搜索或按用戶指定路徑搜索文件；匹配病毒特征串部分負責在每一個搜索出來的文件中，匹配病毒特征串，判斷文件是否染毒。應用程序反病毒軟件構成分析計算機病毒與防治課程小組反病毒引擎是決定一款殺毒軟件技術是否成熟可靠的關鍵，什么是反病毒引擎呢？簡言之，它就是一套判斷特定程序行為是否為病毒程序或可疑程序的技術機制，引擎不僅需要具備判斷病毒的能力，還必須擁有足夠的病毒清理技術和環境恢復技術，如果一款殺毒產品能查出病毒但是卻無法清除、或者無法將被病毒破壞的系統環境成功恢復，那它就不能成為一款優秀的殺毒軟件。反病毒引擎6.4.1反病毒軟件的構成引擎的主要功能就是對應用程序傳入的掃描對象進行格式分析和病毒掃描并將掃描的中間結果和最終結果通過應用程序回調接口返回給應用程序并根據應用程序的返回結果進行相應的處理，根據檢測出的每種病毒的殺毒關鍵性參數，清除文件中的病毒。引擎本身還負責病毒庫的加載、管理、升級、遍歷及卸載。目前的反病毒引擎所采用的主流技術有兩種：虛擬機技術、實時監控技術。除此之外，還有兩種最新的技術仍在試驗階段，分別是智能碼標識技術和行為攔截技術。6.4.1反病毒軟件的構成病毒庫主要包括病毒特征串庫和殺毒關鍵性參數庫，病毒特征串庫為應用程序中的匹配病毒特征串部分提供搜索病毒所需要的病毒特征串；殺毒關鍵性參數庫為殺毒引擎提供清除病毒所需要的殺毒關鍵性參數。病毒庫應用程序、反病毒引擎、病毒庫三者的關系下面我們來看在反病毒軟件中，上述幾個部分是如何協調工作的：反病毒軟件在運作時，首先調用搜索文件部分搜索到一個文件，然后利用匹配病毒特征串部分匹配病毒特征串庫中的病毒特征串，如果匹配上某個病毒，就調用殺毒引擎殺毒。殺毒引擎在工作時，會使用到殺毒關鍵性參數庫中的殺毒關鍵性參數。處理完一個文件后，反病毒軟件繼續調用搜索文件部分搜索下一個文件，重復以上工作，直至文件被搜索完為止。應用程序、引擎、病毒庫三者的關系應用程序、反病毒引擎、病毒庫三者的關系計算機病毒與防治課程小組病毒庫文件應用程序包括各種平臺的各種應用和監控程序對象管理程序（中間層）引擎主控對象查殺毒引擎、復合文件拆分對象病毒庫管理對象應用程序反病毒引擎圖6-16.4.2反病毒引擎的體系構架計算機病毒與防治課程小組引擎最初采用的是模塊化的設計方式，這是基于C的設計思想；2001年開始采用的是模塊化的設計方式，這是基于C的設計思想；2001年開始采用面向對象設計技術方法，這是基于C++的設計思想，增強了引擎的可靠性和易維護性；2003年將COM組件的設計思想引入了引擎設計中，實現了引擎的對象化和組件化，增強了引擎的易用性、擴展性、維護性和移植的方便性。1.引擎體系架構的變遷計算機病毒免疫技術2.引擎的體系架構目前引擎的體系架構如圖6-2所示：計算機病毒與防治課程小組查殺毒引擎模塊文件對象文件格式分析模塊郵件、郵箱拆分模塊文件對象壓縮文件拆分模塊引擎主控流程調用參數創建調用識別創建創建參數識別參數調用圖6-2目前引擎的體系架構6.4.3反病毒引擎的發展方向1.病毒的發展趨勢1）病毒更新換代，向多元化發展2）依賴網絡進行傳播3）攻擊方式多樣4）利用系統漏洞成為病毒有力的傳播方式5）病毒與黑客技術相融合6）隱蔽性增強7）更新速度加快計算機病毒與防