计算机病毒及其防范技术(第2版)第10章 计算机病毒的防范技术

③ 重新打开RegSnap，从file菜单选new,然后单击OK按钮，把这次的 snap结果存为Regsnp2.rgs。 ④ 从RegSnap的file菜单选择Compare，在First snapshot中选择打开 Regsnp1.rgs，在Second snapshot中选择打开Regsnp2.rgs，并在下面 的单选框中选中Show modified key names and key values，然后单击 OK按钮。这样RegSnap就开始比较两次记录有什么区别了，当比较完 成时会自动打开分析结果文件Regsnp1-Regsnp2.htm。
New value: String: ″C:\WINNT\System32\diagcfg.exe ″%1″ %*″
则说明这个键值由原来的″%1″ %*被修改成了 C:\WINNT\System32\DIAGCFG.EXE ″%1″ %*，这就使得以后每次运 行任何可执行文件时都要先运行C:\WINNT\System32\ diagcfg.exe这个 程序。 ⑥ 找出木马监听的端口。使用fport可以轻松的实现这一点。在命令行 中运行fport.exe，可以看到：
C:\tool\fport>fport
FPort v1.33 TCP/IP Process to Port Mapper Copyright 2000 by Foundstone, Inc. http://www.foundstone.com Pid ProcessPort Proto Path 584 tcpsvcs-> 7TCP C:\WINNT\System32\tcpsvcs.exe 584 tcpsvcs -> 9 584 tcpsvcs -> 13 584 tcpsvcs -> 17 TCP C:\WINNT\System32\tcpsvcs.exe TCP C:\WINNT\System32\tcpsvcs.exe TCP C:\WINNT\System32\tcpsvcs.exe
木马一般都会在注册表中设置一些键值以便以后在系统每 次重新启动时能够自动运行。从Regsnp1-Regsnp2.htm中 可以看到哪些注册表项发生了变化，此时若看到：
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\co mmand\@ Old value: String: ″″%1″ %*″
计算机病毒的防范技术
上海交通大学信息安全工程学院
本章学习目标
掌握计算机病毒诊断知识
掌握计算机病毒防范思路 理解计算机病毒清除知识 掌握数据备份和数据恢复
信息安全工程学院
一、计算机病毒防治技术的现状
技术反思
• 一次一次的大面积发生
缺陷
• 永无止境的服务 • 库、培训、指导等 • 未知病毒发现 • 有限未知 • 病毒清除的准确性 • 从恢复的角度来考虑
信息安全工程学院
1．检测未知引导型病毒的感染实验法 a.先用一张软盘，做一个清洁无毒的系统盘，用DEBUG程序，读该 盘的BOOT扇区进入内存，计算其校验和，并记住此值。同时把正常 的BOOT扇区保存到一个文件中。上述操作必须保证系统环境是清洁 无毒的 b.在这张实验盘上拷贝一些无毒的系统应用程序。 c.启动可疑系统，将实验盘插入可疑系统，运行实验盘上的程序，重 复一定次数。 d.再在干净无毒机器上，检查实验盘的BOOT扇区，可与原BOOT扇 区内容比较，如果实验盘BOOT扇区内容已改变，可以断定可疑系统 中有引导型病毒。
信息安全工程学院
优点：
• 方法简单 • 能发现未知病毒 • 被查文件的细微变化也能发现
缺点：
• • • • • 必须预先记录正常态的校验和 会误报警 不能识别病毒名称 程序执行附加延迟 不对付隐蔽性病毒。
信息安全工程学院
扫描法
扫描法是用每一种病毒体含有的特定字符串 （Signature）对被检测的对象进行扫描。如果在 被检测对象内部发现了某一种特定字符串，就表 明发现了该字符串所代表的病毒。
扫描器由两部分组成：
• 特征串（Signature）和扫描算法（Scanner）
信息安全工程学院
选择代码串的规则是：
• 代码串不应含有病毒的数据区，数据区是会经常变化的。 • 在保持唯一性的前提下，应尽量使特征代码长度短些，以减少时 间和空间开销。 • 代码串一定要在仔细分析了程序之后才能选出最具代表性的，足 以将该病毒区别于其他病毒和该病毒的其他变种的代码串。 • 特征串必须能将病毒与正常的非病毒程序区分开。 • 例如:给定特征串为“E9 7C 00 10 ? 37 CB”，则 “E9 7C 00 10 27 37 CB”和“E9 7C 00 10 9C 37 CB”都能被识 别出来.
信息安全工程学院
其优点包括： （1）当特征串选择得很好时，病毒检测软件 让计算机用户使用起来方便快速，对病毒了解不 多的人也能用它来发现病毒。 （2）不用专门软件，用编辑软件也能用特征 串扫描法去检测特定病毒。 （3）可识别病毒的名称。 （4）误报警率低。 （5）依据检测结果，可做杀毒处理。
信息安全工程学院
信息安全工程学院
2．检测未知文件型病毒的感染实验法
• a.在干净系统中制作一张实验盘，上面存放一些应用程序，这些 程序应保证无毒，应选择长度不同，类型不同的文件（既有 COM型又有EXE型）。记住这些文件正常状态的长度和校验和。 • b.在实验盘上制作一个批处理文件，使盘中程序在循环中轮流被 执行数次 • c.将实验盘插入可疑系统，执行批处理文件，多次执行盘中程序。 • d.将实验盘放人干净系统，检查盘中文件的长度和校验和，如果 文件长度增加，或者校验和变化，则可断定系统中有病毒。
则表明两次记录中，没有删除注册表键，修改了15处注册表，新增加了 一处注册表键值，在C:\WINNT\System32\目录下面新增加了一个文件 diagcfg.exe。这个文件非常可疑，因为在比较两次系统信息之间只运行 了“广外女生”这个木马，所以有理由相信diagcfg.exe就是木马留在系 统中的后门程序。这时打开任务管理器，可以发现其中有一个 diagcfg.exe的进程，这就是木马的原身。但这个时候千万不要删除 diagcfg.exe，否则系统就无法正常运行了。
比较法的好处：简单 比较法的缺点：无法确认病毒，依赖备份
信息安全工程学院
校验和法
首先，计算正常文件内容的校验和并且将该校验 和写入某个位置保存。然后，在每次使用文件前 或文件使用过程中，定期地检查文件现在内容算 出的校验和与原来保存的校验和是否一致，从而 可以发现文件是否感染，这种方法叫校验和法， 它既可发现已知病毒又可发现未知病毒。
1176 DIAGCFG -> 6267 TCP C:\WINNT\System32\DIAGCFG.EXE
/* 注意这行！ */
836 inetinfo -> 7075 TCP C:\WINNT\System32\inetsrv\inetinfo.exe 584 tcpsvcs -> 7 584 tcpsvcs -> 9 584 tcpsvcs -> 13 UDP C:\WINNT\System32\tcpsvcs.exe UDP C:\WINNT\System32\tcpsvcs.exe UDP C:\WINNT\System32\tcpsvcs.exe
⑤ 为找出木马的驻留位置以及在注册表中的启动项，看Regsnp1Regsnp2.htm，若显示如下信息：
Summary info: Deleted keys: 0 Modified keys: 15 New keys : 1 File list in C:\WINNT\System32\*.* Summary info: Deleted files: 0 Modified files: 0 New files : 1 New files diagcfg.exe Size: 97 792 , Date/Time: 2001年07月01日 23:00:12 … Total positions: 1
计算机病毒的诊断原理
用什么来判断？ 染毒后的特征 常用方法：
• • • • • • • • • 比较法 校验和 扫描法 行为监测法 行为感染试验法 虚拟执行法 陷阱技术 先知扫描 分析法等等
信息安全工程学院
比较法
比较法是用原始或正常的对象与被检测的对象进行比较。 手工比较法是发现新病毒的必要方法。 比较法又包括：
信息安全工程学院
二、计算机病毒的防范思路
防治技术概括成五个方面：
• 检测 • 清除 • 预防 • 被动防治 • 免疫 • 主动防治 • 数据备份及恢复 • 计算机病毒防范策略
信息安全工程学院
三 计算机病毒的检测
计算机病毒的诊断原理 计算机病毒的诊断方法 高速模式匹配 自动诊断的源码分析
信息安全工程学院
Байду номын сангаас
信息安全工程学院
行为监测法
利用病毒的特有行为特性来监测病毒的方法称为行为监 测法。 常用行为：
• • • • • 占用INT 13H 修改DOS系统数据区的内存总量 对COM和EXE文件做写入动作 写注册表 自动联网请求
优点：发现未知病毒 缺点：难度大、误报警
信息安全工程学院
感染实验法
这种方法的原理是利用了病毒的最重要的基本特 征：感染特性。观察正常程序和可疑程序的表现 是非不同。
信息安全工程学院
对于Windows中的病毒，感染实验法检测内容会更多一些，例如，当使 用感染实验法检测“广外女生”木马病毒时，可以采用如下步骤： ① 首先打开RegSnap，从file菜单选new，然后单击OK按钮，对当前干 净的注册表以及系统文件做一个记录。如果木马修改了其中某项，就可 以分析出来了。备份完成之后把它存为Regsnp1.rgs。 ② 在计算机上运行感染了“广外女生”病毒的文件，例如双击 gdufs.exe，然后等一小会儿。如果此时发现正在运行着的“天网防火 墙”或“金山毒霸”自动退出，就很可能木马已经驻留在系统中了。
缺点： （1）当被扫描的文件很长时，扫描所花时间也较多。 （2）不容易选出合适的特征串，有时会发出假警报。 （3）新病毒的特征串未加入病毒代码库时，老版本的扫毒程序无 法识别出新病毒。 （4）怀有恶意的计算机病毒制造者得到代码库后，会很容易地改 变病毒体内的代码，生成一个新的变种，使扫描程序失去检测它的 能力。 （5）容易产生误警报。只要正常程序内带有某种病毒的特征串， 即使该代码段已不可能被执行，而只是被杀死的病毒体残余，扫描 程序仍会报警。 （6）不易识别变异类病毒。 （7）搜集已知病毒的特征代码，费用开销大。 （8）在网络上使用效率低。
• 注册表比较法 • 工具RegMon • 弱点:正常程序也操作注册表 • 文件比较法 • 通常比较文件的长度和内容两个方面 • 工具FileMon • 弱点：长度和内容的变化有时是合法的 病毒可以模糊这种变化
信息安全工程学院
内存比较法
• 主要针对驻留内存病毒 • 判断驻留特征
中断比较法
• 将正常系统的中断向量与有毒系统的中断向量进行比 较
836 inetinfo -> 443 TCP C:\WINNT\System32\inetsrv\inetinfo.exe 8System -> 445 TCP 464 msdtc -> 1025 TCP C:\WINNT\System32\msdtc.exe 684 MSTask -> 1026 TCP C:\WINNT\system32\MSTask.exe 584 tcpsvcs -> 1028 TCP C:\WINNT\System32\tcpsvcs.exe 836 inetinfo -> 1029 TCP C:\WINNT\System32\inetsrv\inetinfo.exe 8System -> 1030 TCP 464 msdtc -> 3372 TCP C:\WINNT\System32\msdtc.exe
584 tcpsvcs -> 19
836 inetinfo -> 80
TCP C:\WINNT\System32\tcpsvcs.exe
TCP C:\WINNT\System32\inetsrv\inetinfo.exe
408 svchost -> 135 TCP C:\WINNT\system32\svchost.exe