版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、計(jì)算機(jī)病毒原理與防范,任課教師:?jiǎn)炭t,E-mail:cren616@126.com,第5章 計(jì)算機(jī)病毒檢測(cè)技術(shù),5.1 反病毒技術(shù)的發(fā)展歷程,第一代反病毒技術(shù):采取單純的計(jì)算機(jī)病毒特征判斷可以準(zhǔn)確地清除計(jì)算機(jī)病毒,可靠性很高隨著病毒技術(shù)的發(fā)展,特別是加密和變形技術(shù)的應(yīng)用,這種簡(jiǎn)單的靜態(tài)掃描方式逐漸失去了作用第二代反病毒技術(shù):采用靜態(tài)廣譜特征掃描方法檢測(cè)病毒可更多地檢測(cè)出變形病毒,但是誤報(bào)率也有所提高容易造成文件和數(shù)據(jù)的破壞
2、,5.1 反病毒技術(shù)的發(fā)展歷程,第三代反病毒技術(shù):靜態(tài)掃描技術(shù)和動(dòng)態(tài)仿真技術(shù)相結(jié)合查找病毒和清除病毒合二為一,形成一個(gè)整體解決方案能全面實(shí)現(xiàn)預(yù)防、檢測(cè)和清除等反病毒所必備的各種手段以駐留內(nèi)存方式防止病毒的入侵,凡是檢測(cè)到的計(jì)算機(jī)病毒都能清除,不會(huì)破壞文件和數(shù)據(jù)第四代反計(jì)算機(jī)病毒技術(shù): 基于計(jì)算機(jī)病毒家族體系的命名規(guī)則、基于多位CRC校驗(yàn)和掃描機(jī)理、啟發(fā)式智能代碼分析模塊、動(dòng)態(tài)數(shù)據(jù)還原模塊、內(nèi)存解毒模塊和自身免疫模塊等先
3、進(jìn)的解毒技術(shù),5.2 計(jì)算機(jī)病毒檢測(cè)技術(shù)原理,計(jì)算機(jī)病毒檢測(cè)技術(shù):通過(guò)一定的技術(shù)手段判定出病毒的技術(shù)計(jì)算機(jī)病毒檢測(cè)技術(shù)種類:根據(jù)病毒在特征分類基礎(chǔ)上的檢測(cè)技術(shù) 根據(jù)病毒程序中的關(guān)鍵字、特征程序段內(nèi)容、病毒特征及感染方式、危機(jī)程度的變化對(duì)文件或數(shù)據(jù)段的檢驗(yàn)和進(jìn)行檢測(cè) 不針對(duì)具體病毒程序自身檢驗(yàn)技術(shù),即對(duì)某個(gè)文件或數(shù)據(jù)段進(jìn)行檢驗(yàn)和計(jì)算并保存其結(jié)果,以后定期或不定期地根據(jù)保存的結(jié)果對(duì)該文件或數(shù)據(jù)段進(jìn)行檢驗(yàn),若出現(xiàn)差異,
4、即表示該文件或數(shù)據(jù)段的完整性已遭到破壞,從而檢測(cè)到病毒的存在,5.2.1 病毒檢測(cè)技術(shù)的基本原理,反病毒程序計(jì)算各個(gè)可執(zhí)行程序的校驗(yàn)和某些反病毒程序是常駐內(nèi)存程序 反病毒程序常駐內(nèi)存中,搜索可能進(jìn)入系統(tǒng)的計(jì)算機(jī)病毒,其目的是阻止任何病毒感染系統(tǒng)。少數(shù)工具可以從感染病毒的程序中清除病毒 少數(shù)工具反病毒工具雖可將染毒程序修復(fù)好,但有些修復(fù)效果不能保證。某些反病毒工具還可能產(chǎn)生虛假報(bào)警。反病毒技術(shù)的主要分類:病毒診斷
5、技術(shù)、病毒治療技術(shù)、病毒預(yù)防技術(shù),5.2.2 檢測(cè)病毒的基本方法,1.借助簡(jiǎn)單工具檢測(cè)——指DEBUG等常規(guī)軟件工具要求檢測(cè)者必須具備的知識(shí):分析工具的性能磁盤(pán)內(nèi)部結(jié)構(gòu)(如BOOT區(qū)、主引導(dǎo)區(qū)、FAT表和文件目錄等有關(guān)知識(shí))磁盤(pán)文件結(jié)構(gòu)(EXE文件頭部結(jié)構(gòu),重定位方法、EXE和COM文件加載文件的不同等)中斷矢量表內(nèi)存管理(內(nèi)存控制塊、環(huán)境參數(shù)和文件的PSP結(jié)構(gòu)等)閱讀匯編程序的能力有關(guān)病毒的信息,5.2.2 檢測(cè)病
6、毒的基本方法,2.借助專用工具檢測(cè)——指專門(mén)的計(jì)算機(jī)病毒檢測(cè)工具,如Norton等 一般來(lái)說(shuō),專用工具具備自動(dòng)掃描磁盤(pán)的功能,可檢測(cè)磁盤(pán)的染毒情況。 病毒檢測(cè)工具只能識(shí)別已知計(jì)算機(jī)病毒,其發(fā)展總是滯后于計(jì)算機(jī)病毒的發(fā)展,從而對(duì)相當(dāng)數(shù)量的未知計(jì)算機(jī)病毒無(wú)法識(shí)別。,5.3 病毒主要檢測(cè)技術(shù)和特點(diǎn),5.3.1 外觀檢測(cè)法5.3.2 系統(tǒng)數(shù)據(jù)對(duì)比法5.3.3 病毒簽名檢測(cè)法5.3.4 特征代碼法5.3.5
7、檢查常規(guī)內(nèi)存數(shù)5.3.6 校驗(yàn)和法5.3.7 行為監(jiān)測(cè)法(實(shí)時(shí)監(jiān)控法)5.3.8 軟件模擬法5.3.9 啟發(fā)式代碼掃描技術(shù)5.3.10 主動(dòng)內(nèi)核技術(shù)5.3.11 病毒分析法5.3.12 病毒感染法,5.3.1 外觀檢測(cè)法,雖不能準(zhǔn)確判斷系統(tǒng)感染了何種病毒,但可通過(guò)異?,F(xiàn)象來(lái)判斷病毒的存在 外觀檢測(cè)法是計(jì)算機(jī)病毒防治階段起重要作用的一個(gè)環(huán)節(jié)1.屏幕顯示異常2.聲音異常3.文件系統(tǒng)異常4.程序
8、異常5.系統(tǒng)異常6.打印機(jī)、軟驅(qū)等外部設(shè)備異常,5.3.2 系統(tǒng)數(shù)據(jù)對(duì)比法,計(jì)算機(jī)系統(tǒng)的重要數(shù)據(jù):主引導(dǎo)扇區(qū)、DOS分區(qū)引導(dǎo)扇區(qū)、軟盤(pán)的引導(dǎo)扇區(qū)、FAT表、中斷向量表和設(shè)備驅(qū)動(dòng)程序頭等長(zhǎng)度比較法及內(nèi)容比較法依據(jù):計(jì)算機(jī)病毒感染系統(tǒng)或文件,必然引起系統(tǒng)或文件的變化(長(zhǎng)度的變化和內(nèi)容的變化)注意:只靠檢測(cè)長(zhǎng)度和內(nèi)容是不充分的,只能將其作為檢測(cè)病毒的手段之一,5.3.2 系統(tǒng)數(shù)據(jù)對(duì)比法,內(nèi)存比較法 依據(jù):通常病毒要駐留內(nèi)
9、存,造成可用內(nèi)存空間的減少 內(nèi)存比較法是針對(duì)內(nèi)存駐留計(jì)算機(jī)病毒進(jìn)行檢測(cè)的方法中斷比較法 依據(jù):計(jì)算機(jī)病毒為實(shí)現(xiàn)其隱藏和傳染破壞的目的,常采用“截留盜用”技術(shù),更改、接管中斷向量,使系統(tǒng)中斷向量轉(zhuǎn)向執(zhí)行計(jì)算機(jī)病毒控制部分。 方法:將正常系統(tǒng)的中斷向量與染毒系統(tǒng)的中斷向量進(jìn)行比較,可發(fā)現(xiàn)是否有計(jì)算機(jī)病毒修改或盜用中斷向量,5.3.3 病毒簽名檢測(cè)法,計(jì)算機(jī)病毒簽名:即計(jì)算機(jī)病毒感染標(biāo)記不同計(jì)算機(jī)病毒的簽名內(nèi)容不
10、同,位置也不同。并非所有計(jì)算機(jī)病毒都具備計(jì)算機(jī)病毒簽名。計(jì)算機(jī)病毒簽名檢測(cè)法的特點(diǎn):必須預(yù)先知道計(jì)算機(jī)病毒簽名的內(nèi)容和位置 每一種計(jì)算機(jī)病毒簽名的獲得都要耗費(fèi)大量勞力,因此用計(jì)算機(jī)病毒簽名的方法檢測(cè)計(jì)算機(jī)病毒,常常是低效、不適用的方法可能造成虛假報(bào)警,5.3.4 特征代碼法,原理:計(jì)算機(jī)病毒程序通常具有明顯的特征代碼特征代碼可能是病毒的感染標(biāo)記,由字母和數(shù)字組成串可能是一小段程序由若干指令組成,特征代碼不一定連續(xù)
11、方法:通過(guò)搜索、比較計(jì)算機(jī)系統(tǒng)中是否含有與特征代碼數(shù)據(jù)庫(kù)中特征代碼匹配的特征代碼,從而確定系統(tǒng)是否染毒,感染了何種病毒。特點(diǎn):依賴于對(duì)病毒精確特征的了解,必須事先對(duì)病毒樣本做大量剖析分析計(jì)算機(jī)病毒需要很多時(shí)間,有時(shí)間滯后若病毒特殊代碼段的位置或代碼改動(dòng),則原檢測(cè)方法失敗,5.3.4 特征代碼法,選擇代碼串規(guī)則不能隨意選擇病毒體內(nèi)的一段作為特征代碼串代碼串不應(yīng)含有病毒的數(shù)據(jù)區(qū)保持唯一性的前提下,代碼串應(yīng)盡量短特征代碼串應(yīng)
12、最具代表性,足以區(qū)別于其他病毒程序特征代碼串應(yīng)能區(qū)別于其他正常的非病毒程序?qū)崿F(xiàn)步驟采集已知計(jì)算機(jī)病毒樣本從計(jì)算機(jī)病毒樣本中,抽取計(jì)算機(jī)病毒特征代碼將特征代碼納入計(jì)算機(jī)病毒數(shù)據(jù)庫(kù)檢測(cè)文件,5.3.4 特征代碼法,優(yōu)缺點(diǎn)特征代碼法的優(yōu)點(diǎn):檢測(cè)準(zhǔn)確,快速可識(shí)別計(jì)算機(jī)病毒的具體類型誤報(bào)率低依據(jù)檢測(cè)結(jié)果,針對(duì)病毒類型可做殺毒處理特征代碼法的缺點(diǎn):對(duì)于新計(jì)算機(jī)病毒,發(fā)現(xiàn)特征代碼的時(shí)間滯后搜集已知計(jì)算機(jī)病毒的特征代碼的研
13、發(fā)開(kāi)銷大在網(wǎng)絡(luò)上效率低,影響整個(gè)網(wǎng)絡(luò)性能,5.3.4 特征代碼法,高品質(zhì)計(jì)算機(jī)病毒檢測(cè)工具應(yīng)具有的屬性高速性:隨著計(jì)算機(jī)病毒數(shù)量的不斷增加,檢測(cè)計(jì)算機(jī)病毒的時(shí)間開(kāi)銷就不斷增加誤報(bào)率低:具有檢測(cè)多態(tài)性計(jì)算機(jī)病毒的能力:多態(tài)形計(jì)算機(jī)病毒能夠變換自己的外觀,如插入一些無(wú)害的指令隨機(jī)分散到代碼中,也可通過(guò)使用不同的密鑰進(jìn)行加密來(lái)產(chǎn)生變種能對(duì)付隱蔽性計(jì)算機(jī)病毒:隱蔽性計(jì)算機(jī)病毒若先于病毒檢測(cè)工具進(jìn)入內(nèi)存,事先剝?nèi)ゲ《敬a,從而躲避檢測(cè)
14、工具的檢測(cè),5.3.5 檢查常規(guī)內(nèi)存數(shù),原理:病毒在發(fā)作、執(zhí)行時(shí)必將占用一定的系統(tǒng)資源。大多數(shù)病毒都常駐內(nèi)存,并修改系統(tǒng)數(shù)據(jù)區(qū)記錄的系統(tǒng)內(nèi)存數(shù)或內(nèi)存控制塊中的數(shù)據(jù)方法:利用一些工具軟件,通過(guò)檢查內(nèi)存的大小和內(nèi)存使用情況來(lái)判斷系統(tǒng)是否染毒:查閱有無(wú)可疑的駐留文件查看駐留文件有無(wú)可疑的中斷向量值通過(guò)內(nèi)存信息查看駐留文件的大小是否合適檢查常規(guī)內(nèi)存數(shù)的方法:查看系統(tǒng)內(nèi)存總數(shù),與正常情況進(jìn)行比較檢查系統(tǒng)內(nèi)存高端的內(nèi)容,判斷其中的代
15、碼是否可疑,5.3.6 校驗(yàn)和法,原理:針對(duì)正常程序內(nèi)容計(jì)算其校驗(yàn)和,將其寫(xiě)入該程序或其他程序中保存。在程序應(yīng)用中,定期或每次使用前,計(jì)算程序當(dāng)前內(nèi)容校驗(yàn)和與原校驗(yàn)和是否一致,從而發(fā)現(xiàn)病毒的存在特點(diǎn):可發(fā)現(xiàn)已知病毒,也可發(fā)現(xiàn)未知病毒校驗(yàn)和法不能識(shí)別病毒的種類,不能報(bào)出病毒具體名稱校驗(yàn)和法誤報(bào)率很高方法:在計(jì)算機(jī)病毒工具中納入校驗(yàn)和在應(yīng)用程序中放入校驗(yàn)和和自我檢查功能將校驗(yàn)和檢查程序常駐內(nèi)存,5.3.6 校驗(yàn)和法,優(yōu)缺
16、點(diǎn):校驗(yàn)和法的優(yōu)點(diǎn):方法簡(jiǎn)單能發(fā)現(xiàn)未知計(jì)算機(jī)病毒能發(fā)現(xiàn)被檢查程序的細(xì)微變化校驗(yàn)和法的缺點(diǎn):必須預(yù)先記錄程序正常狀態(tài)的校驗(yàn)和誤報(bào)率高不能識(shí)別計(jì)算機(jī)病毒的種類不能對(duì)付隱蔽性計(jì)算機(jī)病毒,5.3.7 行為監(jiān)測(cè)法(實(shí)時(shí)監(jiān)控法),原理:病毒有些行為是病毒的共同行為,且比較特殊,甚至罕見(jiàn)。程序運(yùn)行時(shí),監(jiān)視其行為,若發(fā)現(xiàn)病毒行為,立即報(bào)警檢測(cè)病毒的行為特征占用INT 13H修改DOS系統(tǒng)數(shù)據(jù)區(qū)的內(nèi)存總量對(duì).COM和.EXE文
17、件做寫(xiě)入操作計(jì)算機(jī)病毒與宿主程序的邦定和切換格式化磁盤(pán)或某些磁道等破壞行為掃描、試探特定網(wǎng)絡(luò)端口發(fā)送網(wǎng)絡(luò)廣播修改文件、文件夾屬性,添加共享等,5.3.7 行為監(jiān)測(cè)法(實(shí)時(shí)監(jiān)控法),病毒防火墻計(jì)算機(jī)病毒防火墻:基于實(shí)時(shí)反計(jì)算機(jī)病毒技術(shù)之上提出的,其宗旨是對(duì)系統(tǒng)實(shí)施實(shí)時(shí)監(jiān)控,對(duì)流入、流出系統(tǒng)的數(shù)據(jù)中可能含有的計(jì)算機(jī)病毒代碼進(jìn)行過(guò)濾。對(duì)計(jì)算機(jī)病毒的過(guò)濾有良好的實(shí)時(shí)性病毒防火墻的“雙向過(guò)濾”功能保證本地系統(tǒng)不會(huì)外傳播病毒病毒
18、防火墻操作更簡(jiǎn)單、更透明優(yōu)缺點(diǎn)優(yōu)點(diǎn):可可發(fā)現(xiàn)已知病毒,也可較準(zhǔn)確地預(yù)報(bào)未知多數(shù)病毒缺點(diǎn):可能誤報(bào)警;不能識(shí)別病毒的名稱;實(shí)現(xiàn)有一定難度,5.3.8 軟件模擬法,軟件模擬法:專門(mén)用來(lái)檢測(cè)變形病毒,即多態(tài)性病毒變形病毒特征:病毒傳播到目標(biāo)后,病毒自身代碼和結(jié)構(gòu)在空間上、時(shí)間上具有不同的變化。變形病毒類型:第一類:一維變形計(jì)算機(jī)病毒 當(dāng)病毒傳播到一個(gè)目標(biāo)后,其自身代碼與前一目標(biāo)中的病毒代碼幾乎沒(méi)有3個(gè)連續(xù)字節(jié)是相同的,但
19、其相對(duì)空間的排列位置是不變的 個(gè)別病毒遇到檢測(cè)時(shí)能進(jìn)行自我加密或解密,或自我消失 有的病毒能在列目錄時(shí)能消失增加的字節(jié)數(shù),或在加載跟蹤時(shí)能破壞跟蹤或逃之夭夭,5.3.8 軟件模擬法,變形病毒類型:第二類:二維變形計(jì)算機(jī)病毒 除了具備一維變形病毒的特征外,而且變化的代碼相互間的排列距離(相對(duì)空間位置)也是變化的第三類:三維變形計(jì)算機(jī)病毒 除了具備二維變形病毒的特征外,而且能分裂后分別潛藏幾處,當(dāng)病毒
20、引擎激活后能自我恢復(fù)成一個(gè)完整的計(jì)算機(jī)病毒 計(jì)算機(jī)病毒在附著體上的空間位置是變化的,即潛藏位置不定第四類:四維變形計(jì)算機(jī)病毒 具備三維變形病毒的特征,而且這些特性隨時(shí)間動(dòng)態(tài)變化 四維變形病毒大部分具備網(wǎng)絡(luò)自動(dòng)傳播功能,能在網(wǎng)絡(luò)的不同角落到處隱藏,5.3.8 軟件模擬法,檢測(cè):一般而言,多態(tài)計(jì)算機(jī)病毒的變換方式:采用等價(jià)代碼對(duì)原有代碼進(jìn)行替換;改變與執(zhí)行次序無(wú)關(guān)的指令的次序;增加許多垃圾指令;對(duì)原有病毒
21、代碼進(jìn)行壓縮或加密。軟件模擬技術(shù):又稱為解密引擎、虛擬機(jī)技術(shù)、虛擬執(zhí)行技術(shù)或軟件仿真技術(shù) 軟件模擬技術(shù)是一種軟件分析器,用軟件方法模擬一個(gè)程序運(yùn)行環(huán)境,將可疑程序載入其中運(yùn)行,在執(zhí)行過(guò)程中,待計(jì)算機(jī)病毒對(duì)自身進(jìn)行解碼后,再運(yùn)用特征代碼法來(lái)識(shí)別病毒的種類,并進(jìn)行清除,從而實(shí)現(xiàn)對(duì)各類多態(tài)病毒的查殺。,5.3.9 啟發(fā)式代碼掃描技術(shù),1. 計(jì)算機(jī)病毒掃描技術(shù):當(dāng)前最主要的查殺方式 主要通過(guò)檢查文件、扇區(qū)和系統(tǒng)內(nèi)存來(lái)搜索計(jì)算
22、機(jī)病毒,用“標(biāo)記”查找已知病毒。病毒標(biāo)記就是病毒常用代碼的特征按殺毒方式分類:通用掃描:不依賴操作系統(tǒng),可查找各種病毒專用掃描:專查某種計(jì)算機(jī)病毒按用戶操作方式分類:實(shí)時(shí)掃描:若出現(xiàn)計(jì)算機(jī)病毒,能夠立即發(fā)現(xiàn)請(qǐng)求掃描:只在運(yùn)行時(shí)才能檢測(cè)計(jì)算機(jī)病毒檢測(cè)病毒的主要依據(jù):病毒和正常程序之間存在很多區(qū)別,5.3.9 啟發(fā)式代碼掃描技術(shù),2.啟發(fā)式代碼掃描:又稱啟發(fā)式職能代碼分析 將人工智能的知識(shí)和原理運(yùn)用到計(jì)算機(jī)病毒檢測(cè)中
23、 運(yùn)用啟發(fā)式掃描技術(shù)的計(jì)算機(jī)病毒檢測(cè)軟件,實(shí)際上就是以人工智能的方式實(shí)現(xiàn)的動(dòng)態(tài)反編譯代碼分析、比較器,通過(guò)對(duì)程序有關(guān)指令序列進(jìn)行反編譯,逐步分析、比較,根據(jù)其動(dòng)機(jī)判斷是否為計(jì)算機(jī)病毒。3.啟發(fā)式掃描通常應(yīng)設(shè)立的標(biāo)志: 為了對(duì)程序可能的操作進(jìn)行加權(quán)統(tǒng)計(jì)和描述,計(jì)算機(jī)病毒檢測(cè)程序會(huì)對(duì)被檢測(cè)程序作疑似計(jì)算機(jī)病毒的標(biāo)記。 如:TBScan定義的常用標(biāo)志,5.3.9 啟發(fā)式代碼掃描技術(shù),4.誤報(bào)/漏報(bào)誤報(bào):將一個(gè)本無(wú)
24、計(jì)算機(jī)病毒的程序指證為染毒程序漏報(bào):將一個(gè)計(jì)算機(jī)病毒程序作為正常程序處理產(chǎn)生原因:被檢測(cè)程序中含有病毒所使用或含有的可疑功能減少或避免誤報(bào)/漏報(bào):準(zhǔn)確把握病毒的行為和可疑功能調(diào)用集合的精確定義;對(duì)于常規(guī)程序代碼的識(shí)別能力;對(duì)于特定程序代碼的識(shí)別能力;類似“無(wú)罪假定”的功能。,5.3.9 啟發(fā)式代碼掃描技術(shù),5.其他掃描技術(shù)CRC掃描:磁盤(pán)中的實(shí)際文件或系統(tǒng)扇區(qū)的CRC值(檢驗(yàn)和),這些CRC值被殺毒軟件保存在自己的數(shù)據(jù)
25、庫(kù)中,在運(yùn)行殺毒軟件時(shí),用備份的CRC值與當(dāng)前計(jì)算的值比較,可知文件是否已被修改或被計(jì)算機(jī)病毒感染。,5.3.10 主動(dòng)內(nèi)核技術(shù),Active K(主動(dòng)內(nèi)核)技術(shù)的要點(diǎn)在于能夠在計(jì)算機(jī)病毒突破計(jì)算機(jī)系統(tǒng)軟、硬件的瞬間發(fā)生作用。一方面不會(huì)傷及計(jì)算機(jī)系統(tǒng)本身;另一方面對(duì)企圖入侵系統(tǒng)的計(jì)算機(jī)病毒具有徹底攔截并殺除的作用。 主動(dòng)內(nèi)核技術(shù):從操作系統(tǒng)內(nèi)核的深度,給操作系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)打一“主動(dòng)”的補(bǔ)丁,從安全角度對(duì)系統(tǒng)進(jìn)行管理和檢查,對(duì)
26、系統(tǒng)的漏洞進(jìn)行修補(bǔ),任何文件在進(jìn)入系統(tǒng)之前,作為主動(dòng)內(nèi)核的反病毒模塊都將首先使用各種手段對(duì)文件進(jìn)行檢測(cè)處理。,5.3.11 病毒分析法,使用病毒分析法的人——反計(jì)算機(jī)病毒技術(shù)人員使用病毒分析法的目的:即使用病毒分析法的工作順序確認(rèn)被觀察的磁盤(pán)引導(dǎo)扇區(qū)和程序中是否有病毒確認(rèn)病毒的類型和種類,判斷其是否是一種新病毒分析病毒的大致結(jié)構(gòu),提取特征字符串或特征字詳細(xì)分析病毒代碼,為制定相應(yīng)的反病毒措施制定方案,5.3.11 病毒分析
27、法,使用病毒分析法的要求: 具有比較全面的有關(guān)計(jì)算機(jī)、DOS結(jié)構(gòu)和功能調(diào)用以及關(guān)于計(jì)算機(jī)病毒方面的各種知識(shí)。此外,還需要Debug、Provie等分析用工具軟件和專用的試驗(yàn)用計(jì)算機(jī)。靜態(tài)分析:利用Debug等反匯編程序?qū)⒂?jì)算機(jī)病毒反匯編后進(jìn)行分析,分析病毒的組成模塊、病毒使用的系統(tǒng)調(diào)用,病毒采用的技巧、清除病毒的方法,特征碼的選取動(dòng)態(tài)分析:利用Debug等調(diào)試工具在內(nèi)存帶毒情況下,對(duì)病毒作動(dòng)態(tài)跟蹤,觀察病毒的具體工作過(guò)程,在
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 計(jì)算機(jī)病毒
- 計(jì)算機(jī)病毒防治
- 計(jì)算機(jī)病毒ppt
- 計(jì)算機(jī)病毒教案
- 第8章 計(jì)算機(jī)病毒常用技術(shù)綜述
- 計(jì)算機(jī)病毒防范技術(shù)論文
- 計(jì)算機(jī)病毒畢業(yè)論文-- 計(jì)算機(jī)病毒解析與防范技術(shù)研究
- 計(jì)算機(jī)病毒外文翻譯
- 計(jì)算機(jī)病毒外文翻譯
- 常見(jiàn)計(jì)算機(jī)病毒簡(jiǎn)介
- 計(jì)算機(jī)病毒及防護(hù)
- 計(jì)算機(jī)病毒及檢測(cè)病毒的新技術(shù).pdf
- 計(jì)算機(jī)英文文獻(xiàn)翻譯---計(jì)算機(jī)病毒
- 計(jì)算機(jī)病毒檢測(cè)技術(shù)的現(xiàn)狀與發(fā)展
- 計(jì)算機(jī)病毒實(shí)驗(yàn)報(bào)告
- 計(jì)算機(jī)病毒 畢業(yè)論文
- 計(jì)算機(jī)病毒實(shí)驗(yàn)報(bào)告
- 計(jì)算機(jī)病毒特性及其防治
- 計(jì)算機(jī)病毒基礎(chǔ)知識(shí)
- 《常見(jiàn)計(jì)算機(jī)病毒》ppt課件
評(píng)論
0/150
提交評(píng)論