計算機病毒的檢測清除與免疫read

1、合肥工業(yè)大學計算機與信息學院 張仁斌,,計算機病毒與反病毒技術,主要內容,計算機病毒的防范措施計算機病毒的檢測技術與原理啟發(fā)式查毒技術虛擬機查毒技術實時監(jiān)控技術引導型病毒的清除文件型病毒的清除計算機病毒的免疫方法,第9章 計算機病毒的檢測、清除與免疫,9.1.1 反病毒技術的產生與發(fā)展簡介,反病毒技術應運而生，并在與病毒對抗的過程中不斷發(fā)展 從“消毒軟件”到“防毒卡”“查殺防三合一”實時反病毒軟件的誕生反病毒

2、技術的發(fā)展歷程第一代反病毒技術采用單純的病毒特征代碼分析，清除染毒文件中的病毒第二代反病毒技術采用靜態(tài)廣譜特征掃描技術檢測病毒，可以檢測變形病毒，但是誤報率高第三代反病毒技術將靜態(tài)掃描技術和動態(tài)仿真跟蹤技術結合起來，將查找病毒和清除病毒合二為一第四代反病毒技術,9.1 反病毒技術綜述,9.1.1 反病毒技術的產生與發(fā)展簡介,基于病毒家族體系的命名規(guī)則、基于多位CRC校驗和掃描機理、啟發(fā)式智能代碼分析模塊、動態(tài)數據還原模

3、塊(能查出隱蔽性極強的壓縮加密文件中的病毒)、內存解毒模塊、自身免疫模塊等先進的解毒技術，較好的解決了以前防毒技術顧此失彼、此消彼長的狀態(tài)，能夠較好地完成查毒、解毒的任務,9.1 反病毒技術綜述,9.1.2 計算機病毒防治技術的劃分,計算機病毒的防治技術分成四個方面病毒預防技術病毒檢測技術病毒消除技術病毒免疫技術除了免疫技術因目前找不到通用的免疫方法而進展不大之外，其他三項技術都有相當的進展,9.1 反病毒技術綜述,9.

4、2.1 計算機病毒防范的概念,計算機病毒防范，是指通過建立合理的計算機病毒防范體系和制度，及時發(fā)現計算機病毒侵入，并采取有效的手段阻止計算機病毒的傳播和破壞，恢復受影響的計算機系統和數據計算機病毒能利用讀寫文件進行感染，利用駐留內存、截取中斷向量等方式能進行傳染和破壞。預防計算機病毒就是要監(jiān)視、跟蹤系統內類似的操作，提供對系統的保護，最大限度地避免各種計算機病毒的傳染破壞,9.2 計算機病毒的防范策略,9.2.2 必須具有的安全

5、意識,對計算機病毒應持有如下態(tài)度：承認計算機病毒的客觀存在應該具有安全意識，積極采取預防措施，堵塞計算機病毒的傳染途徑不懼怕病毒，樹立必勝的信念；發(fā)現病毒，冷靜處理,9.2 計算機病毒的防范策略,9.2.3 預防計算機病毒的一般措施,計算機病毒的預防措施可概括為兩點勤備份嚴防守,9.2 計算機病毒的防范策略,9.3.1 病毒檢測方法綜述,檢測計算機病毒的方法有兩種手工檢測利用Debug、PCTools、SysInf

6、o、WinHex等工具軟件進行病毒的檢測這種方法比較復雜，費時費力可以剖析病毒、可以檢測一些自動檢測工具不能識別的新病毒自動檢測利用一些專業(yè)診斷軟件來判斷引導扇區(qū)、磁盤文件是否有毒的方法自動檢測比較簡單，一般用戶都可以進行，但需要較好的診斷軟件可方便地檢測大量的病毒，自動檢測工具的發(fā)展總是滯后于病毒的發(fā)展,9.3 計算機病毒的診斷方法及其原理,9.3.2 比較法診斷的原理,比較法是用原始的正常備份與被檢測的內容(引導扇區(qū)

7、或被檢測的文件)進行比較長度比較法內容比較法內存比較法中斷比較法,9.3 計算機病毒的診斷方法及其原理,9.3.3 校驗和法診斷的原理,根據正常文件的信息(包括文件名稱、大小、時間、日期及內容)，計算其校驗和，將該校驗和寫入文件中或寫入其他文件(資料庫)中保存在文件使用過程中，定期地或每次使用文件前，檢查文件現有信息算出的校驗和與原來保存的校驗和是否一致，因而可以發(fā)現文件是否已被感染運用校驗和法查病毒一般采用三種方式在

8、檢測病毒工具中納入校驗和法，對被查的對象文件計算其正常狀態(tài)的校驗和，將校驗和值寫入被查文件中或檢測工具中，而后進行比較在應用程序中，放入校驗和法自我檢查功能，將文件正常狀態(tài)的校驗和寫入文件本身中，每當應用程序啟動時，比較現行校驗和與原校驗和值，實現應用程序的自檢測將校驗和檢查程序常駐內存，每當應用程序開始運行時，自動比較檢查應用程序內部或其他文件中預先保存的校驗和,9.3 計算機病毒的診斷方法及其原理,9.3.4 掃描法診斷的原

9、理,掃描法是用每一種病毒體含有的特定病毒碼(Virus Pattern)對被檢測的對象進行掃描。如果在被檢測對象內部發(fā)現了某一種特定病毒碼，就表明發(fā)現了該病毒碼所代表的病毒特征代碼掃描法特征代碼模糊掃描法,9.3 計算機病毒的診斷方法及其原理,9.3.5 行為監(jiān)測法診斷的原理,利用病毒的特有行為特性監(jiān)測病毒的方法，稱為行為監(jiān)測法，也稱為人工智能陷阱法通過對病毒多年的觀察、研究，人們發(fā)現病毒有一些行為，是病毒的共同行為，而且比較

10、特殊，在正常程序中，這些行為比較罕見。當程序運行時，監(jiān)視其行為，如果發(fā)現了病毒行為，立即報警盜用截流系統中斷修改內存總量和內存控制塊(MCB)對可執(zhí)行文件做寫入動作病毒程序與宿主程序的切換搜索API函數地址,9.3 計算機病毒的診斷方法及其原理,9.3.6 感染實驗法診斷的原理,這種方法的原理是利用了病毒的最重要的基本特征：感染特性檢測未知引導型病毒的感染實驗法檢測未知文件型病毒的感染實驗法,9.3 計算機病毒的診斷

11、方法及其原理,9.3.7 軟件模擬法診斷的原理,軟件模擬(Software Emulation)法(即后文中將詳細介紹的虛擬機對抗病毒技術)，是一種軟件分析器，用軟件方法來模擬和分析程序的運行：模擬CPU執(zhí)行，在其設計的虛擬機器(Virtual Machine)下假執(zhí)行病毒的變體引擎解碼程序，安全并確實地將多態(tài)病毒解開，使其顯露真實面目，再加以掃描主要用于檢測多態(tài)型病毒,9.3 計算機病毒的診斷方法及其原理,9.3.8 分析法診

12、斷的原理,使用分析法的人一般不是普通用戶，而是反病毒技術人員使用分析法的目的在于：確認被觀察的引導扇區(qū)和程序中是否含有病毒確認病毒的類型和種類，判定其是否是一種新病毒搞清楚病毒體的大致結構，提取特征識別用的字符串或特征字，并增添到病毒代碼庫供病毒掃描和識別程序使用詳細分析病毒代碼，為制定相應的反病毒措施制定方案上述四個目的按順序排列起來，正好大致是使用分析法的工作順序使用分析法要求具有比較全面的計算機體系結構、操作系統以及

13、有關病毒技術的各種知識,9.3 計算機病毒的診斷方法及其原理,簡介,啟發(fā)式代碼掃描技術源于人工智能技術，是基于給定的判斷規(guī)則和定義的掃描技術，若發(fā)現被掃描程序中存在可疑的程序功能指令，則作出存在病毒的預警或判斷啟發(fā)式代碼分析掃描技術是對傳統的特征代碼掃描法查毒技術的改進在特征代碼掃描技術的基礎上，利用對病毒代碼的分析，獲得一些統計的、靜態(tài)的啟發(fā)式知識，形成一種靜態(tài)的啟發(fā)式代碼掃描分析技術,9.4 啟發(fā)式代碼掃描技術,9.4.1

14、 啟發(fā)式代碼掃描的基本原理,病毒和正常程序的區(qū)別可以體現在許多方面，比較常見的如通常一個應用程序在最初的指令是檢查命令行輸入有無參數項、清屏和保存原來屏幕顯示等，而病毒程序則從來不會這樣做，它通常最初的指令是直接寫盤操作、解碼指令，或搜索某路徑下的可執(zhí)行程序等相關操作指令序列這些顯著的不同之處，一個熟練的程序員在調試狀態(tài)下只需一瞥便可一目了然啟發(fā)式代碼掃描技術實際上就是把人類的這種經驗和知識移植到一個查病毒軟件中的具體程序體現,9.

15、4 啟發(fā)式代碼掃描技術,9.4.2 可疑程序功能及其權值與相應標志,可疑程序功能的權值與報警標準對以下可疑的程序代碼指令序列按照安全和可疑的等級進行排序，根據病毒可能使用和具備的特點而授以不同的加權值格式化磁盤操作搜索和定位各種可執(zhí)行程序的操作實現駐留內存的操作調用非常的或未公開的系統功能子程序調用中只執(zhí)行入棧操作……如果一個程序的加權值的總和超過一個事先定義的閥值，那么，病毒檢測程序就可以聲稱“發(fā)現病毒”；僅僅一項

16、可疑的功能操作遠不足以觸發(fā)“病毒報警”的裝置為了避免“狼來了”的謊報和虛報，病毒檢測程序常把多種可疑功能操作同時并發(fā)的情況定為發(fā)現病毒的報警標準,9.4 啟發(fā)式代碼掃描技術,9.4.3 關于虛警(謊報),啟發(fā)式掃描技術有時也會把一個本無病毒的程序判斷為染毒程序，這就是所謂的查毒程序虛警或謊報現象減少和避免誤報(謊報) ，必須努力做好以下幾點準確把握病毒行為，精確定義可疑功能調用集合，除非滿足兩個以上的病毒重要特征，否則不予報警

17、增強對常規(guī)正常程序的識別能力增強對特定程序的識別能力類似“無罪假定”的功能，首先假定程序和計算機是不含病毒的。許多啟發(fā)式代碼分析檢毒軟件具有自學習功能，能夠記憶那些并非病毒的文件并在以后的檢測過程中避免再報警,9.4 啟發(fā)式代碼掃描技術,9.4.4 傳統掃描技術與啟發(fā)式掃描技術的結合,傳統的掃描技術基于對已知病毒的分析和研究，在檢測時能夠更準確、減少誤報；但如果是對待此前根本沒有出現過的新病毒，由于其知識庫并不存在該類(種)病

18、毒的特征數據，則有可能產生漏報的嚴重后果基于規(guī)則和定義的啟發(fā)式代碼分析技術則可以使新病毒不至于成為漏網之魚傳統掃描技術與啟發(fā)式掃描技術的結合，可以使病毒檢測軟件的檢出率提高到前所未有的水平，而另一方面，又大大降低了總的誤報率,9.4 啟發(fā)式代碼掃描技術,9.4.5 啟發(fā)式檢測技術與反病毒技術發(fā)展趨勢,任何改良的努力都會有不同程度的質量提高，但是不能企望在沒有虛報為代價的前提下使檢出率達到100%，或者反過來說，在相當長的時間里虛

19、報和漏報的概率不可能達到0%，因為病毒在本質上也是程序，某些正常程序可能使用具有病毒特征的功能(可疑功能調用)反毒技術的進步也會從另一方面激發(fā)和促使病毒制作者不斷研制出更新的病毒，具有某種反啟發(fā)式掃描技術的功能，從而可以逃避這類檢測技術的檢測結合特征值檢測技術、一般啟發(fā)式掃描技術、行為監(jiān)測技術、虛擬機技術，構成了新一代啟發(fā)式病毒掃描技術，該技術也稱為動態(tài)啟發(fā)式病毒掃描技術，人工智能領域的研究成果也將被不斷引入其中,9.4 啟發(fā)式代

20、碼掃描技術,9.5.1 虛擬機簡介,查毒的虛擬機是一個軟件模擬的CPU，它可以象真正CPU一樣取指令、譯碼、執(zhí)行，可以模擬一段代碼在真正CPU上運行得到的結果虛擬機的基本工作原理和簡單流程給定一組機器碼序列，虛擬機會自動從中取出第一條指令操作碼部分，判斷操作碼類型和尋址方式以確定該指令長度，然后在相應的函數中執(zhí)行該指令，并根據執(zhí)行后的結果確定下條指令的位置，如此循環(huán)反復直到某個特定情況發(fā)生以結束工作設計虛擬機查毒的目的是為了對抗

21、加密變形病毒虛擬執(zhí)行技術使用范圍遠不止自動脫殼(虛擬機查毒實際上是自動跟蹤病毒入口的解密子將加密的病毒體按其解密算法進行解密)，它還可以應用在跨平臺高級語言解釋器、惡意代碼分析、調試器,9.5 虛擬機查毒技術,9.5.2 單步斷點跟蹤與虛擬執(zhí)行,目前有兩種方法可以跟蹤控制病毒的每一步執(zhí)行，并能夠在病毒循環(huán)解密結束后從內存中讀出病毒體明文單步和斷點跟蹤法，和目前一些程序調試器相類似當CPU在執(zhí)行一條指令之前會先檢查標志寄存器，如

22、果發(fā)現其中的陷阱標志被設置則在指令執(zhí)行結束后引發(fā)一個單步陷阱INT 1H虛擬執(zhí)行法,9.5 虛擬機查毒技術,9.5.2 單步斷點跟蹤與虛擬執(zhí)行,單步斷點跟蹤的優(yōu)缺點用單步和斷點跟蹤法的唯一好處就在于它不用處理每條指令的執(zhí)行，這意味著它無需編寫大量的特定指令處理函數，因為所有的解密代碼都交由CPU執(zhí)行，調試器不過是在代碼被單步中斷的間隙得到控制權而已這種方法的缺點也是相當明顯的容易被病毒覺察到，病毒只須進行簡單的堆棧檢查，或直

23、接調用IsDebugerPresent就可確定自己正處于被調試狀態(tài)由于沒有相應的機器碼分析模塊，指令的譯碼、執(zhí)行完全依賴于CPU，所以將導致無法準確地獲取指令執(zhí)行細節(jié)并對其進行有效的控制單步和斷點跟蹤法要求待查可執(zhí)行文件真實執(zhí)行，即其將做為系統中一個真實的進程在自己的地址空間中運行，這當然是病毒掃描所不能允許的單步和斷點跟蹤法可以應用在調試器、自動脫殼等方面，但不合適于查毒,9.5 虛擬機查毒技術,9.5.2 單步斷點跟蹤與虛

24、擬執(zhí)行,虛擬執(zhí)行的缺點與優(yōu)點使用虛擬執(zhí)行法的唯一缺點就在于它必須在內部處理所有指令的執(zhí)行，這意味著它需要編寫大量的特定指令處理函數來模擬每種指令的執(zhí)行效果，這里根本不存在何時得到控制權的問題，因為控制權將永遠掌握在虛擬機手中虛擬執(zhí)行的優(yōu)點也是很明顯的，同時它正好填補了單步和斷點跟蹤法所力不能及的方面不可能被病毒覺察到，因為虛擬機將在其內部緩沖區(qū)中為被虛擬執(zhí)行代碼設立專用的堆棧，所以堆棧檢查結果與實際執(zhí)行無差別(不會向堆棧中壓入單步

25、和斷點中斷時的返回地址)由于虛擬機自身完成指令的解碼和地址的計算，所以能夠獲取每條指令的執(zhí)行細節(jié)并加以控制最為關鍵的一條在于虛擬執(zhí)行確實做到了“虛擬”執(zhí)行，系統中不會產生代表被執(zhí)行者的進程，因為被執(zhí)行者的寄存器組和堆棧等執(zhí)行要素均在虛擬機內部實現，因而可以認為它在虛擬機地址空間中執(zhí)行,9.5 虛擬機查毒技術,9.5.2 單步斷點跟蹤與虛擬執(zhí)行,虛擬機的設計方案自含代碼虛擬機(SCCE)自含代碼虛擬機工作起來象一個真正的CPU

26、。一條指令取自內存，由SCCE解碼，并被傳送到相應的模擬這條指令的例程，下一條指令則繼續(xù)這個循環(huán)緩沖代碼虛擬機(BCE)緩沖代碼虛擬機是SCCE的一個縮略版一條指令是從內存中取得的，并和一個特殊指令表相比較。如果不是特殊指令，則它被進行簡單的解碼以求得指令的長度，隨后所有這樣的指令會被導入到一個可以通用地模擬所有非特殊指令的小過程中。而特殊指令，只占整個指令集的一小部分，則在特定的小處理程序中進行模擬有限代碼虛擬機(LCE)有

27、點象用于通用解密的虛擬系統LCE實際上并非一個虛擬機，因為它并不真正的模擬指令，它只簡單地跟蹤一段代碼的寄存器內容，提供一個小的被改動的內存地址表，或是調用過的中斷之類的東西,9.5 虛擬機查毒技術,9.5.3 虛擬機代碼剖析,不依賴標志寄存器指令模擬函數的分析依賴標志寄存器指令模擬函數的分析,9.5 虛擬機查毒技術,9.5.4 反虛擬機技術,任何一個事物都不是盡善盡美、無懈可擊的，虛擬機也不例外由于反虛擬執(zhí)行技術的出現，

28、使得虛擬機查毒受到了一定的挑戰(zhàn)插入特殊指令技術結構化異常處理技術入口點模糊(EPO)技術多線程技術元多形技術,9.5 虛擬機查毒技術,9.6.1 實時監(jiān)控技術背景,實時監(jiān)控技術其實并非什么新技術，早在DOS編程時代就有之在Windows下要實現實時監(jiān)控決非易事,9.6 病毒實時監(jiān)控技術,9.6.2 病毒實時監(jiān)控實現技術簡介,病毒實時監(jiān)控會在文件打開、關閉、清除、寫入等操作時檢查文件是否是病毒攜帶者，如果是則根據用戶的

29、決定選擇不同的處理方案，如清除病毒、禁止訪問該文件、刪除該文件或簡單地忽略，從而有效地避免病毒在本地計算機上的感染傳播可執(zhí)行文件裝入器在裝入一個文件執(zhí)行時首先會要求打開該文件，而這個請求又一定會被實時監(jiān)控在第一時間截獲到，它確保了每次執(zhí)行的都是干凈的不帶毒的文件從而不給病毒以任何執(zhí)行和發(fā)作的機會病毒實時監(jiān)控的設計主要存在以下幾個難點驅動程序的編寫不同于普通用戶態(tài)程序的編寫，其難度很大驅動程序與Ring3下客戶程序的通信問題驅動

30、程序所占用資源問題,9.6 病毒實時監(jiān)控技術,9.6.3 Windows 9x下的病毒實時監(jiān)控,Windows 9x下病毒實時監(jiān)控的實現主要依賴于以下三項技術虛擬設備驅動(VxD)編程可安裝文件系統鉤子(IFSHook)VxD與Ring3下客戶程序的通信(APC/EVENT)只有工作于系統核心態(tài)的驅動程序才具有有效地完成攔截系統范圍文件操作的能力，VxD就是適用于Windows 9x下的虛擬設備驅動程序，可以擔當此重任Vx

31、D的功能遠不止由IFSMGR.vxd提供的攔截文件操作這一項，系統的VxDs幾乎提供了所有的底層操作的接口(可以把VxD看成Ring0下的DLL)虛擬機管理器本身就是一個VxD，它導出的底層操作接口一般稱為VMM服務，而其他VxD的調用接口則稱為VxD服務,9.6 病毒實時監(jiān)控技術,9.6.4 Windows NT/2000下的病毒實時監(jiān)控,Windows NT/2000下病毒實時監(jiān)控的實現主要依賴于以下三項技術NT內核模式驅動

32、編程Windows NT/2000下不再支持VxD攔截IRP驅動與Ring3下客戶程序的通信(命名的事件與信號量對象),9.6 病毒實時監(jiān)控技術,9.7.1 清除病毒的一般方法,發(fā)現病毒后，清除病毒的一般步驟是：先升級殺毒軟件病毒庫至最新，進入安全模式下全盤查殺刪除注冊表中的有關可以自動啟動可疑程序的鍵值(可以重命名，以防誤刪，若刪除/重命名后按F5刷新，發(fā)現無法刪除/重命名，則可肯定其是病毒啟動鍵值)若系統配置文件被更

33、改，需先刪除注冊表中鍵值，再更改系統配置文件斷開網絡連接，重啟系統，進入安全模式全盤殺毒若Windows ME/XP系統查殺病毒在系統還原區(qū)，請關閉系統還原再查殺若查殺病毒在臨時文件夾中，請清空臨時文件夾再查殺系統安全模式查殺無效，建議到DOS下查殺。,9.7 計算機病毒的清除,9.7.2 引導型病毒的清除,引導型病毒感染時常攻擊計算機的如下部位：硬盤主引導扇區(qū)硬盤或軟盤的BOOT扇區(qū)為保存原主引導扇區(qū)、BOOT扇區(qū)，

34、病毒可能隨意地將它們寫入其他扇區(qū)，而徹底毀壞這些扇區(qū)中的信息引導型病毒發(fā)作時，執(zhí)行破壞行為造成種種損失由于引導型病毒一般是常駐內存的，因此，清除病毒之前必須先清除內存中的病毒(或采用修復中斷向量表等方法將其滅活)，否則難以清除干凈,9.7 計算機病毒的清除,9.7.2 引導型病毒的清除,硬盤主引導扇區(qū)染毒時的修復方法：(1)用無毒軟盤啟動系統 (2)尋找一臺同類型、硬盤分區(qū)相同的無毒計算機，將其硬盤主引導扇區(qū)寫入一張軟盤中

35、(3)將此軟盤插入染毒計算機，將其中采集的主引導扇區(qū)數據寫入染毒硬盤0柱面0磁頭1扇區(qū)，即可修復修復硬盤主引導扇區(qū)時，也可利用先前備份的本扇區(qū)尚未感染時的數據，替代(2)中采集的數據。修復主引導扇區(qū)時，一般不用FDisk/MBR命令，以免丟失硬盤信息,9.7 計算機病毒的清除,9.7.2 引導型病毒的清除,硬盤、軟盤BOOT扇區(qū)染毒時的修復方法：修復硬盤BOOT扇區(qū)最簡單方便的殺毒方法是使用系統命令SYS，即：用與染毒盤相同

36、版本的無毒系統軟盤啟動計算機，然后執(zhí)行命令“SYS C:”，用正常的引導程序覆蓋硬盤的BOOT扇區(qū)修復軟盤BOOT扇區(qū)也可采用類似的覆蓋方法引導型病毒如果將原主引導扇區(qū)或BOOT扇區(qū)覆蓋式寫入根目錄區(qū)，被覆蓋的根目錄區(qū)完全損壞，不可能修復。如果引導型病毒將原主引導扇區(qū)或BOOT扇區(qū)覆蓋式寫入第一FAT表時，第二FAT表未破壞，則可以修復，可將第FAT表復制到第一FAT表中一般而言，引導型病毒占用的其他部分存儲空間，只有采用“壞簇”

37、技術和“文件結束簇”技術占用的空間需要收回，修改文件分配表即可,9.7 計算機病毒的清除,9.7.3 文件型病毒的清除,基于隱蔽病毒自身的目的，病毒一般都要保證原文件代碼還能正常地執(zhí)行。這就意味著原文件能被妥善保存，從而為清除病毒、恢復原文件提供了可能除了覆蓋型的文件型病毒之外，其他文件型病毒都可以被清除干凈用解毒軟件來解毒不保證能夠完全復原，有可能會越解越糟，殺完毒之后文件反而不能執(zhí)行。利用手工消毒也是如此。因此，用戶必須勤備

38、份自己的資料手工清除病毒之前，應備份被感染文件，同時應注意防護措施。任何清除病毒的動作，都是危險操作,9.7 計算機病毒的清除,9.7.3 文件型病毒的清除,清除.COM文件中的計算機病毒的方法以使用Debug為例，清除計算機病毒的方法和步驟如下：⑴用Debug調入需清除病毒的文件程序，通過計算機病毒程序查找合法程序的程序頭(對加密或經過轉換的文件頭進行還原，還原的方法也在計算機病毒程序中) ⑵對于鏈接于文件頭部的計算機病毒

39、，可用合法文件移到文件偏移0100H處后存盤的方法清除。若文件的長度小于計算機病毒的長度，則通過設置CX寄存器并存盤來清除⑶對于鏈接于文件尾部的計算機病毒，可以將正常的文件頭(通過分析病毒程序可得到)寫入染毒的文件頭，并通過設置CX寄存器并存盤的方法去掉程序中的病毒部分⑷對內存中的病毒進行清除。病毒程序常駐內存后，一般修改中斷向量，使系統調用中斷向量時激活病毒。所以清除內存中的病毒可以將備份或同版本的中斷向量表取代內存中的中斷向量表

40、，或直接關掉機器，用干凈系統重啟對于交叉感染或重復感染的.COM文件，一定要找出病毒感染的先后順序，按從后向前(或從內向外)的順序逐個清除病毒，否則會損壞原文件,9.7 計算機病毒的清除,9.7.3 文件型病毒的清除,清除.EXE文件中的計算機病毒的方法清除.EXE文件病毒的方法與清除.COM文件中病毒的方法類似，只不過更繁瑣的是恢復原文件頭參數清除工作仍然要通過仔細分析病毒代碼，找到原文件頭參數，寫回并丟掉病毒程序代碼對于

41、交叉感染或重復感染的.EXE文件，只要找到最先感染的病毒代碼，從中找出原始文件頭參數，可直接取出恢復，而不必逐層解毒，恢復方法與單個病毒感染時的方法是一致的注：由于Debug程序拒絕寫.EXE文件，所以在清除.EXE文件中的病毒時應首先將.EXE文件改名，然后再清除對于感染PE文件的病毒，可以用PEditor、LordPE等工具軟件刪除病毒體、恢復程序入口點(正常程序的入口一般是PE文件中的第一個節(jié).text)，從而達到清除病毒的目

42、的。若病毒采用了EPO等技術，清除工作將變得異常繁雜,9.7 計算機病毒的清除,9.8.1 重入檢測和病毒免疫,大部分駐留內存的病毒會在加載病毒代碼之前，檢查系統的內存狀態(tài)，判斷內存中是否有病毒，若存在(自身已被加載)，則不再加載病毒代碼，否則，加載感染文件之前，查看文件的狀態(tài)(一般是查看感染標志)，檢查該文件是否已被感染，如果被感染了則不再重復感染病毒的這種重入檢測機制導致了一種反病毒技術的出現，也就是形形色色的免疫程序：利用

43、免疫程序設置內存的狀態(tài)、設置CPU的狀態(tài)或者設置文件的一些特征，從而防止某種特定的病毒進入系統,9.8 計算機病毒的免疫技術,9.8.2 計算機病毒免疫的方法及其缺點,從實現計算機病毒免疫的角度看病毒的傳染，可以將病毒的傳染分成兩種在傳染前先檢查待傳染的扇區(qū)或程序內是否含有病毒代碼，如果沒有找到則進行傳染，如果找到了則不再進行傳染如小球病毒、CIH病毒在傳染時不判斷是否存在感染標志(免疫標志)，病毒只要找到一個可傳染對象就進行

44、一次傳染例如黑色星期五病毒 (注：黑色星期五病毒的程序中具有判別傳染標志的代碼，由于程序設計錯誤，使判斷失敗，導致感染標志形同虛設),9.8 計算機病毒的免疫技術,9.8.2 計算機病毒免疫的方法及其缺點,目前常用的免疫方法有兩種針對某一種病毒進行的計算機病毒免疫一個免疫程序只能預防一種計算機病毒例如對小球病毒，在DOS引導扇區(qū)的1FCH處填上1357H，小球病毒檢查到該標志就不再對它進行感染優(yōu)點是可以有效地防止某一種特定

45、病毒的傳染，但缺點很嚴重，主要有以下幾點：對于不設置感染標識或設置后不能有效判斷的病毒，不能達到免疫的目的當該病毒的變種不再使用這個免疫標志、或出現新病毒時，免疫標志失去作用某些病毒的免疫標志不容易仿制，若必須加上這種標志，則需對原文件做大的改動，例如大麻病毒由于病毒的種類較多，再加上技術上的原因，不可能對一個對象加上各種病毒的免疫標識能阻止傳染，卻不能阻止病毒的破壞行為，仍然放任病毒駐留在內存中,9.8 計算機病毒的免疫技

46、術,9.8.2 計算機病毒免疫的方法及其缺點,基于自我完整性檢查的計算機病毒免疫目前這種方法只能用于文件而不能用于引導扇區(qū)原理是，為可執(zhí)行程序增加一個免疫外殼，同時在免疫外殼中記錄有關用于恢復自身的信息。執(zhí)行具有這種免疫功能的程序時，免疫外殼首先得到運行，檢查自身的程序大小、校驗和、生成日期和時間等情況，沒有發(fā)現異常后，再轉去執(zhí)行受保護的程序這種方法不只是針對病毒的，由于其他原因造成的文件變化，在大多數情況下免疫外殼程序都能使文

47、件自身得到復原，但仍存在一些缺點和不足：每個受到保護的文件都要增加額外的存儲空間現在使用中的一些校驗碼算法不能滿足防病毒的需要，被某些種類的病毒感染的文件不能被檢查出來無法對抗覆蓋方式的文件型病毒有些類型的文件不能使用免疫外殼的防護方法，否則將使這些文件不能正常執(zhí)行當已被病毒感染的文件被免疫外殼包在里面時，這將妨礙反病毒軟件的檢測清除,9.8 計算機病毒的免疫技術,9.8.3 數字免疫系統簡介,早在20世紀90年代初，IB

48、M公司的懷特和他的同事們就夢想給計算機“接種”一種數字免疫系統(Digital Immune System，DIS)為了對抗利用Internet進行傳播的病毒，IBM公司開發(fā)了該數字免疫系統原型,9.8 計算機病毒的免疫技術,IBM數字免疫系統示意圖,思考題,1. 熟悉各種殺毒軟件、病毒防火墻的安裝、配置和使用。2. 本章給出了一些病毒預防措施，在單機、網絡等特定環(huán)境下，如何預防病毒？3. 基于特征碼的靜態(tài)掃描技術，適合于查殺

49、何種類型的計算機病毒？為什么？4．簡述啟發(fā)式掃描技術的基本思想。5．查毒虛擬機與VmWare等虛擬軟件有何區(qū)別？病毒采用什么技術對抗虛擬機技術？我們又該如何查殺這類病毒？6．Windows 9x下的實時監(jiān)控，主要采用哪些技術？Windows NT/2000下的實時監(jiān)控，主要采用哪些技術？為什么會存在這些差別？7．清除計算機病毒的一般方法和步驟是什么？對清除計算機病毒，你有什么經驗和建議？,思考題,8．編程實現一個加殼程序，并測試