新手无毒培训班第四课完全教程(杀软介绍)
时间:2008-08-17 07:11来源:网络
作者:未知 点击: 506次
科学&怪人(550793389) 20:01:05 开始
★海崖星★(14667685) 20:01:09 主题:杀毒软件介绍
Wǒ槑槑dё(8836201) 20:01:36 大家好
! ╱,厭倦(544272708) 20:01:36 开始吧
Wǒ槑槑dё(8836201) 20:01:46
今天由我来给大家上第四课,内容是:初识杀毒软件 Wǒ槑槑dё(8836201) 20:02:01
时间大约在45分钟左右,希望大家能够配合我,讲完课以后大家可以给我提些建议和意见,我好改进。不懂的地方也可以提出来,但是尽量不要打断讲课的进程。上课的过程中,如果有停顿的话,那是没有预先写在稿子里,觉得应该给大家讲的,现打字出来,请大家见谅。 谢谢大家的合作。
為伱§等待(522631024) 20:02:04 第四课?
セBoy℡聽風(350637459) 20:02:08 换了?
♀(597109231) 20:02:11 来吧
裤子湿了(407907876) 20:02:11
有哪位朋友。可以告诉我。这个病毒有没有杀掉? ♀(597109231) 20:02:14 我听
! ╱,厭倦(544272708) 20:02:20 讲课
セBoy℡聽風(350637459) 20:02:20 我
裤子湿了(407907876) 20:02:19
Wǒ槑槑dё(8836201) 20:02:25 下面正式上课。
セBoy℡聽風(350637459) 20:02:29 没有杀掉
★海崖星★(14667685) 20:02:34
再捣乱T
★海崖星★(14667685) 20:02:38
风平↗浪静(408566935) 20:02:42
不要打断老师讲课拉 裤子湿了(407907876) 20:02:48
Wǒ槑槑dё(8836201) 20:02:57 简单讲解下杀毒软件的概念和作用
Wǒ槑槑dё(8836201) 20:03:13 杀毒软件也称反病毒软件,是用于消除电脑病毒、特洛伊木马和恶意软件的一类软件。杀毒软件通常集成监控识别、病毒扫描和清除和自动升级等功能,有的杀毒软件还带有数据恢复等功能
Wǒ槑槑dё(8836201) 20:03:30
其实杀毒软件也是定位为一个软件,就跟我们常用的ie,wmp,qq等等一样,是一个软件,只是他的作用是监控系统,杀病毒,保护系统安全。 Wǒ槑槑dё(8836201) 20:03:45 杀毒软件原理
Wǒ槑槑dё(8836201) 20:03:56
简单讲,就是通过对进程和磁盘的文件的扫描,对比特征码或者程序行为判断,是病毒的清除病毒,不是病毒的,放行的这么一个过程。 Wǒ槑槑dё(8836201) 20:04:12 对杀毒软件的认识
Wǒ槑槑dё(8836201) 20:04:23
毒软件的任务一般分实时监控和扫描磁盘。大部分杀毒软件通过在系统添加驱动程序的方式,进驻系统,并且随操作系统启动,发挥杀毒的功能,并且保护自己的进程不被结束掉。有部分的杀毒软件还具有防火墙功能。 比如kis,微点等等。
Wǒ槑槑dё(8836201) 20:04:55
杀毒软件的实时监控方式因软件而异。有的杀毒软件,是通过在内存里划分一部分空间,将电脑里流过内存的数据与杀毒软件自身所带的病毒库(包含病毒定义)的特征码相比较,以判断是否为病毒。另一些杀毒软件则在所划分到的内存空间里面,虚拟执行系统或用户提交的程序,根据其行为或结果作出判断。 Wǒ槑槑dё(8836201) 20:05:18 而扫描磁盘的方式,则和上面提到的实时监控的第一种工作方式一样,只是在这里,杀毒软件将会将磁盘上所有的文件(或者用户自定义的扫描范围内的文件)做一次检查。
Wǒ槑槑dё(8836201) 20:05:40 下面讲讲杀软附带的其他技术
Wǒ槑槑dё(8836201) 20:05:57
对付病毒单单依靠病毒库是不够的。 Wǒ槑槑dё(8836201) 20:06:13
Hips Host Intrusion Prevent System 主机入侵主动防御系统 上节课讲过
Hips 已经渐渐成为一个杀软的重要组成部分了,看看卡巴,江民,都称自己有主动防御,微点,更是一个以主动防御为主的杀软。像其他的纯hips软件:SSM,EQ,SNS等
Wǒ槑槑dё(8836201) 20:06:38
脱壳技术 即是对压缩文件和封装好的文件作分析检查的技术。 也就是把加壳的程序从壳里剥出来的本领 Wǒ槑槑dё(8836201) 20:07:05 为什么要脱壳呢?壳,顾名思义,就是就是包裹的一层东西,看看鸡蛋就明白了,鸡蛋清和鸡蛋黄(病毒)是要保护的东西,只有用壳保护起来,才会一下看不透,如果杀软不会脱壳的话,看到的就是一个鸡蛋壳,看不到蛋清蛋黄(病毒)。一个未加壳的程序,用16进制编辑器打开,可以看到里面的字符串,而加壳的,全是乱码。这样就把病毒的特征码保护或者说把病毒保护起来了,杀软无法看到病毒特征码就无法报病毒了,也就起到了逃过杀软的目的。
Wǒ槑槑dё(8836201) 20:07:48 脱壳技术分两种
Wǒ槑槑dё(8836201) 20:07:58
第一种,是硬脱壳,这是指找出加壳软件的加壳算法,写出逆向算法,就像压缩和解压缩一样。像许多壳的脱壳机这个类型。由于,目前很多“壳”均带有加密、变形的特点,每次加壳生成的代码都不一样。硬脱壳对此无能为力,但由于其技术门槛较低,仍然被一些杀毒软件所使用。 Wǒ槑槑dё(8836201) 20:08:38 名词解释
逆向算法 通俗解释下,假设5这个数字,我想把它保护起来,我可以经过这么一系列运算 (5+2)*3=21,我么看到的只是21,但是他是由谁变来的呢?无法得知,可能是10*2+1,也可能是7*3,如果我们知道他的算法,是(n+2)*3这个算法的话,就可以做逆向的运算,21/3-2=5,但是脱壳要远比这个复杂的多。 Wǒ槑槑dё(8836201) 20:09:12
第二种,是动态脱壳。由于加壳的程序运行时必须还原成原始形态,即加壳程序会在运行时自行脱掉“马甲”。目前,有一种脱壳方式是抓取(Dump)内存中的镜像,再重构成标准的执行文件。相比硬脱壳方法,这种脱壳方法对自行加密、变形的壳处理效果更好。
Wǒ槑槑dё(8836201) 20:09:53 名词解释:
抓取(Dump)内存中的镜像 由于加壳后的程序,不论他加什么壳,最后在内存中运行的是未加壳的程序,所以,就可以使用一种方法,把在内存中运行的程序抓出来,然后重建标准pe文件,这个就是未加壳的程序,或者说是原始的程序。 Wǒ槑槑dё(8836201) 20:10:22
虚拟脱壳技术 虚拟脱壳就是动态脱壳,就是杀软营造一个虚拟空间,让加壳的程序在里面执行,然后分析他执行后的内存镜像,来看他是不是病毒
Wǒ槑槑dё(8836201) 20:11:00
虚拟机技术也是这么一个意思。 让不确定的程序在虚拟空间(虚拟机)里运行,看看是不是有病毒的特征。
Wǒ槑槑dё(8836201) 20:11:17
启发式扫描(类似主动防御)简化虚拟机和简化行为判断引擎的结合
其实就是一种对程序代码行为的判断技术,也就是说,这些代码执行以后,将产生什么样的结果,这个结果是不是病毒的类似行为,这个就是启发式。相对于病毒库特征码的方式,这种方式有着更加广阔的空间,特点是针对未知病毒
Wǒ槑槑dё(8836201) 20:11:59
自身保护技术,避免病毒程序杀死自身进程。
因为很多病毒第一先干掉杀软,所以杀软得先把自己保护起来 使用技术也很多,一般都是用驱动把自己保护起来,由于驱动的加载优先级比较高,所以也比较保险,如果病毒也用驱动技术去干掉杀软的话,就看谁的代码比较强悍了。
Wǒ槑槑dё(8836201) 20:12:24
还有,病毒使用映像劫持,使用窗口检测,等等,其对策也相应出现,监控映像劫持的注册表,窗口标题动态变化等等吧。
! ╱,厭倦(544272708) 20:12:34
可以对这几项优点举几个例子吗?那比较好理解 Wǒ槑槑dё(8836201) 20:13:16
这几项只是采用的技术,大多杀软都有这些功能 Wǒ槑槑dё(8836201) 20:13:29 我先把这点说完
Wǒ槑槑dё(8836201) 20:13:32
映像劫持上节课也讲过,就是病毒A把杀毒软件B给劫持,什么意思呢,病毒在注册表里写入信息,当系统要执行B的时候,就直接执行A,不执行B了,当病毒把常见的杀软的名称都劫持的话,就出现了这么一个现象,你装的杀软怎么也运行不了了,虽然他还在硬盘里,但是一点作用也不发挥了。
科学&怪人(550793389) 20:14:01 哪个脱壳技术更好
Wǒ槑槑dё(8836201) 20:14:08
