freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

[計算機軟件及應(yīng)用]第9章 計算機病毒的檢測、清除與免疫-文庫吧

2024-10-04 04:16 本頁面


【正文】 在被檢測對象內(nèi)部發(fā)現(xiàn)了某一種特定病毒碼,就表明發(fā)現(xiàn)了該病毒碼所代表的病毒 – 特征代碼掃描法 – 特征字掃描法 計算機病毒的診斷方法及其原理 行為監(jiān)測法診斷的原理 ? 利用病毒的特有行為特性監(jiān)測病毒的方法,稱為行為監(jiān)測法,也稱為人工智能陷阱法 ? 通過對病毒多年的觀察、研究,人們發(fā)現(xiàn)病毒有一些行為,是病毒的共同行為,而且比較特殊,在正常程序中,這些行為比較罕見。當(dāng)程序運行時,監(jiān)視其行為,如果發(fā)現(xiàn)了病毒行為,立即報警 – 占用 INT 13H – 修改 DOS系統(tǒng)數(shù)據(jù)區(qū)的內(nèi)存總量 – 對可執(zhí)行文件做寫入動作 – 病毒程序與宿主程序的切換 計算機病毒的診斷方法及其原理 感染實驗法診斷的原理 ? 這種方法的原理是利用了病毒的最重要的基本特征:感染特性 – 檢測未知引導(dǎo)型病毒的感染實驗法 – 檢測未知文件型病毒的感染實驗法 計算機病毒的診斷方法及其原理 軟件模擬法診斷的原理 ? 軟件模擬 (Software Emulation)法 (即后文中將詳細介紹的虛擬機對抗病毒技術(shù) ),是一種軟件分析器,用軟件方法來模擬和分析程序的運行:模擬 CPU執(zhí)行,在其設(shè)計的虛擬機器 (Virtual Machine)下假執(zhí)行病毒的變體引擎解碼程序,安全并確實地將多態(tài)病毒解開,使其顯露真實面目,再加以掃描 ? 主要用于檢測多態(tài)型病毒 計算機病毒的診斷方法及其原理 分析法診斷的原理 ? 使用分析法的人一般不是普通用戶,而是反病毒技術(shù)人員 ? 使用分析法的目的在于: – 確認(rèn)被觀察的引導(dǎo)扇區(qū)和程序中是否含有病毒 – 確認(rèn)病毒的類型和種類,判定其是否是一種新病毒 – 搞清楚病毒體的大致結(jié)構(gòu),提取特征識別用的字符串或特征字,并增添到病毒代碼庫供病毒掃描和識別程序使用 – 詳細分析病毒代碼,為制定相應(yīng)的反病毒措施制定方案 ? 上述四個目的按順序排列起來,正好大致是使用分析法的工作順序 ? 使用分析法要求具有比較全面的計算機體系結(jié)構(gòu)、操作系統(tǒng)以及有關(guān)病毒技術(shù)的各種知識 計算機病毒的診斷方法及其原理 簡介 ? 啟發(fā)式代碼掃描技術(shù)源于人工智能技術(shù),是基于給定的判斷規(guī)則和定義的掃描技術(shù),若發(fā)現(xiàn)被掃描程序中存在可疑的程序功能指令,則作出存在病毒的預(yù)警或判斷 ? 啟發(fā)式代碼分析掃描技術(shù)是對傳統(tǒng)的特征代碼掃描法查毒技術(shù)的改進 ? 在特征代碼掃描技術(shù)的基礎(chǔ)上,利用對病毒代碼的分析,獲得一些統(tǒng)計的、靜態(tài)的啟發(fā)式知識,形成一種靜態(tài)的啟發(fā)式代碼掃描分析技術(shù) 啟發(fā)式代碼掃描技術(shù) 啟發(fā)式代碼掃描的基本原理 ? 病毒和正常程序的區(qū)別可以體現(xiàn)在許多方面,比較常見的如通常一個應(yīng)用程序在最初的指令是檢查命令行輸入有無參數(shù)項、清屏和保存原來屏幕顯示等,而病毒程序則從來不會這樣做,它通常最初的指令是直接寫盤操作、解碼指令,或搜索某路徑下的可執(zhí)行程序等相關(guān)操作指令序列 ? 這些顯著的不同之處,一個熟練的程序員在調(diào)試狀態(tài)下只需一瞥便可一目了然 ? 啟發(fā)式代碼掃描技術(shù)實際上就是把人類的這種經(jīng)驗和知識移植到一個查病毒軟件中的具體程序體現(xiàn) 啟發(fā)式代碼掃描技術(shù) 可疑程序功能及其權(quán)值與相應(yīng)標(biāo)志 ? 可疑程序功能的權(quán)值與報警標(biāo)準(zhǔn) – 對以下可疑的程序代碼指令序列按照安全和可疑的等級進行排序,根據(jù)病毒可能使用和具備的特點而授以不同的加權(quán)值 ? 格式化磁盤操作 ? 搜索和定位各種可執(zhí)行程序的操作 ? 實現(xiàn)駐留內(nèi)存的操作 ? 調(diào)用非常的或未公開的系統(tǒng)功能 ? 子程序調(diào)用中只執(zhí)行入棧操作 ? …… – 如果一個程序的加權(quán)值的總和超過一個事先定義的閥值,那么,病毒檢測程序就可以聲稱“發(fā)現(xiàn)病毒”;僅僅一項可疑的功能操作遠不足以觸發(fā)“病毒報警”的裝置 – 為了避免“狼來了”的謊報和虛報,病毒檢測程序常把多種可疑功能操作同時并發(fā)的情況定為發(fā)現(xiàn)病毒的報警標(biāo)準(zhǔn) 啟發(fā)式代碼掃描技術(shù) 關(guān)于虛警 (謊報 ) ? 啟發(fā)式掃描技術(shù)有時也會把一個本無病毒的程序判斷為染毒程序,這就是所謂的查毒程序虛警或謊報現(xiàn)象 ? 減少和避免誤報 (謊報 ) ,必須努力做好以下幾點 – 準(zhǔn)確把握病毒行為,精確定義可疑功能調(diào)用集合,除非滿足兩個以上的病毒重要特征,否則不予報警 – 增強對常規(guī)正常程序的識別能力 – 增強對特定程序的識別能力 – 類似“無罪假定”的功能,首先假定程序和計算機是不含病毒的。許多啟發(fā)式代碼分析檢毒軟件具有自學(xué)習(xí)功能,能夠記憶那些并非病毒的文件并在以后的檢測過程中避免再報警 啟發(fā)式代碼掃描技術(shù) 傳統(tǒng)掃描技術(shù)與啟發(fā)式掃描技術(shù)的結(jié)合 ? 傳統(tǒng)的掃描技術(shù)基于對已知病毒的分析和研究,在檢測時能夠更準(zhǔn)確、減少誤報;但如果是對待此前根本沒有出現(xiàn)過的新病毒,由于其知識庫并不存在該類 (種 )病毒的特征數(shù)據(jù),則有可能產(chǎn)生漏報的嚴(yán)重后果 ? 基于規(guī)則和定義的啟發(fā)式代碼分析技術(shù)則可以使新病毒不至于成為漏網(wǎng)之魚 ? 傳統(tǒng)掃描技術(shù)與啟發(fā)式掃描技術(shù)的結(jié)合,可以使病毒檢測軟件的檢出率提高到前所未有的水平,而另一方面,又大大降低了總的誤報率 啟發(fā)式代碼掃描技術(shù) 啟發(fā)式反毒技術(shù)的未來展望 ? 任何改良的努力都會有不同程度的質(zhì)量提高,但是不能企望在沒有虛報為代價的前提下使檢出率達到 100%,或者反過來說,在相當(dāng)長的時間里虛報和漏報的概率不可能達到 0%,因為病毒在本質(zhì)上也是程序,某些正常程序可能使用具有病毒特征的功能 (可疑功能調(diào)用 ) ? 反毒技術(shù)的進步也會從另一方面激發(fā)和促使病毒制作者不斷研制出更新的病毒,具有某種反啟發(fā)式掃描技術(shù)的功能,從而可以逃避這類檢測技術(shù)的檢測 啟
點擊復(fù)制文檔內(nèi)容
教學(xué)課件相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖鄂ICP備17016276號-1