freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

[計(jì)算機(jī)軟件及應(yīng)用]第9章計(jì)算機(jī)病毒的檢測(cè)、清除與免疫(編輯修改稿)

2024-11-15 04:16 本頁(yè)面
 

【文章內(nèi)容簡(jiǎn)介】 發(fā)式代碼掃描技術(shù) 虛擬機(jī)簡(jiǎn)介 ? 查毒的虛擬機(jī)是一個(gè)軟件模擬的 CPU,它可以象真正 CPU一樣取指令、譯碼、執(zhí)行,可以模擬一段代碼在真正 CPU上運(yùn)行得到的結(jié)果 ? 虛擬機(jī)的基本工作原理和簡(jiǎn)單流程 – 給定一組機(jī)器碼序列,虛擬機(jī)會(huì)自動(dòng)從中取出第一條指令操作碼部分,判斷操作碼類(lèi)型和尋址方式以確定該指令長(zhǎng)度,然后在相應(yīng)的函數(shù)中執(zhí)行該指令,并根據(jù)執(zhí)行后的結(jié)果確定下條指令的位置,如此循環(huán)反復(fù)直到某個(gè)特定情況發(fā)生以結(jié)束工作 ? 設(shè)計(jì)虛擬機(jī)查毒的目的是為了對(duì)抗加密變形病毒 ? 虛擬執(zhí)行技術(shù)使用范圍遠(yuǎn)不止自動(dòng)脫殼 (虛擬機(jī)查毒實(shí)際上是自動(dòng)跟蹤病毒入口的解密子將加密的病毒體按其解密算法進(jìn)行解密 ),它還可以應(yīng)用在跨平臺(tái)高級(jí)語(yǔ)言解釋器、惡意代碼分析、調(diào)試器 虛擬機(jī)查毒技術(shù) 單步斷點(diǎn)跟蹤與虛擬執(zhí)行 ? 目前有兩種方法可以跟蹤控制病毒的每一步執(zhí)行,并能夠在病毒循環(huán)解密結(jié)束后從內(nèi)存中讀出病毒體明文 – 單步和斷點(diǎn)跟蹤法,和目前一些程序調(diào)試器相類(lèi)似 ? 當(dāng) CPU在執(zhí)行一條指令之前會(huì)先檢查標(biāo)志寄存器,如果發(fā)現(xiàn)其中的陷阱標(biāo)志被設(shè)置則在指令執(zhí)行結(jié)束后引發(fā)一個(gè)單步陷阱 INT 1H – 虛擬執(zhí)行法 虛擬機(jī)查毒技術(shù) 單步斷點(diǎn)跟蹤與虛擬執(zhí)行 ? 單步斷點(diǎn)跟蹤的優(yōu)缺點(diǎn) – 用單步和斷點(diǎn)跟蹤法的唯一好處就在于它不用處理每條指令的執(zhí)行,這意味著它無(wú)需編寫(xiě)大量的特定指令處理函數(shù),因?yàn)樗械慕饷艽a都交由 CPU執(zhí)行,調(diào)試器不過(guò)是在代碼被單步中斷的間隙得到控制權(quán)而已 – 這種方法的缺點(diǎn)也是相當(dāng)明顯的 ? 容易被病毒覺(jué)察到,病毒只須進(jìn)行簡(jiǎn)單的堆棧檢查,或直接調(diào)用 IsDebugerPresent就可確定自己正處于被調(diào)試狀態(tài) ? 由于沒(méi)有相應(yīng)的機(jī)器碼分析模塊,指令的譯碼、執(zhí)行完全依賴(lài)于 CPU,所以將導(dǎo)致無(wú)法準(zhǔn)確地獲取指令執(zhí)行細(xì)節(jié)并對(duì)其進(jìn)行有效的控制 ? 單步和斷點(diǎn)跟蹤法要求待查可執(zhí)行文件真實(shí)執(zhí)行,即其將做為系統(tǒng)中一個(gè)真實(shí)的進(jìn)程在自己的地址空間中運(yùn)行,這當(dāng)然是病毒掃描所不能允許的 – 單步和斷點(diǎn)跟蹤法可以應(yīng)用在調(diào)試器、自動(dòng)脫殼等方面,但不合適于查毒 虛擬機(jī)查毒技術(shù) 單步斷點(diǎn)跟蹤與虛擬執(zhí)行 ? 虛擬執(zhí)行的缺點(diǎn)與優(yōu)點(diǎn) – 使用虛擬執(zhí)行法的唯一缺點(diǎn)就在于它必須在內(nèi)部處理所有指令的執(zhí)行,這意味著它需要編寫(xiě)大量的特定指令處理函數(shù)來(lái)模擬每種指令的執(zhí)行效果,這里根本不存在何時(shí)得到控制權(quán)的問(wèn)題,因?yàn)榭刂茩?quán)將永遠(yuǎn)掌握在虛擬機(jī)手中 – 虛擬執(zhí)行的優(yōu)點(diǎn)也是很明顯的,同時(shí)它正好填補(bǔ)了單步和斷點(diǎn)跟蹤法所力不能及的方面 ? 不可能被病毒覺(jué)察到,因?yàn)樘摂M機(jī)將在其內(nèi)部緩沖區(qū)中為被虛擬執(zhí)行代碼設(shè)立專(zhuān)用的堆棧,所以堆棧檢查結(jié)果與實(shí)際執(zhí)行無(wú)差別 (不會(huì)向堆棧中壓入單步和斷點(diǎn)中斷時(shí)的返回地址 ) ? 由于虛擬機(jī)自身完成指令的解碼和地址的計(jì)算,所以能夠獲取每條指令的執(zhí)行細(xì)節(jié)并加以控制 ? 最為關(guān)鍵的一條在于虛擬執(zhí)行確實(shí)做到了“虛擬”執(zhí)行,系統(tǒng)中不會(huì)產(chǎn)生代表被執(zhí)行者的進(jìn)程,因?yàn)楸粓?zhí)行者的寄存器組和堆棧等執(zhí)行要素均在虛擬機(jī)內(nèi)部實(shí)現(xiàn),因而可以認(rèn)為它在虛擬機(jī)地址空間中執(zhí)行 虛擬機(jī)查毒技術(shù) 單步斷點(diǎn)跟蹤與虛擬執(zhí)行 ? 虛擬機(jī)的設(shè)計(jì)方案 – 自含代碼虛擬機(jī) (SCCE) ? 自含代碼虛擬機(jī)工作起來(lái)象一個(gè)真正的 CPU。一條指令取自?xún)?nèi)存,由 SCCE解碼,并被傳送到相應(yīng)的模擬這條指令的例程,下一條指令則繼續(xù)這個(gè)循環(huán) – 緩沖代碼虛擬機(jī) (BCE) ? 緩沖代碼虛擬機(jī)是 SCCE的一個(gè)縮略版 ? 一條指令是從內(nèi)存中取得的,并和一個(gè)特殊指令表相比較。如果不是特殊指令,則它被進(jìn)行簡(jiǎn)單的解碼以求得指令的長(zhǎng)度,隨后所有這樣的指令會(huì)被導(dǎo)入到一個(gè)可以通用地模擬所有非特殊指令的小過(guò)程中。而特殊指令,只占整個(gè)指令集的一小部分,則在特定的小處理程序中進(jìn)行模擬 – 有限代碼虛擬機(jī) (LCE) ? 有點(diǎn)象用于通用解密的虛擬系統(tǒng) ? LCE實(shí)際上并非一個(gè)虛擬機(jī),因?yàn)樗⒉徽嬲哪M指令,它只簡(jiǎn)單地跟蹤一段代碼的寄存器內(nèi)容,提供一個(gè)小的被改動(dòng)的內(nèi)存地址表,或是調(diào)用過(guò)的中斷之類(lèi)的東西 虛擬機(jī)查毒技術(shù) 虛擬機(jī)代碼剖析 ? 不依賴(lài)標(biāo)志寄存器指令模擬函數(shù)的分析 ? 依賴(lài)標(biāo)志寄存器指令模擬函數(shù)的分析 虛擬機(jī)查毒技術(shù) 反虛擬機(jī)技術(shù) ? 任何一個(gè)事物都不是盡善盡美、無(wú)懈可擊的,虛擬機(jī)也不例外 ? 由于反虛擬執(zhí)行技術(shù)的出現(xiàn),使得虛擬機(jī)查毒受到了一定的挑戰(zhàn) – 插入特殊指令技術(shù) – 結(jié)構(gòu)化異常處理技術(shù) – 入口點(diǎn)模糊 (EPO)技術(shù) – 多線(xiàn)程技術(shù) – 元多形技術(shù) 虛擬機(jī)查毒技術(shù) 實(shí)時(shí)監(jiān)控技術(shù)背景 ? 實(shí)時(shí)監(jiān)控技術(shù)其實(shí)并非什么新技術(shù),早在DOS編程時(shí)代就有之 ? 在 Windows下要實(shí)現(xiàn)實(shí)時(shí)監(jiān)控決非易事 病毒實(shí)時(shí)監(jiān)控技術(shù) 病毒實(shí)時(shí)監(jiān)控實(shí)現(xiàn)技術(shù)簡(jiǎn)介 ? 病毒實(shí)時(shí)監(jiān)控會(huì)在文件打開(kāi)、關(guān)閉、清除、寫(xiě)入等操作時(shí)檢查文件是否是病毒攜帶者,如果是則根據(jù)用戶(hù)的決定選擇不同的處理方案,如清除病毒、禁止訪(fǎng)問(wèn)該文件、刪除該文件或簡(jiǎn)單地忽略,從而有效地避免病毒在本地計(jì)算機(jī)上的感染傳播 ? 可執(zhí)行文件裝入器在裝入一個(gè)文件執(zhí)行時(shí)首先會(huì)要求打開(kāi)該文件,而這個(gè)請(qǐng)求又一定會(huì)被實(shí)時(shí)監(jiān)控在第一時(shí)間截獲到,它確保了每次執(zhí)行的都是干凈的不帶毒的文件從而不給病毒以任何執(zhí)行和發(fā)作的機(jī)會(huì) ? 病毒實(shí)時(shí)監(jiān)控的設(shè)計(jì)主要存在以下幾個(gè)難點(diǎn) – 驅(qū)動(dòng)程序的編寫(xiě)不同于普通用戶(hù)態(tài)程序的編寫(xiě),其難度很大 – 驅(qū)動(dòng)程序與 Ring3下客戶(hù)程序的通信問(wèn)題 – 驅(qū)動(dòng)程序所占用資源問(wèn)題 病毒實(shí)時(shí)監(jiān)控技術(shù) Windows 9x下的病毒實(shí)時(shí)監(jiān)控 ? Windows 9x下病毒實(shí)時(shí)監(jiān)控的實(shí)現(xiàn)主要依賴(lài)于以下三項(xiàng)
點(diǎn)擊復(fù)制文檔內(nèi)容
教學(xué)課件相關(guān)推薦
文庫(kù)吧 www.dybbs8.com
備案圖片鄂ICP備17016276號(hào)-1