- 1、本文档共36页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
反病毒引擎设计-启发式检测技术.pdf
反病毒引擎设计 启发式检测技术
-
by ByteHero Team
目录
� 发展病毒启发式检测技术的必然性
� 启发式检测技术的发展趋势
� 国内外的现状
� 启发式检测的常用方法
� 动态启发式病毒检测技术
� 静态启发式病毒检测技术
� 启发式的局限性
� 我们目前的研究情况
一病毒启发式检测的必要性.
� 传统的特征码检测技术仍然占主导作用,
但由于目前病毒海量增加,以及病毒样本
捕获的不及时性,导致总是先有病毒然后
再查杀的滞后性。
� 云安全(效果好,但也面临联网、用户隐
私、病毒文件鉴定等问题)
� 为了更好的检测病毒,启发式检测技术很
有必要……
二启发式检测技术的发展趋势.
� 1.早些时候,启发式检测技术都只对行为特别
明显的病毒,才报警,对一些文件静态特征、
编写手段比较怪异,但无明显病毒行为的文件
报警一般视为误报, 公司都会立即规避这
AV
种误报的发生。
� 2.目前由于病毒海量涌现、为了追求更好的检
查病毒、也为了规避一些启发式检测技术的难
点,启发式检测技术已经开始把一些静态特征
作为启发病毒依据。下面用国外某 软件的
AV
几个例子来说明:
a VB程序带一定的额外数据就报毒.
b 只要程序捆绑了PE文件 不管是否使用 ,而
. ( )
且导入表中导入模块数量小于 ,且导入了
3
LoadLibraryA就报毒;如果导入表中导入模块
大于等于,且使用了CreateProcess这类性质
的API也报毒
c PE头部导入表部分的VirtualAddress字段小于.
x 也报毒
0 10
d 程序指令熵阀值报毒.
3.这种变化趋势留给我们的思考
三国内外现状.
� 国内现状
� 国外现状
四启发式检测的常用方法.
� 动态启发式检测
� 静态启发式检测
五动态启发式检测技术.
1.原理:
动态启发检测主要基于反病毒虚拟机技术。通
过模拟Intel CPU、部分计算机硬件(硬盘等)
和Windows操作系统构造一个反病毒虚拟机,
然后把待检测程序加载到该仿真的系统中运行。
虚拟机中设置有若干行为和怪异特性监控点,
对程序行为和怪异特性进行实时监控,根据是
否含有恶意行为或者某些怪异特性侦测病毒。
由于被检测程序是在虚拟机中运行,病毒并不
会威胁真实计算机系统。
2.仿真环境的构成
a 模拟Intel CPU:仿真的CPU主要由机器码识别系统、寻
.
址系统和指令解释执行系统组成,机器码识别系统负责对
程序的指令识别,然后把识别出来的指令传递给指令解释
系统执行。在指令的执行过程中如果用到内存需要使用寻
址系统来寻址访问内存。这个过程中异常捕获系统要实时
监测虚拟CPU中可能导致的异常,并做成实时响应。
b.简单模拟少数硬件,如硬盘信息、网卡信息等。
c Windows PE API
.模拟 操作系统:该模块主要由 加载系统、
系统、文件系统、注册表系统和任务调度系统等组成,病
毒在运行前需要用
您可能关注的文档
- 历史考研相关信息(科目、时间、分比).doc
- 历年出生、死亡人口统计.doc
- 历年社保基金入市时间表及股市表现.pdf
- 历年考研考生最易错的73组考研单词.doc
- 历年考研英语真题中出现多于20次的单词.doc
- 历年考研英语真题及答案(1980-2011年)(免费下载_32年).pdf
- 历年英语四级真题及答案下载_免费的_2000年2010年.doc
- 历年高考完形填空常用单词及词组总结.doc
- 历数计算机史上20大病毒.doc
- 压型金属板安装工艺.doc
- 高考物理总复习课件机械波(1).pptx
- 计算机作业蔡传真电子广告.pptx
- 第14课当代中国的外交课件--高二上学期历史选择性必修1国家制度与社会治理(1).pptx
- 2020年11月湖丽衢三地市地理试题.docx
- 人教版六年级下册语文教案手指.pptx
- 课件综合g1 ss 3b changes 3b变化.pdf
- 神奇content-type在中玩转攻击作者未知.pdf
- 2021年4月自考行政管理本科法学概论试题含解析.doc
- modified hybrid differential evolution term scheduling一种改进混合差分进化短期调度方法.pdf
- 电路设计及检测模拟软件教程eleqch.pdf
文档评论(0)