网络安全技术实践教程（微课版）课件 第四章 病毒与木马的认知与防护.pptx

《网络安全技术实践教程》第四章御敌于无形——病毒与木马的认知与防护

本章思维导图

14.1病毒免杀24.2木马34.3木马检测目录CONTENTS

任务4.1病毒免杀【任务描述】经过专项应急小组紧急处理后，公司的网络恢复了正常。众智科技深知病毒木马可能对客户信息系统带来严重威胁，通过为客户网络维护部门讲解和演示病毒免杀，使客户网络维护部门了解了病毒如何逃避杀毒软件的查杀。因此，在接下来的日常系统安全管理过程中，杀毒软件的安装及定期升级病毒库成为客户网络维护部门日常信息安全维护的必要工作之一。

任务4.1病毒免杀【知识准备】4.1.1病毒查杀方式及原理从计算机科学角度来看，病毒是一种恶意软件，它能在未经授权的情况下传播、感染计算机系统，并对系统功能进行破坏，窃取数据，或者进行其他非法操作。病毒查杀是指通过杀毒软件或其他安全工具检测、识别并清除计算机系统中的病毒、木马及其他恶意软件的过程。这一过程通常基于以下几种技术。

第一代扫描技术1、基于文件扫描的反病毒技术第一代扫描技术的核心是在文件中检索病毒特征序列。该技术虽然出现得比较早，但是直到现在也仍然被各大杀毒厂商使用着，其主要分为“字符串扫描技术”和“通配符扫描技术”两种。第二代扫描技术第二代扫描技术以“近似精确识别法”和“精确识别法”为代表，除此之外还有“智能扫描法”与“骨架扫描法”，第二代扫描技术与第一代相比，对检测精度提出了更严格的要求。4.1.1病毒查杀方式及原理

2、基于内存扫描的反病毒技术内存扫描器通常与实时监控系统紧密集成，协同工作以提供实时保护。它们能够在病毒或恶意软件执行前或执行过程中及时发现并阻止潜在威胁。由于程序加载到内存中后，其结构和磁盘上的原始文件相比可能会发生变化，包括代码重定位、动态链接库的加载、数据段的初始化等，这些变化要求内存扫描器采用不同的策略。这意味着内存扫描使用的特征码往往与文件扫描的不同，需要针对内存中代码的特性定制开发，以便更有效地识别已加载或正在执行的恶意代码。3.基于行为监控的反病毒技术此类反病毒技术一般需要虚拟机与主动防御等技术配合使用。其核心原理在于，通过在受控的虚拟环境中动态执行可疑代码，同时运用复杂的算法模型分析程序行为序列，与庞大数据库中的已知恶意行为模式进行比对。4.1.1病毒查杀方式及原理

云端查杀技术分布式防御协作信任链继承机制多引擎联合查杀云端查杀实践了“集体智慧，协同防御”的原则，代表了反病毒领域的一大突破。该技术依托于强大的服务器中枢与广泛分布的用户终端形成的网络，使服务器能实时监测各用户状态。一旦检测到个体异常，迅速部署检查并隔离问题，有效阻止威胁扩散。构建于云端的复杂信任架构，融合用户反馈、专家分析、自动化评估及数字签名验证等多维度信任体系。核心是“根可信进程”，作为信任链的起源点，确保其衍生的进程均被赋予信任。。利用云计算与病毒传播的分布式特性，实现疫情的快速响应。每一起新病毒事件，都能迅速上传至云端，经分析处理后，全网范围内的设备即时获得防护升级，大大提升了对新威胁的捕捉效率和覆盖面。该策略通过同时调用两个或更多反病毒引擎进行扫描，显著提升检测精度。反病毒解决方案通常允许用户灵活选择扫描模式，针对不同引擎采取策略，这要求免杀技术需针对每个引擎特性逐一突破，增加了恶意软件逃避检测的难度。4.1.1病毒查杀方式及原理4.基于新兴技术的反病毒技术

花指令免杀，是通过插入无意义或混淆性质的代码片段，即“花指令”，来干扰反汇编过程和反病毒软件的静态分析，从而达到隐藏恶意代码真实逻辑的目的。花指令免杀软件加壳本质是在可执行文件外部包裹一层代码，以此来改变程序的原始面貌，实现对软件的保护、压缩或加密。壳就是软件所增加的保护，并不会破坏里面的程序结构，当我们运行这个加壳的程序时，系统首先会运行程序里的壳，然后由壳将加密的程序逐步还原到内存中，最后运行程序。加壳免杀内存免杀是将恶意代码（如病毒、木马等）直接加载到内存中，而不将其写入到磁盘上的文件中，从而绕过传统的基于文件的杀毒软件检测。恶意软件常常利用系统漏洞或合法进程，通过动态库注入、远程线程创建等手段，将恶意代码片段插入到正在运行的合法应用程序中执行。内存免杀病毒免杀技术4.1.2病毒免杀技术所谓特征码，就是防毒软件从病毒样本中提取的不超过64字节且能代表病毒特征的十六进制代码。主要有单一特征码、多重特征码和复合特征码这三种类型。杀毒软件在工作时，使用了病毒特征码概念，那么我们可以通过修改病毒特征码的方式躲过杀软扫描。修改特征码二次编译主要用于修改恶意软件的源代码，使其在经过编译后能够躲避杀毒软件的检测。这种技术通常涉及对源代码进行反汇编、逆向工程和系统漏洞利用等高级黑客技术。二次编译

任务4.1病毒免杀【任务实施】