致谢
Abstract
一、绪论
1.病毒发展的新特性
a.不安全的操作系统成为滋生病毒的温床
b.国际互联网的兴起为病毒的传播提供了更便捷的方式
c.计算机病毒广泛使用了新出现的计算机技术
2.传统反病毒工具的不足
a.计算机病毒的特征码越来越难以确定
b.定期对硬盘进行扫描不能及时防范病毒的入侵
c.传统反病毒工具不能进行基于企业内部局域网的病毒防范
二.网络反病毒系统简介
1.网络反病毒系统的基本特点
a.实时,智能地监控用户系统
b.实时,动态地监控网络数据流
c.完善的病毒防杀政策
d.完善的预防报警机制
e.不断更新的病毒特征码数据库
f.完善的日志记录
g.对新病毒的自动分析能力
2.网络反病毒系统的总体构架
a.客户端智能病毒监视器
b.网络病毒检测器
c.防杀病毒管理中心
d.未知病毒检测模块
e.管理员工具
三.客户端智能病毒监视器的主要功能
1.实时地监控客户端操作系统
2.在客户端操作系统内核之上建立一套免疫机制
3.对可疑程序进行智能扫描
4.对通过网络进入客户端操作系统的恶意代码进行监控
四.实时监控
1.Windows95/98文件系统的基本结构图
2.IFS Manager提供的服务接口
3.IFS Manager的内部实现机制
4.监控的实施方法
5.监控触发条件
a.加载可执行文件
b.加载动态链接库
c.打开存储Microsoft Office文档
d.通过局域网进行的文件共享操作
e.通过广域网进行的文件操作
五.建立在操作系统内核之上的免疫机制
1.DOS操作系统的安全性缺陷
2.Windows95/98操作系统的安全性缺陷
a.Windows95/98中存在大量未公开中断调用
b.虚拟设备驱动程序(VxD)的不安全性
3.免疫机制的建立
a.对主引导区的保护
b.对文件分区表的保护
c.对操作系统中断向量表的保护
d.对操作系统注册表的保护
e.防止恶意程序格式化硬盘
f.监视应用程序对VxD的加载情况
g.监视应用程序对内部未公开函数的调用
六.基于病毒典型代码结构的智能扫描
1.简单复制型病毒
2.添加型病毒
a.COM添加型病毒
b.EXE添加型病毒
3.内存驻留型病毒
4.宏病毒
5.引导型病毒
6.多态病毒
a.解密函数不变的多态病毒
b.解密函数发生改变的多态病毒
7.基于病毒典型代码结构的智能扫描技术
a.可疑的文件访问代码
b.可疑的程序重定位代码
c.可疑的内存分配代码
d.可执行文件具有错误的文件结构
e.对可执行文件进行搜索的代码
f.可疑的修改程序入口点的代码
g.可疑的修改系统中断向量表的代码
h.具有可疑的驻留内存的代码段
j.具有无效的操作指令或者具有永远也到达不了的条转分支
k.错误的时间戳
1.可疑的EXE文件头结构
n.含有垃圾指令
n.不被系统认可的中断调用
o.含有确定某一文件是否为EXE或COM文件的代码
p.在Office文档中含有可疑的宏
r.直接对磁盘进行读写操作的代码
七.对网络恶意代码进行监控
1.网络恶意代码对用户操作系统造成的危害
a.篡改用户系统的数据
b.窃取用户机密信息
c.拒绝服务攻击
2.各种网络恶意病毒行为特征的详细分析
a.Java病毒
b.ActiveX和Netscape Plug-In病毒
c.JavaScript病毒和VBScdpt病毒
d.Trojan木马病毒
e.通过电子邮件大量传播的病毒
3.客户端智能病毒监视器对网络恶意代码的监控
a.Windows95/98系列操作系统中网络协议栈的结构
b.对静态网络数据流的实时扫描
c.对网络恶意代码的动态行为进行监视
八.小结与展望
参考文献