计算机病毒分离出的样本有利用价值吗???

发布网友 发布时间：2022-04-29 11:51

我来回答

共3个回答

热心网友 时间：2022-06-27 06:05

你好，计算机病毒的检测最简单的方法是用较新的防病毒软件对磁盘进行全面的检测。如何及早的发现新病毒首先

计算机病毒的检测

最简单的方法是用较新的防病毒软件对磁盘进行全面的检测。
如何及早的发现新病毒
首先应注意内存情况，绝大部分的病毒是驻留内存的。
其次应注意常用的可执行文件的字节数。大多数病毒在对文件进行传染后会使文件的长度增加。
对于软盘，则应注意是否无故出现坏块（有些病毒会在盘上做坏蔟标记，以便将其自身部分隐藏其中）。

检测病毒的方法-特征代码法
实现步骤：采集已知的病毒样本，从中抽取病毒代码
依据原则：
抽取的代码比较特殊，不大可能与普通正常程序代码吻合。
抽取的代码要有适当的长度，一方面维持特征代码的唯一性，另一方面不要有太大的空间与时间开销。
将特征代码纳入病毒数据库。
检测过程：打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的病毒特征代码。如果发现，由于特征代码与病毒一一对应，便可以断定，被查文件中含有何种病毒。
优点：检测准确快速、可识别病毒的名称、误报警率低、依据检测结果，可做解毒处理
缺点：不能检测未知病毒，需要搜集已知病毒的特征代码，费用开销大、在网络上效率低。
病毒检测工具SCAN、CPAV

检测病毒的方法-校验和法
计算正常文件内容的校验和，将该校验和写入文件中或别的文件中保存，在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来是否一致，因而可以发现文件是否感染，这种方法叫校验和法。
运用校验和法查病毒采用3种方式：
在病毒检测工具中纳入校验和法
在应用程序中放入校验和法自我检查功能
将校验和检查程序常驻内存
优点：能发现未知病毒
缺点：不能识别病毒名称，会误报警、不能对付隐蔽型病毒（隐蔽型病毒进驻内存后，会自动剥去染毒程序中的病毒代码，使校验和法受骗，对一个有毒文件算出正常校验和）

检测病毒的方法-行为监测法
行为监测法：利用病毒的特有行为特征性来监测病毒的方法。
通过对病毒多年的观察、研究，有一些行为是病毒的共同行为，而且比较特殊。在正常程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警。
行为监测法的优点：可发现未知病毒、可相当准确地预报未知的多数病毒。
行为监测法的缺点：可能误报警、不能识别病毒名称、实现时有一定难度。

检测病毒的方法-软件模拟法
多态性病毒每次感染都变化其病毒密码，对付这种病毒，特征代码法失效。因为多态性病毒代码实施密码化，而且每次所用密钥不同，把染毒的病毒代码相互比较也各不相同，因此，出现了一种新的病毒监测方法，那就是软件模拟法。该类工具开始使用特征代码法监测病毒，如果发现隐蔽病毒或多态性病毒嫌疑时，启动软件模拟模块，监测病毒的运行，待病毒自身的密码译码后，再运用特征代码法来识别病毒的种类。

检测病毒的方法(小结)
特征代码法
采集病毒样本，抽取特征代码
特点：能快速、准确检验已知病毒，不能发现未知的病毒。
校验和法： 根据文件内容计算的校验和与以前的作比较。
优点：能判断文件细微变化，发现未知病毒。
缺点：当软件升级、改口令时会产生误报；不能识别病毒名称；对隐蔽性病毒无效。
行为监测法： 基于对病毒特有行为的判断
特点：发现许多未知病毒；可能误报，实施难
软件模拟法：一种软件分析器，用软件方法来模拟和分析程序的运行。
特点：可用于对付多态病毒。

研究病毒技术是为了更好的做好反病毒工作。我们反对一切形式的破坏，我们要致力于反病毒事业。

在这里我会简单的先容病毒样本的获取与分析方法。

个人如何获取病毒样本呢？
对于我们个人用户来说，当然没有反病毒公司截获病毒的那种条件。不过，要找一些病毒样本来分析也不是一件难事情。
我们可以设置自己的蜜罐。
首先要预备一个虚拟机，在虚拟机里面安装win2k+sp1,再安装iis6.0和sql server 2000,能打开的服务都打开，最好再安装nav（防止重复获得已知的病毒样本），并安装isa防火墙来监控网络流，在用sniffer xp来做地层包的截获，最后安装文件变化记录器（主要用于crc32校验比较以判定文件是否发生变化，我们仅监视几种病毒经常感染的文件类型就可以了）。在用虚拟机的快照功能备份虚拟机中的系统。
这样我们就预备好了自己的diy型蜜罐，现在到hotmail注册一个e-mail，然后加进多个国外的新闻组等热闹的地方，这样就会有更多的机会得当样本。接下来就是等待了，经常查看信箱的邮件，等到sniffer xp监视出现流量异常或nav被封闭或失效，此时应该多打开几次一些program files目录下的程序以保证病毒的感染，一般来说ipc$和iis进来的病毒或者懦虫会开一些新的进程，我们可以用ctrl+alt+del把他们查出来，知道那些文件--复制到保存样本的介质上~~然后把文件变化器中发现的文件拷贝出来，这样就得到疑似样本了。

vbs脚本病毒样本的提取
当获得了vbs脚本病毒样本后，其提取方法是比较简单的。对于获取的vbs脚本病毒样本，我们可以直接用文本编辑器打开样本文件查看其中的原代码。对于有加密的病毒，样本提取的工作实在到这里就已经结束了。

一次性加/解密的病毒样本
这样的病毒比较普遍，但是弱点也比较明显。由于他们是对加密病毒代码一次性解密后直接运行的，我们便可以在其解密之后、执行之前将病毒代码提取出来，或者干脆删除其代码，写进我们自己的病毒提取代码。

这里我以大家比较熟悉的“新欢乐时光”为例子，说明这种方法提出的方法。
感染这个病毒后，会发现在每个目录下都有两个隐躲文件： desktop.ini folder.htt
用ultraedit打开 folder.htt ，会发现这个文件总共才93行，第一行为<body >,几行注释后，以<html>开始，</html>结束，很显然这是一个htm格式的文件(folder.htt摸板就是采用了样式表和html标记).

 可通过分布式蜜罐、诱饵信箱、邮件服务代管、VDS监控探头、用户主动上报、样本志愿者上报等方式在第一时间内捕获病毒样本，从而形成了一个庞大的监控预警体系。目前，安天每天都要处理数万次不重复文件上报事件，其流行病毒样本与国际主流反病毒企业同步更新。所有有原厂发布站点的各种后门（Backdoor）、木马（Trojan）等，保证在新版本发布的24小时内得到样本；流行蠕虫在2至24小时内得到样本，捕获后两小时内即可完成全部分析工作，并提交到用户升级特征库中。 可疑文件上报

欢迎来电脑管家企业平台提问

热心网友 时间：2022-06-27 06:06

热心网友 时间：2022-06-27 06:06