查看原文
其他

反病毒技术浅析

计算机与网络安全 计算机与网络安全 2022-06-01

一次性进群,长期免费索取教程,没有付费教程。

教程列表见微信公众号底部菜单

进微信群回复公众号:微信群;QQ群:460500587



微信公众号:计算机与网络安全

ID:Computer-network

从反病毒产品对计算机病毒的作用来讲,反病毒技术可以直观地分为:病毒预防技术、病毒检测技术及病毒清除技术。


预防技术


计算机病毒的预防技术就是通过一定的技术手段防止计算机病毒对系统的传染和破坏。实际上这是一种动态判定技术,即一种行为规则判定技术。也就是说,计算机病毒的预防是采用对病毒的规则进行分类处理,而后在程序运作中凡有类似的规则出现则认定是计算机病毒。具体来说,计算机病毒的预防是通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作,尤其是写操作。预防病毒技术包括:磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等。例如,大家所熟悉的防病毒卡,其主要功能是对磁盘提供写保护,监视在计算机和驱动器之间产生的信号。以及可能造成危害的写命令,并且判断磁盘当前所处的状态:哪一个磁盘将要进行写操作,是否正在进行写操作,磁盘是否处于写保护等,来确定病毒是否将要发作。计算机病毒的预防应用包括对已知病毒的预防和对未知病毒的预防两个部分。目前,对已知病毒的预防可以采用特征判定技术或静态判定技术,而对未知病毒的预防则是一种行为规则的判定技术,即动态判定技术。


检测病毒技术


计算机病毒的检测技术是指通过一定的技术手段判定出特定计算机病毒的一种技术。它有两种:一种是根据计算机病毒的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化,在特征分类的基础上建立的病毒检测技术。另一种是不针对具体病毒程序的自身校验技术。即对某个文件或数据段进行检验和计算并保存其结果,以后定期或不定期地以保存的结果对该文件或数据段进行检验,若出现差异,即表示该文件或数据段完整性已遭到破坏,感染上了病毒,从而检测到病毒的存在。


清除病毒技术


计算机病毒的清除技术是计算机病毒检测技术发展的必然结果,是计算机病毒传染程序的一种逆过程。目前,清除病毒大都是在某种病毒出现后,通过对其进行分析研究而研制出来的具有相应解毒功能的软件。这类软件技术发展往往是被动的,带有滞后性。而且由于计算机软件所要求的精确性,解毒软件有其局限性,对有些变种病毒的清除无能为力。目前市场上流行的Intel公司的PC_CILLIN、CentralPoint公司的CPAV,及我国的LANClear和Kill89等产品均采用上述三种防病毒技术。

下面介绍几种反病毒技术。


1、特征码(值)扫描


特征码是由反病毒分析人员从病毒样本中的不同位置提取的一系列字节,也就是带有病毒特征的一系列代码。随后这些代码经过严格的实验及比对,最终将符合条件的特征码整合在一起,病毒库(又名特征码库)由此诞生。


特征码扫描则是使用自身引擎反编译文件代码,并且代码内搜索匹配是否含有病毒库中的特征码特征码偏移的位置,进而判断文件是否为病毒文件。在病毒与杀毒软件的斗争中,病毒库显然无法及时更新跟上病毒的开发步伐,同时也会因为病毒加壳、加花免杀从而难以扫描出符合的特征码,虽然其后增加了复杂特征码扫描以及隐藏特征码扫描,但特征码扫描始终无法做到“快毒一步”,因此启发式扫描作为弥补特征码扫描的缺陷而被开发出来。


2、启发式扫描


启发式扫描分为静态启发式扫描与动态启发式扫描。静态启发式扫描以特征码扫描为基础,通过反汇编在不运行的条件下对目标文件进行特征指令扫描,如果其使用的指令组合与原先由专家经验分析得出的病毒指令(通常是带有病毒性质的API函数的组合)相似度高,就会被判断为病毒程序。动态启发式扫描则是结合杀毒软件内置的虚拟机技术(软件模拟CPU等仿真环境),将病毒动态运行在虚拟机中并检测其行为,若发现类似病毒的可疑行为,则判定为病毒程序。


启发式扫描在未知病毒的检测方面起到了关键性的作用,弥补了特征码扫描无法第一时间检测最新病毒的缺陷,当然启发式扫描存在误报的情况,但很明显是利大于弊了。


3、主动防御技术


为了起到实时、主动防护病毒入侵的作用,主动防御技术打破了传统杀毒软件检测特征码的思路。首先它在驱动内核层次加载自身,从而避免自身进程在用户层面被病毒终结;其次,就像键盘钩子HOOK,主动防御技术在操作系统中HOOK了一些病毒常用的API函数,每当有程序使用这些API函数的时候,它会根据程序使用的API函数以及伴随这些API函数做出的行为推测该程序是否为病毒,进而做到实时监控。


主动防御技术避免了用户在不知情的情况下运行病毒,并且对未知病毒也起到了一定的防范作用。同时,杀毒软件在主动防御技术中也增添了漏洞实时修补功能,杜绝了病毒通过漏洞入侵计算机。


4、云查杀


由于传统杀毒方法的病毒库巨大以及杀毒内存开销大等缺点,云查杀将成为未来杀毒软件的主流趋势。云查杀将特征码库存于服务器端,在查杀时通过安全公司的“云计算”手段,实现了在短时间内迅速查杀以及云端病毒库快速更新,但其缺点是需要保证一个畅通无阻的网络环境,并且有隐私泄露的危险。

微信公众号:计算机与网络安全

ID:Computer-network

【推荐书籍】

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存