基於病毒特征的病毒查殺技術
1.簽名技術
假設:012345是壹段病毒代碼的壹部分,在殺毒軟件的病毒庫中有壹個像012345這樣的特征。如果完全匹配,則判斷這個包含012345的代碼是病毒。特征碼病毒檢測的方法需要病毒庫中的特征與病毒的特征完全匹配,以壹對壹的方式識別病毒。於是病毒想出了壹個變種方法來對抗殺毒軟件。
病毒變種技術:中間有空格的012345變成0 1 2 3 4 5,此時與病毒庫中的012345不同,但病毒完全可以執行。
2.廣譜簽名技術
這個時候殺毒軟件采用廣譜簽名技術,其實就是自動過濾掉0 1 2 3 4 5之間的空格,讓病毒庫裏的壹個簽名可以長期使用。來匹配變異病毒。於是病毒再次想出了壹個畸形的方法來對抗殺毒軟件。
病毒變形技術:012345變形為:零,壹,二,三,四,五。看起來完全不壹樣。殺毒軟件的特征碼匹配不上,但病毒還是那個病毒。
基於病毒行為的反病毒軟件技術:
3.啟發式技術
基於這種病毒的變形技術,殺毒軟件廠商開發了啟發式技術。啟發式技術分為:
靜態啟發式病毒檢測技術
基於單個病毒樣本特征的啟發式病毒檢測技術
基於統計的啟發式毒品檢測技術
動態啟發式病毒檢測技術
基於虛擬機的啟發式病毒檢測技術
改造後的病毒012345根本不具備任何* * *特征。但是他們仍然有相同的行為。比如感染壹個文件,釋放壹些特定的代碼,調用壹個API接口。這時候殺毒軟件的開發人員手動總結這些行為,通過行為匹配文件是否是病毒。
基於統計的啟發式病毒檢測是統計大量已知的病毒行為,簡單的列表大概是這樣的:(當然真正的啟發式統計肯定有很多項)
病毒做了什麽?給這些做法打個分。
修改啟動項目-5
修改註冊表-5
修改系統文件-5
修改系統服務-5
修改常用軟件-5
設置了壹個分數分割線:如果分數超過-15,則判定為病毒。
這時012345修改了啟動項-5,修改了註冊表-5,修改了系統文件-5,那麽OK這是病毒。
而能被啟發式方法查殺的病毒,是不知道病毒特征,但知道病毒行為的病毒。這不能說是查殺未知病毒。如果某些病毒行為不在啟發式的統計範圍內,那麽啟發式是無能為力的。
所謂的自學習QVM就是這種基於統計的啟發式病毒檢測,只是將病毒行為提取出來放入自己的病毒庫,然後將文件與統計值進行匹配。就醬紫!
動態啟發式是虛擬機技術,它的原理幾乎是分析病毒的行為,觀察“12345”在虛擬機裏做了什麽。但是虛擬機不是萬能的,模擬的真實環境畢竟不是完全真實的環境。
比如現實系統中有壹個晦澀難懂的文件叫“!”而虛擬機模仿的時候就感覺這個“!”移除它不會影響任何東西。這時候病毒就發布了刪除“!”的命令然後我發現沒有“!”這個文件,知道妳在虛擬機裏,就不會釋放那些有害的行為。
靜態啟發式方法
優勢:
相比動態啟發式,查殺速度更快。
缺點:
易受脫殼、加密、變形等手段影響。
基於統計試探法,數據庫相對較大。
動態啟發式方法
優勢:
基於虛擬執行,可以捕獲真實的病毒行為。
高對抗強度
缺點:
病毒檢測速度較慢,在引擎中要慎用。
研發成本非常高。
4.主動防禦技術
如果啟發式技術還需要匹配行為,那麽主動防禦就是在啟發式的基礎上實時監控行為。兩者原理相似,都是根據已知的病毒行為來判斷。但是啟發式的工作方式是:
發現病毒行為-匹配特征-返回結果。
主動防禦的工作原理:
發現病毒行為-直接返回結果。
主動防禦的作用是減少病毒與殺毒軟件的對抗時間。
主動防禦的優勢:
減少病毒和殺毒軟件對抗的時間
對病毒行為已知的病毒有壹定作用。
主動防禦的缺點:
由於對整個系統的全面監控,會導致系統性能的下降。
對驅動技術的依賴性很強,經常需要使用壹些系統中沒有公開的技術,所以兼容性較差。
不同的殺毒軟件技術,其實對應的是不同種類的病毒。如果只采用特征碼技術,很難有效查殺采用病毒變形技術的病毒。如果只使用行為分析技術,對於單純使用特征碼就能查殺的病毒,會失去效率。而且行為分析技術需要犧牲壹些系統資源來提高工作效率。
有沒有既能保證效率又能保證效果的方案?雲技術的出現,使得將特征技術和病毒行為技術整合成壹個龐大的系統成為可能,並使用可以互補不足的反病毒軟件技術:
5.邊防技術
病毒特征和病毒行為有壹個基本前提,就是病毒已經進入電腦。
但是病毒不是電腦本身產生的。病毒是如何進入用戶電腦的?我們常說病從口入。我們能在這個入口采取壹些措施嗎?長期以來,入口的問題被忽視是因為所有的殺毒軟件廠商都在忙著壹刀壹槍地對抗病毒。邊防技術在特征和行為查殺的基礎上,關註病毒如何第壹時間進入電腦的問題。
邊防技術使用壹種叫做網絡爬蟲的東西。類似於搜索引擎的爬蟲,自動抓取互聯網上新的軟件和網站進行分析,然後在雲端使用各種技術評估這個軟件或網站的安全級別。當用戶訪問低安全級別的網站或從這些網站下載東西時,它會觸發反病毒軟件來提高他們的保護級別。
同時,邊防將訪問用戶電腦的文件分為已知文件和未知文件,通過特征分析或行為判斷來識別未知文件是安全還是病毒。
6、雲安全技術,其實雲安全不是壹個簡單的技術,而是壹種理念。這個概念是並行處理、網格計算、未知病毒行為判斷等新興技術和概念的結合。通過大量網狀客戶端對網絡中軟件行為的異常監控,獲取互聯網中木馬和惡意程序的最新信息,傳輸到服務器進行自動分析處理,然後將病毒和木馬的解決方案分發到各個客戶端。
這些都是目前主流殺毒軟件采用的技術。有了這些,我們主要可以對軟件查殺進行分類,比如NOD32的高靈感,金山的雲查殺,360的QVM。它們各有優缺點,也沒有100%的軟件查殺,用起來感覺舒服就好。如果妳習慣了上網,就不會那麽容易中毒了!?