下载安卓APP箭头
箭头给我发消息

客服QQ:3315713922

认识几种典型反病毒技术

作者:课课家教育     来源: http://www.kokojia.com点击数:5911发布时间: 2019-02-23 14:17:14

标签: 信息系统安全网络病毒反病毒技术

软考,您想通过吗?一次通过才是硬道理

      目前网络病毒层出不穷,为了防范网络病毒,人们开发出了各种的反病毒技术。大家所知道的反病毒技术有哪些呢?本文就讲解几种典型的反病毒技术来供大家参考交流一下。

 认识几种典型反病毒技术_信息系统安全_网络病毒_反病毒技术_课课家

  “反病毒技术”是一款杀毒软件最重要的核心技术,它也可以被称作反病毒引擎。目前典型的反病毒技术有:特征码技术、虚拟机技术、启发扫播技术、行为监控技术、主动防御技术、云查杀技术等。下面我们就来对几个反病毒技术做一下介绍。

  1.特征值查毒法

  特征值查毒法是最开始并且到现在一直都用的一个反病毒技术。所谓特征值查毒法,就是在获取病毒样本后,提取出其特征值(譬如石头病毒中的"your pc is stoned!"字符串),然后通过该特征值对各个文件或内存等进行扫描。

  目前绝大多数反病毒软件都采用了特征值查毒技术。采用该技术的反病毒软件不可缺少的两个部分是反病毒引擎和病毒特征库。反病毒引擎用来对疑似病毒样本文件进行扫描,其需要根据病毒特征库的特征条目来确定该疑似病毒样本文件是否包含了特定的计算机病毒。

  特征值检测方法的优点是:检测准确、可识别病毒的名称、误报率低,并且依据检测结果可做解毒处理。

  其缺点是:

  ①开销大、查杀速度慢。搜集己知病毒特征串的费用开销大。随着病毒种类的增多,获得分析样本的时间变长。另外,样本数急剧增加,目前各大反病毒公司的样本库记录都在几十万条以上,虽然样本数量和查杀速度不是线性关系,但进行病毒扫描的时间开销无疑将会逐渐增大。

  ②不能检查未知病毒和多态性病毒。特征值检栅方法是不可能检测多态性病毒的,因为其代码不唯一。虽然目前有些反病毒厂商在提取特征码时提出了一些可以提取多态性病毒共同特征码的方法,但效果有限。

  ③容易被针对性免杀。

  2.虚拟机技术

  随着病毒技术的发展,加密技术也成熟起来,许多病毒的特征变得不是那么容易提取出来,多态性病毒每次感染都改变自身,对付这种病毒,普通特征值检测方法失效。为了检测多态性病毒,反病毒专家研制了一种新的检测方法一一"虚拟机技术"。该技术也称为软件模拟法,它是一种软件分析器,用软件方法来模拟和分析程序的运行,雨且程序的运行不会对系统起实际的作用(仅是"模拟"), .因而不会对系统造成危害。其实质都是让病毒在虚拟的环境执行,从而让其原形毕露。

  尽管具体实现上困难重重,虚拟机仍然在反病毒软件中获得了极其成功的应用,目前大多数反病毒软件都采用了虚拟机技术。

  虚拟机技术具有如下优点:

  ①由于代码与数据的天然区别,代码可执行而数据不可执行,杜绝了原来传统特征值监测技术常常把数据误当成病毒报警的情形,误报率降低。

  ②由于代码是虚拟运行,病毒被装在虚拟环境里执行,真正的CPU 从来没有真正运行病毒代码。因此,病毒可能实施的破坏在虚拟机监控下,不会真正发生。

  ③在虚拟机中,虽然它会运行这些病毒代码,但却不会造成虚拟机的死机。例如一条INτ3日指令可以令真的CPU 停机,但虚损机则可将之识别,不会真停机。

  ④各种病毒生产机或辅助开发包生成的病毒,由于产生的是同族病毒,大同小异,在内存中运行还原后面貌大致相同,不同的只是在硬盘上储存时的静态排列方式,借此逃避特征值监测技术的扫描。再虚拟机可以在还原其真实面吕的基础上,再进一步用特征串匹配,当然可以提高准确率。

  ⑤更先进的变形病毒/加密编码病毒,虽然号称其每次自我复制的下一代样本中不存在任何相同的两处以上连续字节,实际上也是指静态存储形式(磁盘上的静态病毒〉市言的,根本上还是以一个普通病毒为原型,再经变形算法如以变换处理实现的。它同样会在虚蚁机面前显出原形。

  ⑥虚拟机技术仍然与传统技术相结合,并没有抛弃己知病毒的特征知识库。

  3. 启发式扫描技术

  何谓启发式扫描?我们知道,一个病毒总存在其与普通程序不一般的地方,譬如他会格式化硬盘,重定位,改回文件时间,修改文件大小,能够传染等等。这样,我们就可以对每一类病毒特征进行加权,譬如重定位3分,格式化硬盘15分,传染10分,这样,如果一个程序拥有这3个功能,他就得到了28分,如果我们设定判断一个病毒的标准是20分,那么这个程序在遇到采用了启发式扫描技术的杀毒软件时,杀毒软件就会报警,说发现新病毒。这就是启发式扫描技术。

  正如任何其他的通用检测技术一样,启发式扫描技术有时也会把一个本无病毒的程序认为是染毒程序,产生误报。原因很简单,被检测程序中可能含有病毒常使用的可疑功能或代码。

  启发式扫描技术仍然是一种正在发展和不断完善的技术,但已经在大量优秀的反病毒软件中得到迅速的推广和应用。

  4.校验和技术

  对正常文件的内容,计算其校验和,将该校验和写入此文件或者其他文件中保存,在文件使用过程中或使用之前,定期检查现有的内容算出的检验和与原来保存的校验和是否一致,从而可以发现文件是否被感染,这种方法就称之为校验和法。

  运用校验和检测技术查病毒采用3种方式:

  ①在检测病毒工具中纳入校验和检测技术,对被查的对象文件计算其正常状态的校验和,将校验和值写入被查文件中或检测工具中,而后进行比较。

  ②在应用程序中,放入校验和检测技术自我检查功能,将文件正常状态的校验和写入文件本身中,每当应用程序启动时,比较现行校验和与原校验和值。实现应用程序的自检测。

  ③将校验和检查程序常驻内存,每当应用程序开始运行时,自动比较检查应用程序内部或别的文件中预先保存的校验和。

  校验和检测方法,也称之为出较检测法。比较的对象可分为系统数据、文件的头部、文件的属性和文件的内容。

5. 行为监控技术

      行为监控是指通过审查应用程序的操作来判断是否有恶意(病毒〉倾向并向用户发出警告。病毒程序的伪装行为越多,它们露出的马脚就越多,就越容易被监测到。这种技术能够有效防止病毒的传播,但也很容易将正常的升级程序、补丁程序误报为病毒。

  行为监测方法是以某种行为是否为病毒行为作为判断病毒的依据。

  行为监测技术的优点有:可发现未知病毒、可相当准确地预报未知的多数病毒。行为监测技术的不足是:可能误报警、不能识别病毒名称和实现时有一定难度。

  6. 主动防御技术

  主动防御技术并不是一项全新的技术,从某种程度上说,其集成了启发式扫拮技术和行为监控及行为阻断等技术。

  主动防御是一种阻止恶意程序执行的技术。它比较好地弥补了传统杀毒软件采用"特征码查杀"幸日"监控"相对滞后的技术弱点,可以在病毒发作时进行主动而有效的全面防范,从技术层面上有效应对未知病毒的肆虐。

  7.病毒疫苗

  还有一种技术叫病毒疫苗,这种疫苗程序,举个简单的例子,美丽莎病毒会并修改Windows注册表项:HKEY_CURRENT_USER\\Software\\Microsoft\\Office,将其增加表项:Melissa?,并给其赋值为:… by Kwyjibo,这是病毒避免进行重复感染的标志。如果我们在一台没有感染美丽莎病毒的机器上事先设立这一注册表值,那么当美丽莎病毒准备感染这台机器时,由于发现存在该键值会认为该机器已经被感染而不对它进行再次感染。这样,我们达到了对这台机器进行免疫的目的。

  科技一直在进步,病毒也在不断地演变,互联网的安全环境我们不得不重视,因此我们需要与计算机病毒作斗争,而且还需要在这场斗争中占得上风。本文到这里就告一段落了,想要更深入了解的话可以到课课家教育搜索相关知识进行学习。

赞(23)
踩(0)
分享到:
推荐查看
华为认证网络工程师 HCIE直播课视频教程