安全基础:主流防病毒技术剖析(图)来源: 发布时间:星期四, 2009年3月12日 浏览:0次 评论:0
根据ESET NOD32 08年病毒分析实验室捕获数据统计2008年12月爆发量最大是盗号木马和U盘病毒这两种病毒占到了捕获样本总数 24% 这个是对病毒制作经济利益最大化制作流程产业化个最好证据随着网络游戏网上购物等活动兴起病毒作者看到可以通过窃取游戏帐号银行帐号传播广告等方式来进行获利因而他们有了更大动力来开发各种恶意包括:恶意网页代码、盗号木马、间谍软件Software、网络钓鱼及垃圾邮件等
由于大量恶意涌现杀毒软件Software和病毒技术竞争也愈加激烈病毒作者会利用新技术隐藏自己躲避杀毒软件Software查杀或者寻找新传播方式或者甚至主动破坏杀毒软件Software个典型案例是2008年2月份在国内爆发“磁碟机”病毒该病毒爆发后每日会有数个变种产生来躲避杀软检查感染量达到数百万台计算机同时杀毒软件Software本身也在不断进化那么现在杀毒软件Software主流技术有哪些呢?我们将给大家作个简要介绍
立即下载:ESET NOD32 (1) 基因码检测技术 直到现在几乎所有杀毒软件Software主要还是通过病毒数据库里病毒特征数据和被扫描文件加以对照从而把符合条件真正病毒区分出来由于几乎每天都有新病毒或变种出现各杀毒软件Software厂商也只有不断进行特征更新 (Signature Update) 和扩充自己病毒数据库才能确保尽快把最新病毒特征数据收录其中 这种处理思路方法看似简单有效但网络世界里出现过病毒高达7万多种即使是仍活跃病毒种类也达到数千种以上;若病毒数据库要口气全部收录数据库体积必然非常庞大就是在扫描系统时进行逐个数据对照过程也极为费时因此像ESET NOD32 等先进杀毒软件Software已逐渐改变这种特征检测 (Signature-based Detection) 查毒方式进而采用较新型基因码 (Generic Signature) 检测技术采用基因码技术后病毒特征和病毒库大小都得到了简化 病毒特征化繁为简 所谓基因码就是指同病毒族群中区别变种多半含有相同病毒特征不少病毒最初是以单品种出现后经由其它病毒作者修改或自行演化最后变成数十种以上病毒变种若以传统特征检测方式处理病毒数据库便要为每种病毒变种制作份独立特征数据;而较新基因码检测技术则会从各变种中找出共同的处包括些非连续代码以此找出同类型病毒普遍特征 缩小病毒数据库体积 这样在进行系统扫描时由于采用较少特征数据就能检测庞大病毒种类因此进行特征对照时便能大大缩短时间同时对于由同种源头变化出来新变种只要吻合该族群普遍特征条件即使未更新病毒数据库亦很有可能成功进行识别因此ESET NOD32 更新病毒数据库所用时间极短每次更新不过下载 20KB 至 50KB 不等绝不会加重网络和硬盘负担 (2)虚拟机技术 针对变形病毒、未知病毒等复杂病毒情况极少数防病毒软件Software采用了虚拟机技术达到了对未知病毒良好查杀效果它实际上是种可控由软件Software模拟出来虚拟运行环境在这环境中虚拟执行虽然病毒通过各种方式来躲避防病毒软件Software但是当它运行在虚拟机中时它并不知道自己切行为都在被虚拟机所监控所以当它在虚拟机中脱去伪装进行传染时就会被虚拟机所发现如此来利用虚拟机技术就可以发现大部分变形病毒和大量未知病毒 (3)代码分析技术 为了对付病毒不断变化和对未知病毒研究代码分析扫描方式出现了代码分析扫描是通过分析指令出现顺序或特定组合情况等常见病毒标准特征来决定文件是否感染未知病毒病毒要达到感染和破坏目通常行为都会有定特征例如读写敏感文件自我删除、自我复制获取操作系统底层权限等等所以可以根据扫描特定行为或多种行为组合来判断个是否是病毒 ESET NOD32拥有崭新ThreatSense.Net预警系统 为了强化 ThreatSense? 引擎准确性和效率ESET NOD32 在最新版本里加入了崭新ThreatSense.Net 预警系统该系统可说是把 ThreatSense? 优秀病毒分析能力由个人计算机范围拓展至全球性规模处理;每当客户端 ESET NOD32 遇到疑似病毒文件时便可自动或手动地将该文件压缩加密并经由电邮寄送到 sample@e.com 快速地交由 ESET 总部专家进行分析研究;旦确定为病毒ESET便迅速进行后续处理 (4)主动防御技术 般意义上“主动防御”就是全程监视进程行为但发现“违规”行为就通知用户或者直接终止进程它般会对些敏感注册表键值系统文件网络访问进行监控如果有企图修改这些敏感区域就会提示用户 但是它也存在着个弊端,就是杀毒软件Software会不断地弹出提示,询问用户是否允许如果你不懂计算机,那么将很难应付,需要选择操作东西很多. 所以不适合大部分普通用户. ESET NOD32 启发式技术综合利用了基因码虚拟机代码分析和传统病毒库技术利用各种技术的间优劣互补来提升整体防病毒能力 0
相关文章读者评论发表评论 |
|