目录
杀毒软件如何查杀病毒,原理是什么,当他发现一个病毒之后,是如何进行清除的。。。
一个杀毒软件的构造的复杂程度要远远高于木马或病毒,所以其原理也比较复杂。
而且鉴于
现在木马病毒越来越向系统底层发展,
杀毒软件的编译技术也在不断向系统底层靠近。
例如
现在的“主动防御”技术,就是应用
RING0
层的编译技巧。这里我简单为大家介绍一下基
本构成。
一个杀毒软件一般由扫描器、
病毒库与虚拟机组成,
并由主程序将他们结为一体,
如图
1
。
扫描器是杀毒软件的核心,
用于发现病毒,
一个杀毒软件的杀毒效果好坏就直接取决于它的
扫描器编译技术与算法是否先进,
而且杀毒软件不同的功能往往对应着不同的扫描器,
也就
是说,
大多数杀毒软件都是由多个扫描器组成的。
而病毒库存储的特征码形式则取决于扫描
器采用哪种扫描技术。
它里面存储着很多病毒所具有的独一无二的特征字符,
我们称之为
“特
征码”
。特征码总的分来只有两个,文件特征码与内存特征码。文件特征码存在于一些未执
行的文件里,例如
EXE
文件、
RMVB
文件、
jpg
文件甚至是
txt
文件中都有可能存在文件特
征码,
也都有可能被查杀。
而内存特征码仅仅存在于内存中已运行的应用程序。
而虚拟机则
是最近引进的概念,它可以使病毒在一个由杀毒软件构建的虚拟环境中执行,与现实的
CPU
、硬盘等完全隔离,从而可以更加深入的检测文件的安全性。
简单的说,
杀毒软件的原理就是匹配特征码。
当扫描得到一个文件时,
杀毒软件会检测这个
文件里是否包含病毒库里所包含的特征码,
如果有,
则报毒病查杀,
如果没有,
纵然这个文
件确实是一个病毒,它也会把它当作正常文件来看待。
我觉得腾讯电脑管家就是最好的杀毒软件了
二、基于文件扫描的杀毒技术
基于文件的杀毒技术可以分为“第一代扫描技术”
、
“第二代扫描技术”与“算法扫描”这三
种方法,
对于免杀爱好者来说,
要对每一种方法烂熟于心,
才能成为高手!
但做为一个初学
者来说了解一下即可。
这里我们就简单介绍一下其中两种种方法,
详细的技术原理如果各位
得这有兴趣的话可以自己研究。
杀毒软件有哪些防护技术
摘要:反病毒软件也称为杀毒软件,它实现监控的方式因软件而异,有的是通过在内存里划分一部分空间,进行病毒库特征比较。另一些反病毒软件则在所划分到的内存空间里面,虚拟执行系统程序,实现监控功能。杀毒软件防护功能涉及到了多种防护技术,包括脱壳技术、自我保护技术、主动防御技术等等,接下来就和小编一起来看看吧。反病毒软件工作原理是什么反病毒软件的任务是实时监控和扫描磁盘,还具有一定的清除病毒能力。部分反病毒软件通过在系统添加驱动程序的方式,进驻系统,并且随操作系统启动,大部分的反病毒软件还具有防火墙功能。反病毒软件的实时监控方式因软件而异,有的反病毒软件,是通过在内存里划分一部分空间,将电脑里流过内存的数据与反病毒软件自身所带的病毒库(包含病毒定义)的特征码相比较,以判断是否为病毒。另一些反病毒软件则在所划分到的内存空间里面,虚拟执行系统或用户提交的程序,根据其行为或结果作出判断。反病毒软件扫描磁盘的方式,则和上面提到的实时监控的第一种工作方式一样,只是在这里,反病毒软件将会将磁盘上所有的文件(或者用户自定义的扫描范围内的文件)做一次检查。
杀毒软件有哪些防护技术
1、脱壳技术
脱壳技术是一种十分常用的技术,可以对压缩文件、加壳文件、加花文件、封装类文件进行分析的技术。
2、自我保护技术
自我保护技术基本在各个杀毒软件均含有,可以防止病毒结束杀毒软件进程或篡改杀毒软件文件。进程的自我保护有两种:单进程自我保护,多进程自我保护。
3、修复技术
对被病毒损坏的文件进行修复的技术,如病毒破坏了系统文件,杀毒软件可以修复或下载对应文件进行修复。没有这种技术的杀毒软件往往删除被感染的系统文件后计算机崩溃,无法启动。
4、实时升级技术
最早由金山毒霸提出,每一次连接互联网,反病毒软件都自动连接升级服务器查询升级信息,如需要则进行升级。但是目前有更先进的云查杀技术,实时访问云数据中心进行判断,用户无需频繁升级病毒库即可防御最新病毒。用户不应被厂商所说的每天实时更新病毒库的大肆宣传而选择。
5、主动防御技术
主动防御技术是通过动态仿真反病毒专家系统对各种程序动作的自动监视,自动分析程序动作之间的逻辑关系,综合应用病毒识别规则知识,实现自动判定病毒,达到主动防御的目的。
6、启发技术
常规所使用的杀毒方法是出现新病毒后由杀毒软件公司的反病毒专家从病毒样本中提取病毒特征,通过定期升级的形式下发到各用户电脑里达到查杀效果,但是这种方法费时费力,于是便有了启发技术。
启发技术是在原有的特征值识别技术基础上,根据反病毒样本分析专家总结的分析可疑程序样本经验(移植入反病毒程序),在没有符合特征值比对时,根据反编译后程序代码所调用的win32API函数情况(特征组合、出现频率等)判断程序的具体目的是否为病毒、恶意软件,符合判断条件即报警提示用户发现可疑程序,达到防御未知病毒、恶意软件的目的。解决了单一通过特征值比对存在的缺陷。
7、智能技术
采用人工智能算法,具备“自学习、自进化”能力,无需频繁升级特征库,就能免疫大部分的变种病毒,查杀效果优良,而且一定程度上解决了“不升级病毒库就杀不了新病毒”的技术难题。
杀毒软件是怎么做出来的?
杀毒软件最核心的部分是扫描引擎,其次是病毒库。一般会用C语言进行编写,以提升程序运行速度。特征代码法:这种方法根据正常程序与病毒程序代码的差别来识别病毒文件。有人认为,对于已知病毒来说,这种方法是最简单、最直接的方法,这种方法的优、缺点都很突出。
优点:检测的准确率较高,误报率低。
缺点:查杀速度慢,由于已知病毒越来越多,因此病毒特征码也随之增加,因此查杀速度也会越来越慢。不能检测未知病毒和多态性病毒以及隐蔽性病毒。另外这种检测方法也不适合网络版杀毒软件采用,因为它会消耗我们宝贵的网络资源。
校验和法:此法计算文件的校验和(只要知道是一种算法就可以了)并保存,可定期或调用文件时进行对比,从而判断文件是否被病毒感染。虽然此法可以发现未知病毒,但由于其较高的误报率,已经逐渐不被采用。
优点:可发现未知病毒。
缺点:无法报出病毒名称,误报率高,当软件更新,口令修改或修改文件内容时,校验和法都可能会误报,因为这种方法无法区分文件内容的变化是不是属于正常的程序使用引起的。
行为监测法:此法根据病毒的行为特征来识别病毒,这需要对病毒行为进行详细的分类和研究,分析那些病毒共同的行为,以及正常程序的罕见行为,根据程序运行时的行为进行病毒判断和预警。
优点:由于其归纳和总结各种病毒的共同特征,因此可以发现未知病毒,对于多数未知病毒预报非常有效。
缺点:对于未知行为病毒,不能有效检测,同时也存在误报现象,对查到的未知病毒,不能识别病毒名称,因此普通用户不能对发现的未知病毒进行有效的清除。
软件模拟法:这种方法通过模拟病毒运行的方式来检测病毒特征,由于特征码法无法检测多态性病毒,虽然行为监测法可以发现病毒,但是无法确定病毒名称,也无法对其进行相应的杀除,因此产生了软件模拟法。
优点:可识别未知病毒,病毒定位准确,误报率低。
缺点:检测速度受到一定影响,消耗系统资源较高。
网络安全中的主要技术简介
随着网络的逐步普及,网络安全已成为INTERNET路上事实上的焦点,它关系着INTERNET的进一步发展和普及,甚至关系着INTERNET的生存。可喜的是我们那些互联网专家们并没有令广大INTERNET用户失望,网络安全技术也不断出现,使广大网民和企业有了更多的放心,下面就网络安全中的主要技术作一简介,希望能为网民和企业在网络安全方面提供一个网络安全方案参考。一、杀毒软件技术
杀毒软件肯定是我们见的最多,也用得最为普遍的安全技术方案,因为这种技术实现起来最为简单,但我们都知道杀毒软件的主要功能就是杀毒,功能十分有限,不能完全满足网络安全的需要。这种方式对于个人用户或小企业或许还能满足需要,但如果个人或企业有电子商务方面的需求,就不能完全满足了。可喜的是随着杀毒软件技术的不断发展,现在的主流杀毒软件同时对预防木马及其它的一些黑客程序的入侵。还有的杀毒软件开发商同时提供了软件防火墙,具有了一定防火墙功能,在一定程度上能起到硬件防火墙的功效,如KV300、金山防火墙、Norton防火墙等。
二、防火墙技术
“防火墙”是一种形象的说法,其实它是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安关(scuritygateway),从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常这局域网或城域网)隔开的屏障。
防火墙如果从实现方式上来分,又分为硬件防火墙和软件防火墙两类,我们通常意义上讲的硬防火墙为硬件防火墙,它是通过硬件和软件的结合来达到隔离内、外部网络的目的,价格较贵,但效果较好,一般小型企业和个人很难实现;软件防火墙它是通过纯软件的方式来达到,价格很便宜,但这类防火墙只能通过一定的规则来达到限制一些非法用户访问内部网的目的。现在软件防火墙主要有天网防火墙个人及企业版,Norton的个人及企业版软件防火墙,还有许多原来是开发杀病毒软件的开发商现在也开发了软件防火墙,如KV系列、KILL系列、金山系列等。
硬件防火墙如果从技术上来分又可分为两类,即标准防火墙和双家网关防火墙。标准防火墙系统包括一个UNIX工作站,该工作站的两端各接一个路由器进行缓冲。其中一个路由器的接口是外部世界,即公用网;另一个则连接内部网。标准防火墙使用专门的软件,并要求较高的管理水平,而且在信息传输上有一定的延迟。双家网关(dualhomegateway)则是标准防火墙的扩充,又称堡垒主机(bationhost)或应用层网关(applicationslayergateway),它是一个单个的系统,但却能同时完成标准防火墙的所有功能。其优点是能运行更复杂的应用,同时防止在互联网和内部系统之间建立的任何直接的边界,可以确保数据包不能直接从外部网络到达内部网络,反之亦然。
随着防火墙技术的发展,双家网关的基础上又演化出两种防火墙配置,一种是隐蔽主机网关方式,另一种是隐蔽智能网关(隐蔽子网)。隐蔽主机网关是当前一种常见的防火墙配置。顾名思义,这种配置一方面将路由器进行隐蔽,另一方面在互联网和内部网之间安装堡垒主机。堡垒主机装在内部网上,通过路由器的配置,使该堡垒主机成为内部网与互联网进行通信的系统。目前技术最为复杂而且安全级别的防火墙是隐蔽智能网关,它将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问,同时阻止了外部未授权访问对专用网络的非法访问。一般来说,这种防火墙是最不容易被破坏的。