2024年4月5日发(作者:安卓版win7下载)
杀毒软件相关的技术应用、安全需求以及安全保障机
制
杀毒软件技术的应用:
病毒大致分为以下几类:传统病毒,宏病毒,恶意脚本,木马、
黑客、蠕虫、破坏性程序。
1. 传统病毒:能够感染的程序。通过改变文件或者其他东西进
行传播,通常有感染可执行文件的文件型病毒和感染引导扇区的引导
型病毒;
2.宏病毒(Macro):利用Word、Excel等的宏脚本功能进行传播
的病毒;
3.恶意脚本(s cript)、:做破坏的脚本程序。包括HTML脚本、
批处理脚本、VB、JS脚本等;
4.木马(Trojan)程序:当病毒程序被激活或启动后用户无法终止
其运行。广义上说,所有的网络服务程序都是木马,判定是否是木马
病毒的标准不好确定,通常的标准是:在用户不知情的情况下安装,
隐藏在后台,服务器端一般没有界面无法配置;
5.黑客(Hack) 程序:利用网络来攻击其他计算机的网络工具,
被运行或激活后就象其他正常程序一样有界面;黑客程序是用来攻击
/破坏别人的计算机,对使用者本身的机器没有损害;
6.蠕虫(Worm)程序:蠕虫病毒是一种可以利用操作系统的漏洞、
电子邮件、P2P软件等自动传播自身的病毒;
7.破坏性程序(Harm):病毒启动后,破坏用户计算机系统,如删
除文件,格式化硬盘等。常见的是bat文件,也有一些是可执行文件,
有一部分和恶意网页结合使用。
病毒与引擎的变迁:
简单特征码
80年代末期,基于个人电脑病毒的诞生,随即就有了清除病毒
的工具──反病毒软件。这一时期,病毒所使用的技术还比较简单,
从而检测相对容易,最广泛使用的就是特征码匹配的方法。
特征码是什么呢?比如说,“如果在第1034字节处是下面的内容:
0xec , 0x99, 0x80,0x99,就表示是大麻病毒。”这就是特征码,一
串表明病毒自身特征的十六进制的字串。特征码一般都选得很长,有
时可达数十字节,一般也会选取多个,以保证正确判断。杀毒软件通
过利用特征串,可以非常容易的查出病毒。
安全需求:
杀毒软件行业发展前景、杀毒软件市场投资潜力如何?当然,网
络安全本来就是一个高度对抗、动态发展的领域,这也给杀毒软件领
域开辟了一个蓝海市场,AI杀毒行业面临着重大的发展机遇。
2022年杀毒软件行业需求及市场调研报告分析
杀毒软件行业识别和查杀病毒不再仅仅依靠本地硬盘中的病毒
库,而是依靠庞大的网络服务,实时进行采集、分析以及处理。整个
互联网就是一个巨大的“杀毒软件”,参与者越多,每个参与者就越
安全,整个互联网就会更安全。
杀毒软件行业提高管理水平和生产效率就成为企业增强竞争力
的重要因素之一,这样极大的促进了ERP软件的需求,同时,信息化
时代的来临使得企业面临信息化改革,杀毒软件行业防范黑客入侵、
网络流量控制等功能,是计算机防御系统(包含杀毒软件,防火墙,
特洛伊木马和恶意软件的查杀程序,入侵预防系统等)的重要组成部
分。
安全保障机制:
广谱特征
为了躲避杀毒软件的查杀,电脑病毒开始进化。病毒为了躲避杀
毒软件的查杀,逐渐演变为变形的形式,每感染一次,就对自身变一
次形,通过对自身的变形来躲避查杀。这样一来,同一种病毒的变种
病毒大量增加,甚至可以到达天文数字的量级。大量的变形病毒不同
形态之间甚至可以做到没有超过三个连续字节是相同的。
为了对付这种情况,首先特征码的获取不可能再是简单的取出一
段代码来,而是分段的,中间可以包含任意的内容(也就是增加了一
些不参加比较的“掩码字节”,在出现“掩码字节”的地方,出现什
么内容都不参加比较)。这就是曾经提出的广谱特征码的概念。这个
技术在一段时间内,对于处理某些变形的病毒提供了一种方法,但是
也使误报率大大增加,所以采用广谱特征码的技术目前已不能有效的
对新病毒进行查杀,并且还可能把正规程序当作病毒误报给用户。
启发式扫描
为了对付病毒的不断变化和对未知病毒的研究,启发式扫描方式
出现了。启发式扫描是通过分析指令出现的顺序,或特定组合情况等
常见病毒的标准特征来决定文件是否感染未知病毒。因为病毒要达到
感染和破坏的目的,通常的行为都会有一定的特征,例如非常规读写
文件,终结自身,非常规切入零环等等。所以可以根据扫描特定的行
为或多种行为的组合来判断一个程序是否是病毒。
这种启发式扫描比起静态的特征码扫描要先进的多,可以达到一
定的未知病毒处理能力,但还是会有不准确的时候。特别是因为无法
确定一定是病毒,而不可能做未知病毒杀毒。
行为判定
针对变形病毒、未知病毒等复杂的病毒情况,极少数杀毒软件采
用了虚拟机技术,达到了对未知病毒良好的查杀效果。它实际上是一
种可控的,由软件模拟出来的程序虚拟运行环境,就像我们看的电影
《黑客帝国》一样。在这一环境中虚拟执行的程序,就像生活在母体
(Matrix)中的人,不论好坏,其一切行为都是受到建筑师(architect)
控制的。虽然病毒通过各种方式来躲避杀毒软件,但是当它运行在虚
拟机中时,它并不知道自己的一切行为都在被虚拟机所监控,所以当
它在虚拟机中脱去伪装进行传染时,就会被虚拟机所发现,如此一来,
利用虚拟机技术就可以发现大部分的变形病毒和大量的未知病毒。
发布者:admin,转转请注明出处:http://www.yc00.com/xitong/1712294835a2036432.html
评论列表(0条)