|
|
|
典型的反病毒技术有特征值查毒法、校验和技术、启发式扫描技术、虚拟机技术、行为监控技术、主动防御技术等。
|
|
|
|
|
|
特征值扫描是目前国际上反病毒公司普遍采用的查毒技术,其核心是从病毒体中提取病毒特征值构成病毒特征库,杀毒软件将用户计算机中的文件或程序等目标,与病毒特征库中的特征值逐一比对,判断该目标是否被病毒感染。
|
|
|
|
目前绝大多数反病毒软件都采用了特征值查毒技术。这类反病毒软件不可缺少的两个部分是反病毒引擎和病毒特征库。反病毒引擎用来对疑似病毒样本文件进行扫描,其需要根据病毒特征库的特征条目来确定该疑似病毒样本文件是否包含了特定的计算机病毒。
|
|
|
|
目前,特征值检测技术已被公认是检测已知病毒最简单有效的方法。传统的特征串检测技术实现步骤如下:
|
|
|
|
(1)采集已知的病毒样本。即使是同一种病毒,当它感染不同的宿主时,就要采集多种样本。即如果病毒既感染COM文件,又感染EXE文件以及引导区,那就要提取三个样本。
|
|
|
|
(2)在病毒样本中,抽取特征串。抽取的特征串应比较特殊,不要与普通正常程序代码w吻合,当抽取的特征串达到一定长度时,就能保证这种特殊性。抽取的特征串要有适当长度,这保证了特征串的唯一性,同时查毒时又不需太大的空间和时间开销。
|
|
|
|
|
|
在实际应用中,反病毒软件使用反病毒引擎打开被检测文件,在文件中搜索,检查文件中是否含有病毒特征数据库中的病毒特征串。由于特征串与计算机病毒一一对应,如果发现病毒特征串,便可以判断被查文件中染有何种病毒。
|
|
|
|
特征值检测方法的优点是:检测准确、可识别病毒的名称、误报警率低,并且依据检测结果可做解毒处理。其缺点是:
|
|
|
|
(1)开销大、查杀速度慢。搜集已知病毒特征串的费用开销大。随着病毒种类的增多,获得分析样本的时间变长。另外,样本数急剧增加,目前各大反病毒公司的样本库记录都在几十万条以上,虽然样本数量和查杀速度不是线性关系,但进行病毒扫描的时间开销无疑将会逐渐增大。
|
|
|
|
(2)不能检查未知病毒和多态性病毒。特征值检测方法是不可能检测多态性病毒的,因为其代码不唯一。虽然目前有些反病毒厂商在提取特征码时提出了一些可以提取多态性病毒共同特征码的方法,但效果有限。
|
|
|
|
|
|
计算正常文件的内容和正常的系统扇区的校验和,将该校验和写入数据库中保存。在文件使用/系统启动过程中,检查文件现在内容的校验和与原来保存的校验和是否一致,因而可以发现文件/引导区是否感染,这种方法称为校验和检测技术。
|
|
|
|
校验和检测技术的优点是:方法简单、能发现未知病毒、被查文件的细微变化也能发现。其缺点是:必须预先记录正常文件的校验和、会误报警、不能识别病毒名称、不能对付隐蔽型病毒和效率低。
|
|
|
|
|
|
启发性扫描主要是分析文件中的指令序列,根据统计知识,判断该文件可能感染或者可能没有感染,从而有可能找到未知的病毒。因此,启发性扫描技术是一种概率方法,遵循概率理论的规律。
|
|
|
|
启发式扫描技术仍然是一种正在发展和不断完善的技术,但已经在大量优秀的反病毒软件中得到迅速的推广和应用。按照最保守的估计,一个精心设计的启发式扫描软件,在不依赖任何对病毒预先的学习和辅助信息,如特征值、校验和等的情况下,可以检查出许多未知的新病毒。当然,可能会出现一些虚报/谎报的情况。
|
|
|
|
|
|
多态性病毒每次感染都改变其病毒密钥,对付这种病毒,普通特征值检测方法失效。因为多态性病毒对其代码实施加密变换,而且每次传染使用不同密钥。把染毒文件小的病毒代码相互比较,也不易找出相同的可作为病毒特征的稳定特征值。虽然行为监测技术可以检测多态性病毒,但是在检测出病毒后,无法做病毒清除处理,因为不知该病毒的具体特性。
|
|
|
|
一般而言,多态性病毒采用以下几种操作来不断交换自己:采用等价代码对原有代码进行替换;改变与执行次序无关的指令的次序;增加许多垃圾指令;对原有病毒代码进行压缩或加密。但是,无论病毒如何变化、每一个多态病毒在其自身执行时都要对自身进行还原。为了检测多态性病毒,反病毒专家研制了一种新的检测方法——“虚拟机技术”。该技术也称为软件模拟法,它是一种软件分析器,用软件方法来模拟和分析程序的运行,而且程序的运行不会对系统起实际的作用(仅是“模拟”),因而不会对系统造成危害。其实质都是让病毒在虚拟的环境执行,从而让其原形毕露、无处遁形。
|
|
|
|
目前大多数反病毒软件都采用了虚拟机技术,反病毒软件开始运行时,使用特征值检测方法检测病毒。如果发现隐蔽式病毒或多态性病毒,启动软件模拟模块,监视病毒的运行,待病毒自身的加密代码解码后,再运用特征值检测方法来识别病毒的种类。
|
|
|
|
|
|
病毒不论伪装得如何巧妙,它总是存在着一些和正常程序不同的行为。例如病毒总要不断复制自己,否则它无法传染。再如,病毒总是要想方设法地掩盖自己的复制过程,如不改变自己所在文件的修改时间等。病毒的这些伪装行为做得越多,特征值检测技术越难以发现它们,由此反病毒专家提出了病毒行为监测技术,专门监测病毒行为。行为监控是指通过审查应用程序的操作来判断是否有恶意(病毒)倾向并向用户发出警告。这种技术能够有效防止病毒的传播,但也很容易将正常的升级程序、补丁程序误报为病毒。病毒程序的伪装行为越多,它们露出的马脚就越多,就越容易被监测到。
|
|
|
|
人们通过对病毒多年的观察、研究,发现病毒有一些共同行为。在正常应用程序中,这些行为比较罕见。这就是病毒的行为特性。
|
|
|
|
|
|
主动防御技术是指以“程序行为自主分析判定法”为理论基础,其关键是从反病毒领域普遍遵循的计算机病毒的定义出发,采用动态仿真技术,依据专家分析程序行为、判定程序性质的逻辑,模拟专家判定病毒的机理,实现对新病毒提前防御。
|
|
|
|
主动防御是一种阻止恶意程序执行的技术。它比较好的弥补了传统杀毒软件采用“特征码查杀”和“监控”相对滞后的技术弱点,可以在病毒发作时进行主动而有效的全面防范,从技术层面上有效应对未知病毒的肆虐。
|
|
|
|
主动防御技术并不是一项全新的技术,从某种程度上说,其集成了启发式扫描技术和行为监控及行为阻断等技术。
|
|
|
