防病毒软件技术:主动防御和启发式杀毒
第一个计算机病毒出生在80年代末。然后有一个工具来清除病毒的杀毒软件。在这期间,病毒所使用的技术是比较简单的,这是比较容易察觉的,和最广泛使用的方法是特征码匹配。但是,为了逃避杀毒软件的查杀,病毒开始进化,逐渐演变成一种形式的变形。一旦被感染,它就会变成一种形式,通过自身的变形逃避杀戮。第一个计算机病毒出生在80年代末。然后有一个工具来清除病毒的杀毒软件。在这期间,病毒所使用的技术是比较简单的,这是比较容易察觉的,和最广泛使用的方法是特征码匹配。但是,为了逃避杀毒软件的查杀,病毒开始进化,逐渐演变成一种形式的变形。一旦被感染,它就会变成一种形式,通过自身的变形逃避杀戮。
因此,对同一种病毒的病毒大量增加,和杀毒软件已不能适应当前的网络安全完全基于病毒库和签名技术。然后,他出现在广谱特征的概念,该技术是在一段时间内,一个处理病毒的方法提供了一定的变形,但也使误报率大大增加,所以广谱签名技术的使用也没有有效的对新的和未知的病毒查杀,所以现在很多杀毒软件,以适应当前威胁的新技术和新的特征是什么,以及如何实现它
主动防御技术
由于传统的病毒扫描的杀毒软件是基于非常被动,只有在新的措施来应对病毒的出现,病毒感染者病毒可能是在产品被杀毒软件厂商截获并进入用户的计算机添加到病毒,因为病毒的特征代码没有添加到病毒库,杀毒软件会让病毒被认为是一个正常的文件,让用户的计算机被病毒感染。因此,该行业将能够探测和拦截的方法称为防御未知威胁的主动防御;
杀毒软件是一种滞后,被业界公认为杀毒软件的弊端,主动防御是解决这一问题的有效方法,主动防御技术主要针对未知病毒提出的病毒查杀技术。在没有病毒样本的情况下,对病毒进行全面有效的保护,防止病毒的传播,并从技术层面上对未知病毒产生影响。
一是在未知病毒和未知的程序,通过行为判断技术识别未知病毒最残饵和品种。另一方面,通过监测漏洞和攻击,我们可以防止病毒攻击其他计算机利用系统漏洞,防止病毒爆发。
然而,由于主动防御的概念,不同厂商的技术水平差距较大,最显著的是缺陷经常出现大量的误报或误杀,或是行为监测和病毒监测方法等效于主动防御的结合,虽然病毒运行行为监测报警,但即使用户选择拒绝手术不能阻止病毒运行。
启发式的毒物检测方法
说到主动防御,我们必须提到启发式搜索技术。启发式搜索技术是一种主动防御技术。这是对付未知病毒的主要方法。从工作原理可以分为静态启发式和动态启发式两种。
启发式指的自我发现的能力;或判断事物的一些方式或方法的知识和技能;,无论是杀毒软件的逻辑结构可以分析包含恶意程序功能的代码文件,或通过在一个安全的虚拟环境中的主动代码确定是否实施恶意行为。在业内,前者称为静态代码分析,后者是一个动态的虚拟机。
静态启发式是指通过病毒的典型指令在静态状态下识别病毒的方法,是对传统特征码扫描的补充,病毒程序与正常应用程序在启动时有很大的区别。
通常在原来的指令程序,检查命令行的输入参数,没有屏幕并保存原来的屏幕显示,和病毒程序通常最初的指令是直接写盘操作,解码指令,或寻找一个可执行程序等相关操作指令序列路径。静态启发式是反编译简单的技术,这是用来检查病毒病毒程序头的静态指令。
与静态启发式相比,动态启发式算法是复杂而先进的,动态启发式通过杀死软内建虚拟机技术,构造了一个模拟病毒环境,并诱导病毒在软杀伤模拟缓冲区中运行。如果在操作过程中发现可疑操作,则将其视为一个危险的程序并进行截获,这种方法有助于识别未知病毒,对Shell病毒仍然有效,但如果控制不好,就会出现许多误报。
动态启发式考虑资源占用的问题,所以目前只能使用更保守的虚拟机技术。然而,由于动态启发式判断的许多不可替代的优势,它仍然是一个最有效的方法来检测未知病毒和可靠,已广泛应用于各种软质制品。
由于许多传统技术的强大优势,必将得到广泛的应用和迅速的发展。启发式代码分析技术的应用(纯没有任何先验的测量目标病毒样本的研究和了解),已能达到以上的病毒检测率和误报率极易控制在0.1% 80%,在这项研究中已知的病毒提取的基础上只使用传统的其特征扫描技术的病毒检测软件,是不可想象的。
启发式反病毒技术代表了未来抗病毒技术发展的必然趋势,具有一些人工智能的药物控制技术的特点,展示了通用性的可能性,不依赖于病毒检测技术和产品的升级。