- 1、本文档共4页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
08年杀毒软件3种主要杀毒模式
以下文章部分转载自瑞星网络,其余均为黑客基地版主 逐渐变黑编写,转载请保留作者及出处。
作者:逐渐变黑
免杀知识前瞻第1节
杀毒软件的几种杀毒模式
在网络安全平民化的今天,病毒的使用已经不再是一个什么新鲜的话题。 而随着病毒的不断增多和变种。杀毒软件的病毒有哪些信誉好的足球投注网站引擎。也不断的更新换代。从最开始的判断PE。文件大小。到现在的特征码查杀。主动防御。等等。可谓是层出不穷,但上有政策,下必然有新的对策。杀毒软件更新,病毒免杀技术也随之接受新的挑战。今天。我们就从杀毒软件的几种杀毒模式中,给大家讲解木马免杀技术。
特征码查杀+虚拟机脱壳技术
特征码查杀技术仍然是现在多数杀毒软件所采用的。主流的杀毒技术。这种技术的主要原理是。通过大量的病毒采集,不断的更新病毒库,在病毒文件中提取一句或者多句代码。这样无疑是最准确的。不会出现病毒的错误报告。导致系统出问题。但随着各种加密壳以及压缩壳的开发出来。很多木马加壳以后就无法被杀毒软件调试,所以就出现了。找不到正确的代码。来判断不出是否是病毒文件。虚拟机脱壳技术就诞生了。最开始。杀毒软件采用硬脱壳的技术来实现对文件进行脱壳调试,加入很多以知壳的类别,但由于收集类别有限,很多壳无法脱壳调试。所以就有了现在的虚拟机脱壳技术,因为病毒不论加载什么壳。最终还是需要在电脑里面去脱壳执行,虚拟机脱壳技术是让病毒在杀毒软件特殊构造的一个虚拟环境中运行后,对其进行查杀,这样大大提高了脱壳调试效率。提高了工作水平,但不能不说的是,特征码杀毒。必须建立在有病毒样本以后。杀毒软件更新了病毒库后。才能对新的病毒进行杀毒。这也就出现了。一个很大的隐患,一旦出现传播技术很广的未知病毒。用户还是不能及时杀毒。但很多情况下。这种不及时是毁灭性的。这种比病毒慢一拍的杀毒方式。逐渐已经显出不足的地方。提高病毒库收集样本。提高病毒文件采集,将是一个非常巨大的工程。在这种情况下。杀毒软件厂商纷纷开发出自己的新型辅助反病毒技术。主动防御体系。
主动防御技术
我们通过瑞星官方为瑞星做的广告。来了解下。他们所讲的主动防御是什么概念
主动防御是一种阻止恶意程序执行的技术。它比较好的弥补了传统杀毒软件采用“特征码查杀”和“监控”相对滞后的技术弱点,可以在病毒发作时进行主动而有效的全面防范,从技术层面上有效应对未知病毒的肆虐。
??? 瑞星杀毒软件2008中采用的主动防御技术包含三个层次,资源访问规则控制;资源访问扫描;程序活动行为分析引擎,其中尤其以行为分析引擎技术最为关键。
??? 第一层:资源访问控制层(即HIPS)
??? 它通过对系统资源(注册表、文件、特定系统API的调用、进程启动)等进行规则化控制,阻止病毒、木马等恶意程序对这些资源的使用,从而达到抵御未知病毒、木马攻击的目的。
??? 第二层:资源访问扫描层(即传统的文件监控、邮件监控等)
??? 通过监控对一些资源,如文件、引导区、邮件、脚本的访问,并使用拦截的上下文内容(文件内存、引导区内容等)进行威胁扫描识别的方式,来处理已经经过分析的恶意代码。
??? 第三层:进程活动行为判定层(危险行为判定、DNA识别)
??? 进程活动行为判定层自动收集从前两层传上来的进程动作及特征信息,并对其进行加工判断。瑞星专家经过对数十万病毒的危险行为进行分析,提炼,设计出全新的主动防御智能恶意行为判定引擎。无需用户参与,该层可以自动识别出具有有害动作的未知病毒、木马、后门等恶意程序。
??? 目前,市面上的一些主动防御软件只做了三层结构中的部分功能,瑞星认为,只有全面实现三个层级的主动防御,才是真正意义上的“主动防御功能”,如果用户使用不完全的主动防御,将给自己带来严重的安全风险。
我们通过上面的讲解。可以看出来。主动防御确实在弥补特征码杀毒方面。有了一定的进步,但我们不能只相信广告的片面之词。难道有了主动防御。就真的安全了么?答案是否定的。有关主动防御的研究。不在于本教程的探讨之内。大家有兴趣。可以去网上有哪些信誉好的足球投注网站相关的文章了解破解方法。我在这里仅仅给大家举几个简单的例子来证明。当前的主动防御。是不健全的主动防御。远远没有广告中的那么效果夸张。
我们都知道
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
是注册表启动项目里最敏感的部分,在这里建立新的字符串值是可以影响系统的启动进程的。我们现在尝试在这里面建立一个新的启动项目看看。。瑞星的主动防御报警了。但注册表的启动项目有很多。它真的都能监视的过来么?我们用xyzreg的工具来测试下瑞星在其他位置的检测是否和这里一样到位 。
我们可以得出。主动防御也有防御不到的地方。并不是所有的规则都已经设置的完美。而且主动防御有一个最关键的弱点。就是如果病毒
文档评论(0)