经过了很多年的发展,防病毒技术已经日渐成熟,各种防病毒产品所使用的技术也日渐趋同,形成了相对稳定的技术底层。在这里我们介绍几种主流的通用防病毒技术,希望给大家了解、评估和使用防病毒软件带来一定的帮助。
特征码识别
这种病毒检测技术建立于一种认知,那就是对任何一个病毒来说,都可以从二进制角度找到其独一无二的特征,从而用于该病毒的识别。通常情况下,反病毒工作人员需要检测感染病毒的文件,并追踪和分析病毒的感染行为,从而抽离出有别于其它病毒程序的一段特征码。通过这段特征码,防病毒软件可以对检测到的文件进行比对操作,并将符合该特征的程序文件识别为病毒。事实上,防病毒软件所应用的特征码识别技术是一种基于人工辨识病毒的过程,同时将比对和判别工作自动化。虽然特征码识别机制从原理角度来说比较简单,但却是至今为止应用最为成熟的防病毒技术,其中一个主要因素是特征码识别技术的可预期性,只要满足了特定的条件和过程,就能够有效的完成病毒识别。一方面,这意味着所有的病毒都可以基于这种机制进行处理,使得特征码识别具有了极高的普适性;另一方面,这种检测方法的误警率也相对较低,在一定程度上保证了病毒检测的准确性。当然,特征码识别也有很多局限性,例如一些具有动态变化特征或使用复杂机制隐藏行为代码的病毒较难抽取出特征码,这时候往往需要加入一些辅助技术才能很好地完成对病毒的识别。另外,由于特征码的分析过程以及之后将其更新到用户计算机的过程势必要花费一些时间,这决定了特征码识别始终是一种被动性的病毒防护技术,在病毒发布到特征码更新之间的这个时段,用户始终要受到病毒的威胁。当然,从实际的可操作性角度考虑,由于病毒的制造速度越来越快,基于特征码的各种防病毒产品在病毒库更新方面的负担也正在不断加大,厂商必须投入越来越多的资源,用于病毒特征码的分析以及病毒更新库的制作。
|
文件校验
这是一种在防病毒领域应用广泛的辅助检测技术,通过事先对计算机中的文件生成校验数据,防病毒软件可以在扫描过程中或使用这些文件之前判别这些文件是否经过改变。这种机制的好处在于既可以应用于已知病毒检测也可以应用于未知病毒检测,不过由于一些类型的文件经常发生变动,所以文件校验技术在这类文件的检测过程中起到的作用较小。
|
启发式检测
为了更好的检测未知病毒,从很早开始防病毒厂商和技术团体就开始尝试将人工智能领域的一些技术融入到反病毒领域,因为只有当计算机具有了与人类对等的智慧才可能有效的识别未知病毒,而这其中应用较多的是被称为启发式检测的技术。透过维护一组人工智能规则,防病毒软件可以分析和评估一个程序有多大的可能是病毒程序,得出的意见将被用于防病毒引擎的最终评估,同时可以反馈给用户进行决策。在实际的工作过程中,启发式扫描工具会基于特征、行为等多种要素进行检测,从而评估出目标程序的总体可疑程度,如果超过了预先定义的阀值则将该程序视为病毒处理。总体来说启发式检测并不是一种精确的技术,基于概率和加权得到的分析结果,尚只能作为病毒界定的参考。
行为检测
与通过静态的特征码识别病毒不同,行为检测技术通过分析病毒的动态行为来达到识别的目的。绝大多数的病毒程序都带有一些恶意行为,可能是某种感染方式,也可能是某种传播手段,通过总结和提炼这些特定的行为,防病毒软件就能够发现其它使用了相同行为的病毒,甚至是未知病毒。常见的病毒行为包括了向程序文件嵌入内容、截取系统中断、修改系统配置、与系统中的程序进行职责切换等等,通过统计分析已知病毒的行为集合,就可以用于发现更多的病毒。在实际使用当中,行为检测也依赖于很多其它的技术,例如虚拟机机制。因为如果当病毒行为执行完成后系统已经遭受感染和破坏,所以行为检测技术往往与虚拟机配合使用,在防病毒程序建立的虚拟计算环境中执行目标程序,以在病毒代码实际执行前检测出可疑的行为。
本文转自 离子翼 51CTO博客,原文链接:http://blog.51cto.com/ionwing/89152,如需转载请自行联系原作者
