正在阅读:矛和盾的游戏 小谈病毒免杀和安软原理矛和盾的游戏 小谈病毒免杀和安软原理

2013-08-01 15:36 出处:PConline原创 作者:Aimo 责任编辑:censi

安全软件的反病毒技术

  启发式扫描

  无论是特征码还是基因码,其原理都是通过分析已知病毒,然后对这些病毒及其变种进行防御。这样一来,从机制上来说,明显很难对全新的威胁进行防御。于是,人们就意识到需要改变查杀病毒的思路。跟着病毒的步子走,只会永远处于被动。

跟着病毒反应,被动得像木偶
跟着病毒反应,被动得像木偶

  启发式扫描是一种目前比较主流的对付新型病毒的方式。如其名字一样,这种扫描会“启发”一下各种可执行程序,然后根据这些程序的行为进行判断,比较类似于钓鱼——用只有病毒才会咬钩的饵料,把病毒给钓上来。

启发式扫描类似钓鱼
启发式扫描类似钓鱼

  启发式的实现途经主要利用了虚拟机技术,以及智能分析技术。启发式会在用户的电脑上模拟一个虚拟环境,类似于虚拟机,和实机的环境隔绝,无论虚拟机里面发生什么事情,都不会影响到实机。当运行启发式扫描的时候,可执行程序会被装入虚拟环境,并被诱发执行。如果里面虚拟环境里面有一个货是病毒,很明显这货就会疯狂侵染虚拟机。这时候,杀软只要笑嘻嘻地把这货关进小黑屋就可以了。

  实际上,在安全专家眼中,病毒和普通程序的行为大不一样——普通程序不会在系统关键目录生成文件,不会在系统各处挂上钩子,不会注册乱七八糟的服务……诸如此类。启发式扫描将安全专家的一些分析思路使用智能分析技术实现,把可执行程序装入虚拟环境后,实现病毒判断的自动化。不要小看这个,这个分析技术直接关系到启发式扫描的优劣。

nod32的启发式引擎犹如它的宣传画:高度智能化
nod32的启发式引擎犹如它的宣传画:高度智能化

  启发式扫描的出现一改杀软对病毒的被动,大大增加了杀软对未知威胁的抵御能力——无论你制作一个特征码基因码是怎样的病毒,只要它是病毒,就肯定会做一些奇怪的事情。这时候,警察们只需要扮演一出好戏——比如说让警花独自一人穿着暴露的衣服行走于漆黑的夜路,色狼自然会出来,这时候埋伏在周围的人一拥而上就能把事情漂亮地解决了。

  当然,启发式扫描也有一些问题,具体如下:

  一、各个安全厂商的水平参差不齐,启发式扫描不是绝对能发现未知病毒。相信大家都看过什么怪盗基德怪盗罗宾汉,即使全城警察都埋伏在博物馆,怪盗依然能够偷走宝物并全身而退。同样,遇到手法高明的病毒,启发式扫描也会瞎了眼。

遇上怪盗纵使出动全部警力也无可奈何
遇上怪盗纵使出动全部警力也无可奈何

  二、误杀率高。接近走夜路的女子的人,并不一定是色狼,也许他只是想借十来块钱打车回家呢?但是埋伏在周围的警察可听不懂你说什么,一并把你投大牢去。这时候,用户的判断力就十分重要了。

  启发式扫描对所有免杀技术都有良效——病毒终究要执行的,启发式会诱使病毒执行,这时大多数病毒就会露出马脚。目前启发式扫描做得比较出彩的杀软有nod32小红伞等。

键盘也能翻页,试试“← →”键

关注我们

最新资讯离线随时看 聊天吐槽赢奖品