|
安全软件的反病毒技术 启发式扫描 无论是特征码还是基因码,其原理都是通过分析已知病毒,然后对这些病毒及其变种进行防御。这样一来,从机制上来说,明显很难对全新的威胁进行防御。于是,人们就意识到需要改变查杀病毒的思路。跟着病毒的步子走,只会永远处于被动。
启发式扫描是一种目前比较主流的对付新型病毒的方式。如其名字一样,这种扫描会“启发”一下各种可执行程序,然后根据这些程序的行为进行判断,比较类似于钓鱼——用只有病毒才会咬钩的饵料,把病毒给钓上来。
启发式的实现途经主要利用了虚拟机技术,以及智能分析技术。启发式会在用户的电脑上模拟一个虚拟环境,类似于虚拟机,和实机的环境隔绝,无论虚拟机里面发生什么事情,都不会影响到实机。当运行启发式扫描的时候,可执行程序会被装入虚拟环境,并被诱发执行。如果里面虚拟环境里面有一个货是病毒,很明显这货就会疯狂侵染虚拟机。这时候,杀软只要笑嘻嘻地把这货关进小黑屋就可以了。 实际上,在安全专家眼中,病毒和普通程序的行为大不一样——普通程序不会在系统关键目录生成文件,不会在系统各处挂上钩子,不会注册乱七八糟的服务……诸如此类。启发式扫描将安全专家的一些分析思路使用智能分析技术实现,把可执行程序装入虚拟环境后,实现病毒判断的自动化。不要小看这个,这个分析技术直接关系到启发式扫描的优劣。
启发式扫描的出现一改杀软对病毒的被动,大大增加了杀软对未知威胁的抵御能力——无论你制作一个特征码基因码是怎样的病毒,只要它是病毒,就肯定会做一些奇怪的事情。这时候,警察们只需要扮演一出好戏——比如说让警花独自一人穿着暴露的衣服行走于漆黑的夜路,色狼自然会出来,这时候埋伏在周围的人一拥而上就能把事情漂亮地解决了。 当然,启发式扫描也有一些问题,具体如下: 一、各个安全厂商的水平参差不齐,启发式扫描不是绝对能发现未知病毒。相信大家都看过什么怪盗基德怪盗罗宾汉,即使全城警察都埋伏在博物馆,怪盗依然能够偷走宝物并全身而退。同样,遇到手法高明的病毒,启发式扫描也会瞎了眼。
二、误杀率高。接近走夜路的女子的人,并不一定是色狼,也许他只是想借十来块钱打车回家呢?但是埋伏在周围的警察可听不懂你说什么,一并把你投大牢去。这时候,用户的判断力就十分重要了。 启发式扫描对所有免杀技术都有良效——病毒终究要执行的,启发式会诱使病毒执行,这时大多数病毒就会露出马脚。目前启发式扫描做得比较出彩的杀软有nod32、小红伞等。
|
正在阅读:矛和盾的游戏 小谈病毒免杀和安软原理矛和盾的游戏 小谈病毒免杀和安软原理
2013-08-01 15:36
出处:PConline原创
责任编辑:censi
键盘也能翻页,试试“← →”键
| 本文导航 | ||
|
