防毒軟體的查殺病毒的原理以及木馬病毒的免殺伎倆

一直都在研究木馬病毒，逆向工程，但是一直都沒有怎麼寫過文章，為了鞏固自己的知識不忘記，所以把自己所學的東西都寫出來（自己也是個菜鳥，呵呵），希望對愛好程式的朋友有幫助，有些東西自己也說的不是那麼清楚，所以也會到網上找些，我也盡量的寫的通俗，易懂。

防毒軟體查殺病毒的原理

話說當年中國第一批病毒石頭和小球病毒跟隨著軟盤悄悄地通過香港和美國進入了中國內地，並在人們得懵懵懂懂之間在大型企業和研究所之間廣為傳播，那時候中國人們猛然驚醒，甚至有帶著口罩使用計算機的鬧劇發生。

事實上我們要認識到，病毒也是一段程式，跟普通程式看上去並沒有什麼差別，只是實現了一些比較「不和諧」的功能罷了。況且病毒的種類很多，木馬事實上嚴格歸類也是屬於病毒的一種。不同病毒的**各不相同，因此防毒軟體不能用乙個固定的模型來判別所有的病毒程式。這麼一來，計算機病毒就存在不可識別性，查殺病毒就必須先蒐集已知病毒的樣本，然後通過剖析病毒，再將病毒傳播感染的過程逆向過來，使得被感染的電腦程式恢復原狀.

現在常見的防毒軟體查殺病毒技術主流有兩種：特徵碼查殺和啟發式查殺。

所謂特徵碼查殺技術，就是指防毒軟體將已知的病毒進行分析後，提取出該病毒的一組特徵碼，什麼是特徵碼，我們知道，任何程式**都有他自己的特點。就像世界上永遠沒有兩片相同的葉子，特徵碼病毒檔案中一句或者幾句特殊的**。通過特徵碼，防毒軟體就能認出這程式是病毒程式。

病毒的特徵碼主要分為：檔案特徵碼（病毒存放在硬碟上的階段）和記憶體特徵碼（病毒存已經到記憶體中的階段）等。

病毒特徵碼的提取主要還是要辛苦防毒軟體背後默默付出的分析人員的主觀分析。他們絕對是園丁式的人物，日日夜夜的對著病毒**進行跟蹤、除錯、反彙編，最終在長達幾千位元組的病毒檔案中提取最典型最獨特的十幾個位元組程度的特徵**……由於不同的防毒軟體有不同的園丁哈，所以同乙個病毒程式做了特徵碼免殺，他丫丫這個過了殺軟免殺，那個確還是被殺，簡直沒完沒了的原因就是：特徵碼因為是園丁不辭辛苦提取出來的，所以不同殺軟對同一病毒總是提取出不同的特徵碼~ 有些人可能會問了：「乙個病毒有那麼多特徵碼呀？」那這麼回答：「難道你除了***官長得跟別人不一樣之外，其他都一樣嗎？！」同理可證哈…… 又有同學會發問了：「要是丫丫的剛好有乙個正經的程式也純在這麼乙個相同的特徵碼組合的話怎麼辦？」小甲魚笑笑答道：「這就會產生傳說中的……誤殺！」。事實上這比中彩票要難點哈，小甲魚給大家舉個例子：就當一段特徵碼有十個位元組，那麼每個位元組有八位，十個位元組有多少種不同組合的排列？趕緊的算，中學概率題的說……答案是：2^8^10（^代表次方），捏手算下大概結果是1208925819614629174706176種不同的組合，你說中彩票容易還是誤殺容易？？

所謂啟發式查殺技術，說白了就是蜜罐策略。什麼是蜜罐策略呢？這個技術可先進了去……一般情況下是通過虛擬機器技術通過虛擬乙個執行環境的方式來執行需要檢查的檔案，只要你的檔案發作，呵呵，他不就知道你是病毒咯~那他怎麼知道你發作呢？事實上我們說過了，病毒也是一段程式哈。但是呀，病毒終歸是病毒，它始終是要做壞事的，例如感染、而已刪除檔案、感染正常pe檔案、修改登錄檔、新增自啟動等等，他也可能通過呼叫系統底層函式來免殺殺軟，或者進行更深層的 rootkit隱藏……這一切一切因為他都是要呼叫系統的api 函式來進行操作的，所以這個虛擬環境就能夠由此偵測出來咯~

但是虛擬機器技術由於存在誤殺可能性比較大，目前僅是作為特徵碼查殺技術的一種補充而已，用於防範未知病毒。

為啥誤殺的可能性比較大？嘿嘿，你想想系統搞那麼多api 函式來幹啥？不就是來用的嘛~要是用一下這個函式就說是病毒，那跟那把水果刀在家裡切黃瓜就被警察以殺人罪槍斃有何不同？？

好了，希望我繼續有毅力把文章寫下去！加油！

防毒軟體的查殺病毒的原理以及木馬病毒的免殺伎倆

未名病毒自動禁用防毒軟體的查殺

手動查殺病毒的一般方法

防毒軟體實時防毒的奧秘

防毒軟體的查殺病毒的原理以及木馬 病毒的免殺伎倆

未名病毒 自動禁用防毒軟體 的查殺

手動查殺病毒的一般方法

防毒軟體實時防毒的奧秘

相關推薦

防毒軟體的查殺病毒的原理以及木馬病毒的免殺伎倆

未名病毒自動禁用防毒軟體的查殺