用簡單的話說,防毒引擎就是一套判斷特定程式行為是否為病毒程式(包括可疑的)的技術機制。
一般來說,判斷防毒引擎好壞應從多方面綜合考慮,主要包括:掃瞄速度、資源占用、清毒能力、對於多型病毒的檢測,脫殼能力、解密能力、對抗花指令能力、對抗改入口點的變種病毒的能力等對抗變種病毒、免殺的能力,還有穩定性、相容性。
傳統反病毒特徵值掃瞄技術,由反病毒樣本分析專家通過逆向反編譯技術,使用反編譯器(ollydbg、ida、trw等)來檢查可疑樣本檔案是否存在惡意**,從而判定程式檔案是否屬於正常程式或病毒、惡意軟體。在確認程式為病毒、惡意軟體後,不同的安全廠商根據自己的標準對此可疑程式樣本進行特徵提取和樣本命名(不同安全廠商有自己規定的特徵提取點和樣本命名規則)。最後經過測試部門測試通過後,更新到伺服器,提供使用者的本地病毒庫更新。在使用者作業系統正常監控或使用者手動掃瞄後,利用防毒引擎對系統上的檔案自動進行特徵值提取並與病毒庫中已存特徵值比對,條件符合即比對結果為真時,即判斷此檔案為病毒庫中記錄的特徵值對應的病毒名稱的病毒(惡意軟體)。
病毒、惡意軟體通常最初的指令是直接讀寫磁碟操作、解碼指令,或獲取系統目錄(getsystemdirctory)、獲取磁碟型別(getdrivetype)、開啟服務管理器(openscmanager)等相關操作指令序列。這些都是病毒樣本分析專家分析中得到的經驗。
傳統的反病毒軟體引擎使用的是基於特徵碼的靜態掃瞄技術,即在檔案中尋找特定十六進製制串,如果找到,就可判定檔案感染了某種病毒。但這種方法在當今病毒技術迅猛發展的形勢下已經起不到很好的作用了。為了更好的發現病毒,相繼開發了所謂的啟發式,主動防禦等相關技術。
防毒軟體引擎
轉貼 防毒軟體的引擎 鄭重宣告 本貼原作者為走走看看 很多人認為諾頓企業版和個人板採用的引擎完全一致這種理解不很正確。實際上企業版在個人板的技術上還是有改進的。zdnet上刊登過一篇文章指出 企業版和個人版引擎的核心規則完全一樣,但在前端檔案匯入部分企業版是優於個人版的,企業版使用了更多的api介面...
模板引擎原理
1 模板概念 通常是指嵌入某種動態程式語言 的文字,資料和模板通過某種形式的結合可以變化出不同的結果,模板通常用來定義顯示的形式,能夠使資料展示更加豐富,而且容易維護 2 模板的好處 1 簡化了html書寫 2 通過程式設計元素 比如迴圈和條件分支 對資料的展現更具有控制力 3 分離資料與展現,使得...
防毒軟體實時防毒的奧秘
防毒軟體實時防毒的奧秘 define device main include ifshook.h undef device main typedef eventhdl pevent pev,pioreq pir typedef struct monitored files monitored fil...