防毒軟體中主動防禦新技術全面介紹

好的防毒軟體，重要在引擎的優秀，病毒庫越大，防毒速度肯定會降低。因為病毒庫防毒的過程，是引擎把判斷能力交給病毒庫，用病毒庫與指定的檔案進行對比判斷。

一、防毒軟體引擎與病毒庫的關係

其實病毒庫與防毒引擎沒有直接的關係，防毒引擎的任務和功能非常簡單，就是對指定的檔案或者程式進行判斷其是否合法。而病毒庫，只不過是對防毒引擎的一種補充，那個過程，就是防毒引擎對檔案或者程式判斷。明白這一點，就應該知道，好的防毒軟體，重要在引擎的優秀，病毒庫越大，防毒速度肯定會降低。因為病毒庫防毒的過程，是引擎把判斷能力交給病毒庫，用病毒庫與指定的檔案進行對比判斷。

二、加殼、脫殼

1.什麼是加殼

所謂加殼，是一種通過一系列數**算，將可執行程式檔案或動態鏈結庫檔案的編碼進行改變(目前還有一些加殼軟體可以壓縮、加密驅動程式)，以達到縮小檔案體積或加密程式編碼的目的。

當被加殼的程式執行時，外殼程式先被執行，然後由這個外殼程式負責將使用者原有的程式在記憶體中解壓縮，並把控制權交還給脫殼後的真正程式。一切操作自動完成，使用者不知道也無需知道殼程式是如何執行的。一般情況下，加殼程式和未加殼程式的執行結果是一樣的。

如何判斷乙個可執行檔案是否被加了殼呢?有乙個簡單的方法(對中文軟體效果較明顯)。用記事本開啟乙個可執行檔案，如果能看到軟體的提示資訊則一般是未加殼的，如果完全是亂碼，則多半是被加殼的。

為什麼黑客能夠利用加殼技術來對抗反病毒軟體呢?眾所周知，目前防毒軟體主要依靠特徵碼技術查殺病毒。由於加殼軟體會對原始檔進行壓縮、變形，使加密前後的特徵碼完全不同。

脫殼能力不強的防毒軟體，對付「加殼」後病毒就需要新增兩條不同的特徵記錄。如果黑客換一種加殼工具加殼，則對於這些防毒軟體來說又是一種新的病毒，必須新增新的特徵記錄才能夠查殺。如果防毒軟體的脫殼能力較強，則可以先將病毒檔案脫殼，再進行查殺，這樣只需要一條記錄就可以對這些病毒通殺，不僅減小防毒軟體對系統資源的占用，同時大大提公升了其查殺病毒的能力。

2. 脫殼

馬甲」能穿也能脫。相應的，有加殼也一定會有解殼(也叫脫殼)。脫殼主要有兩種方法：硬脫殼和動態脫殼。

第一種，是硬脫殼，這是指找出加殼軟體的加殼演算法，寫出逆向演算法，就像壓縮和解壓縮一樣。由於，目前很多「殼」均帶有加密、變形的特點，每次加殼生成的**都不一樣。硬脫殼對此無能為力，但由於其技術門檻較低，仍然被一些防毒軟體所使用。

第二種，是動態脫殼。由於加殼的程式執行時必須還原成原始形態，即加殼程式會在執行時自行脫掉「馬甲」。目前，有一種脫殼方式是抓取(dump)記憶體中的映象，再重構成標準的執行檔案。相比硬脫殼方法，這種脫殼方法對自行加密、變形的殼處理效果更好。

三、虛擬機器脫殼引擎(vue)技術

對於病毒，如果讓其執行，則使用者計算機就會被病毒感染。因此，一種新的思路被提出，即給病毒構造乙個**的環境，誘騙病毒自己脫掉「馬甲」。並且「虛擬環境」和使用者的計算機隔離，病毒在虛擬機器的操作不會對使用者計算機有任何的影響。

「虛擬機器脫殼」技術已經成為近年來全球安全業界公認的、解決這一問題的最有效利器。但由於編寫虛擬機器系統需要解決虛擬cpu、虛擬周邊硬體裝置、虛擬驅動程式等多個方面的困難。

四、啟發式防毒

病毒和正常程式的區別可以體現在許多方面，比較常見的如：通常乙個應用程式在最初的指令，是檢查命令列輸入有無引數項、清屏和儲存原來螢幕顯示等，而病毒程式則沒有會這樣做的，通常它最初的指令是直接寫盤操作、解碼指令，或搜尋某路徑下的可執行程式等相關操作指令序列。這些顯著的不同之處，乙個熟練的程式設計師在除錯狀態下只需一瞥便可一目了然。啟發式**掃瞄技術實際上就是把這種經驗和知識移植到乙個查病毒軟體中的具體程式體現。

防毒軟體中主動防禦新技術全面介紹

賽門鐵克微軟防毒軟體Forefront技術不過關

防毒軟體技術漫談啟發式對戰主動防禦

相容Vista 賽門鐵克公測新防毒軟體

防毒軟體中主動防禦新技術全面介紹

賽門鐵克 微軟防毒軟體Forefront技術不過關

防毒軟體技術漫談 啟發式對戰主動防禦

相容Vista 賽門鐵克公測新防毒軟體

相關推薦

賽門鐵克微軟防毒軟體Forefront技術不過關

防毒軟體技術漫談啟發式對戰主動防禦