微点交流论坛
» 游客:  注册 | 登录 | 帮助

 

 20  1/2  1  2  > 
作者:
标题: 杀毒软件天书(入门级介绍)
046569
版主

第五城市市长


积分 190
发帖 196
注册 2007-8-13
#1  杀毒软件天书(入门级介绍)

杀毒软件天书(入门级介绍) 原文地址:41412418.qzone.qq.com发表时间:2007年11月26日 22时44分54秒      
好长时间没有更新日志了,因为比较忙,或者说比较懒。近期我会更新的勤快些,希望对大家能有所帮助。文章写的比较啰嗦,力求通俗易懂。大家看了如果有什么问题可以跟帖。
关键字:病毒、病毒检测、杀毒软件检测、杀毒软件、免杀、行为判断、主动防御。
所需前置知识:无。
曾经我们都有过这样的疑问:
1.什么是病毒?
2.杀毒软件又是如何判定一个文件是不是病毒的?
3.为什么我装了杀毒软件可是仍然中毒?
下面让我们逐步揭开它的神秘面纱,一起走入迷人的编程世界。
首先回答第一个问题:简单的说,病毒就是一段具有破坏性的程序代码。这个范围比较广,通常包括普通病毒、蠕虫和特洛伊木马。三者的界限并不是十分清晰的。只要是你觉得对你有害的程序,都可以归为病毒。
第二个问题&第三个问题:杀毒软件判定病毒通常有两种方法:一是特征码匹配(这是主要的,市面上绝大多数杀软都使用这种技术。如果你不会分辨的话,046569教你个简单方法,凡是有扫描技术的杀毒软件99%是特征码匹配。),二是行为判断,或者叫主动防御(目前看实现的比较好的是国产的杀毒软件:微点。www.micropoint.com.cn至于众所周知的卡巴斯基、瑞星,我们以后如果有时间会做个专门的比较,到时候大家就知道孰优孰劣了)。这两个概念我们会依次介绍并做个简单的分析对比。
特征码匹配:了解这个概念首先必须明确什么叫特征码?这里我们举个小例子。你说你为什么能分辨出谁是你的朋友,谁又是你的家人呢?你会说:他们长得不一样啊!对,他们长得不一样用计算机的语言说就是他们的特征不同。而程序的特征表现形式就是特征码。反病毒专家从病毒样本中提取病毒的特征码并加入病毒库,这样我们在升级后就可以查杀这种病毒了。但是显而易见,这种方法有很多缺陷。比如人可能长得一摸一样,所以使用特征码检测病毒也存在误报的现象(前一段时间黑防网站发生了“伪挂马事件”,就是个典型)。我们只有先发现了病毒,然后才能提取特征码,这就决定了我们防御的滞后性。一个很常见的情况是,你在升级过杀毒软件后才能扫描出木马。可这时,你已经中毒了。另外如果你的父母进行了整容,可能你就不认识了;病毒也是如此。如果病毒的制造者修改了病毒的特征码,杀毒软件就不认识病毒了,当然就查不出来了。这种让病毒不被杀毒软件查杀的技术就是黑客口中的“免杀”。免杀技术的流行使很多杀毒软件形同虚设。很多病毒开始使用随机自变异来逃避杀毒软件的检测。熊猫烧香是一个不错的案例,很多人(程序员、骇客)甚至用“伟大”一词,来形容李俊。他开创了一个新的思路。“熊猫烧香”、“金猪报喜”等事件让人们看到了传统杀毒软件的缺陷,人们在寻找一种更好的方法来从根本上防止病毒,基于这种想法,行为判断技术(即主动防御)出现了。
行为判断技术:通过程序的行为来对病毒加以区分。我们都知道:病毒和正常的软件的行为是不一样的。所以一个有经验的反病毒专家仅仅需要看到一个程序的开头几行代码就可能分辨出它是不是病毒。这样,我们需要一个拟真型的反病毒专家。他可以通过程序的行为来区分病毒,而不是程序本身,大大降低了误报率。同时,程序可能有千万种,但是程序的行为却是有数的(这可能比较难以理解,但你想想,程序可以实现很多功能。不过再多的功能不也是程序员一点一点写出来的么?这像是做数学题一样,变化再多,最后还离不开那十个阿拉伯数字)。病毒制造者绞尽脑汁想出一种传播方法,而我们的反病毒专家只需要截获一个样本就可以彻底堵死他的传播途径。我们在根本上变成了以逸待劳。更何况,突破的思路是很难的。圈子内的人不是10W叫卖能过微点的木马么?由此可以看出,行为判断技术是未来杀毒软件的发展方向。
OK,本节课就到这里,不知道大家觉得怎么样呢?以后我还会陆续更新一些文章,敬请关注。在此祝福刘旭:愿微点越来越好;也祝福我们的国产软件:路越走越宽敞。

8K7系统安装调试中心技术总监:046569

[ Last edited by 046569 on 2007-11-26 at 23:01 ]

※ ※ ※ 本文纯属【046569】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-11-26 23:00
查看资料  访问主页  发短消息   编辑帖子
nblock
新手上路





积分 14
发帖 14
注册 2007-3-30
#2  

已阅

※ ※ ※ 本文纯属【nblock】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-11-27 08:42
查看资料  发短消息   编辑帖子
lotei
版主

病毒区地方父母官


积分 776
发帖 775
注册 2006-10-14
来自 被人们遗忘了的村庄
#3  

特征码和行为技术的比较,行为技术优势明显,但程序行为分析判断技术也不是一般人就能完全开放并成为产品,在这里比较佩服微点的技术!希望继续努力!该文是楼主的原创还是转贴!支持下!

[ Last edited by lotei on 2007-11-27 at 16:45 ]

※ ※ ※ 本文纯属【lotei】个人意见,与【 微点交流论坛 】立场无关※ ※ ※


让自己更加睿智,其实看透了!你就放下了!
2007-11-27 12:19
查看资料  发送邮件  发短消息   编辑帖子
046569
版主

第五城市市长


积分 190
发帖 196
注册 2007-8-13
#4  

原创饿~很快会更新下一篇,敬请期待。

※ ※ ※ 本文纯属【046569】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-11-29 18:26
查看资料  访问主页  发短消息   编辑帖子
点饭的百度空间
银牌会员




积分 2315
发帖 2236
注册 2007-11-30
#5  

好贴 卖10万过微点的木马楼主有没有样本啊

※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-2-27 17:42
查看资料  发送邮件  访问主页  发短消息   编辑帖子
sjzwang
注册用户





积分 177
发帖 177
注册 2008-2-24
#6  

看了楼主的帖子后明白了病毒的原理。学习了。

※ ※ ※ 本文纯属【sjzwang】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-2-27 19:44
查看资料  发送邮件  发短消息   编辑帖子
046569
版主

第五城市市长


积分 190
发帖 196
注册 2007-8-13
#7  



  Quote:
Originally posted by 点饭的百度空间 at 2008-2-27 17:42:
好贴 卖10万过微点的木马楼主有没有样本啊

现在陆续涌现了很多过微点的办法,你可以自己多看看。

※ ※ ※ 本文纯属【046569】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-2-28 13:16
查看资料  访问主页  发短消息   编辑帖子
ashen307
新手上路




积分 7
发帖 7
注册 2007-3-3
#8  

学习中,期待下一篇!

※ ※ ※ 本文纯属【ashen307】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

太姥仙都网欢迎您 http://taimu.net.cn/
2008-2-29 05:55
查看资料  发送邮件  发短消息  QQ   编辑帖子
zhanglong1983
新手上路





积分 1
发帖 1
注册 2008-5-26
#9  

这也叫精华贴,太垃圾了点吧

※ ※ ※ 本文纯属【zhanglong1983】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-6-7 11:41
查看资料  发送邮件  发短消息   编辑帖子
hu331
新手上路





积分 1
发帖 1
注册 2008-6-20
#10  

期待微点技术的成熟,新一代防病毒软件

※ ※ ※ 本文纯属【hu331】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-6-20 16:42
查看资料  发送邮件  发短消息   编辑帖子
 20  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]


北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号