主动防御与启发式查毒

80年代末期，基于个人电脑病毒的诞生，随即就有了清除病毒的工具──反病毒软件。这一时期，病毒所使用的技术还比较简单，从而检测相对容易，最广泛使用的就是特征码匹配的方法。然而为了躲避杀毒软件的查杀，病毒开始了进化，逐渐演变为变形的形式，每感染一次，就对自身变一次形，通过对自身的变形来躲避查杀。

这样一来，同一种病毒的变种病毒大量增加，杀毒软件单纯依靠病毒库和特征码技术已经不能适应如今的网络安全。于是，便出现了广谱特征码的概念，这个技术在一段时间内，对于处理某些变形的病毒提供了一种方法，但是也使误报率大大增加，所以采用广谱特征码的技术目前也不能有效的对新病毒和未知病毒进行查杀，那么，现如今种类繁多的杀毒软件都有哪些新技术和新特征来适应当前的病毒威胁，又是如何实现的呢？

主动防御技术

由于传统的基于病毒库扫描的反病毒软件都是很被动的，只能在新病毒出现之后才能有应付措施，一个病毒制造者所编写的病毒很有可能在被杀毒软件厂商截获并添加到产品病毒库之前进入用户电脑。

此时，由于该病毒的特征码还未添加到杀毒软件病毒库中，杀毒软件会将病毒认为是正常文件而放过，使得用户电脑被病毒所感染。因此，业界将能够主动检测和拦截未知威胁的防御方法称为“主动防御”。

杀毒软件具有滞后性，这是业界公认的一个杀毒软件弊端，而主动防御却很好的解决了这个问题。主动防御技术主要是针对未知病毒提出来的病毒防杀技术，在没有病毒样本的情况下，对病毒进行全面而有效的全面防护，阻止病毒的运作，从技术层面上有效应对未知病毒的肆虐，一是在未知病毒和未知程序方面，通过“行为判断”技术识别大部分未被截获的未知病毒和变种。

另一方面，通过对漏洞攻击行为进行监测，这样可防止病毒利用系统漏洞对其它计算机进行攻击，从而阻止病毒的爆发。

然而由于主动防御概念，各厂商技术水平不同，其效果悬殊也较大，最显著的弊端就是常常出现大量的误报或误杀，或是将行为监控和病毒特征码监测结合的方式等同于主动防御，虽然病毒运行时其行为监控有警报提示，但就算用户选择“拒绝”操作也无法阻止病毒的运行。

在《c′t》杂志对全球17款主要杀毒软件进行了测试中表明，在新病毒查杀方面，杀毒软件的平均检测率只有20%～30%，甚至低于去年的40%～50%。相比之下，只有ESET NOD32和BitDefender表现较好，查杀率分别为68%和41%。值得一提的是， ESET NOD32采用世界领先的高级启发式ThreatSense@引擎，可同时支持基因码，虚拟机，以及代码分析这三种启发式防毒技术，在查杀大部分未知病毒的同时只产生了极少的误报，为业界最低，因此ESET NOD32的ThreatSense技术被公认为主动防御技术成熟和稳定的集大成者。

启发式查毒技术

说到主动防御，不得不提起启发式查毒技术，启发式查毒技术属于主动防御的一种，是当前对付未知病毒的主要手段，从工作原理上可分为静态启发和动态启发两种。

启发式指,“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能”，是杀毒软件能够分析文件代码的逻辑结构是否含有恶意程序特征，或者通过在一个虚拟的安全环境中前摄性的执行代码来判断其是否有恶意行为。在业界前者被称为静态代码分析，后者被成为动态虚拟机。

静态启发技术指的是在静止状态下通过病毒的典型指令特征识别病毒的方法，是对传统特征码扫描的一种补充。由于病毒程序与正常的应用程序在启动时有很多区别，通常一个应用程序在最初的指令，是检查命令行输入有无参数项、清屏和保存原来屏幕显示等，而病毒程序则通常是最初的指令是直接写盘操作、解码指令，或搜索某路径下的可执行程序等相关操作指令序列。

静态启发式就是通过简单的反编译，在不运行病毒程序的情况下，核对病毒头静态指令从而确定病毒的一种技术。

而相比静态启发技术，动态启发技术要复杂和先进很多。动态启发式通过杀软内置的虚拟机技术，给病毒构建一个仿真的运行环境，诱使病毒在杀软的模拟缓冲区中运行，如运行过程中检测到可疑的动作，则判定为危险程序并进行拦截。这种方法更有助于识别未知病毒，对加壳病毒依然有效，但如果控制得不好，会出现较多误报的情况。

动态启发因为考虑资源占用的问题，因此目前只能使用比较保守的虚拟机技术。尽管如此，由于动态启发式判断技术具有许多不可替代的优势，因此仍然是目前检测未知病毒最有效、最可靠的方法之一，并在各大杀软产品中得到了广泛的应用。

由于诸多传统技术无法企及的强大优势，必将得到普遍的应用和迅速的发展。纯粹的启发式代码分析技术的应用(不借助任何事先的对于被测目标病毒样本的研究和了解)，已能达到80%以上的病毒检出率，而其误报率极易控制在0.1%之下，这对于仅仅使用传统的基于对已知病毒的研究而抽取“特征字串”的特征扫描技术的查毒软件来说，是不可想象的，启发式杀毒技术代表着未来反病毒技术发展的必然趋势，具备某种人工智能特点的反毒技术，向我们展示了一种通用的、不依赖于升级的病毒检测技术和产品的可能性。

作为启发式杀毒软件的代表产品ESET NOD32，以其完善的启发式引擎ThreatSense，超过68%的未知病毒检测率以及低于0.1%的误报率闻名遐迩。成为业界的最高水准，同时也被冠以“启发之王”的美誉

主动防御与启发式查毒相关推荐

反病毒引擎设计之虚拟机查毒篇
<script type="text/javascript">function StorePage(){d=document;t=d.selection?(d.sele ...
反病毒引擎设计(二)：虚拟机查毒
2．虚拟机查毒 2.1虚拟机概论近些年,虚拟机,在反病毒界也被称为通用解密器,已经成为反病毒软件中最引人注目的部分,尽管反病毒者对于它的运用还远没有达到一个完美的程度,但虚拟机以其诸如"病 ...
反病毒利器Autoruns和ProcessExplorer, SREng - 本人推荐使用的查毒杀毒辅助工具
Autoruns http://www.microsoft.com/technet/sysinternals/Utilities/AutoRuns.mspx ProcessExplorer http: ...
Linux的scan命令,clamscan-Linux查毒工具的命令详解
clamscan-Linux查毒工具的命令详解 clamscan命令用于扫描文件和目录,一发现其中包含的计算机病毒,clamscan命令除了扫描linux系统的病毒外,主要扫描的还是文件中包含的win ...
剑走偏锋--使用WMI获取远程计算机进程程序集中查毒病毒打造内网安全环境
剑走偏锋-使用WMI获取远程计算机进程程序集中查毒病毒打造内网安全环境作者:高玉涵时间:2019.04.1815:45 博客:blog.csdn.net/cg_i 作者背景环境参见: <由 ...
两大世界在线查毒网站 VirusTotal 和 VirSCAN
注意是在线查毒,不是杀毒,用途就是当你不确定某个本地文件是否是病毒的时候,可以将它上传,让几十种杀毒软件对其进行判别并形成结果报告.最有名的两个就是 VirusTotal 和 VirSCAN 了,几乎 ...
linux里面工具使用方法,linux免费查毒工具clamav安装和使用教程
clamav是linux下的免费查毒软件,注意哦,是查毒,不能杀毒,至于查出的毒怎么处理那是下一步的问题了. 一.安装. apt-get install clamav 或者到官网选择最新版的三个文件, ...
linux clamav 免费查毒工具
linux下需要杀毒工具吗?我一直认为是不要的,基于linux的病毒很少,linux 安全防护也做的很好,一般很难功破.我想那些黑客们更喜欢,写windows下的病毒,用的人多啊,传播也容易.下面的操 ...
php在线查毒,linux clamav 免费查毒工具
一,安装clamav 1.yum install clamav -y 如果找不到包的话,只有下载源码自己编译安装了. tar zxf clamav-0.97.4.tar.gz cd clamav-0. ...

主动防御与启发式查毒

主动防御与启发式查毒相关推荐

最新文章

热门文章