病毒木马查杀的问与答
1 哪种类型病毒难以处理
感染性的病毒,因为这种病毒会破坏文件系统,而如果要恢复文件系统就需要对病毒进行逆向分析。如果是普通的病毒感染,不需要进行逆向分析,就可以编写出来专杀软件。
2 对病毒进行分析的主要方法有哪些
对病毒查杀的主要思路是:
(1)终止病毒进程 (2)删除自启动项目 (3)删除病毒文件 (4)修改注册表关联
(5)恢复感染文件
因此分析病毒的主要方法有两种
- 行为分析:在虚拟机上运行病毒文件,通过systeminternal提供的各类工具找到可疑行为,其中还可以通过系统比对工具完成上述工作。这种方式就是常见的手工杀毒方法。
- 逆向分析:如果病毒感染了可执行文件,它可以在正常文件的PE结构中嵌入可执行代码,因此无法通过进程监控的方法对病毒进行行为分析,所以此时需要借助于逆向分析工具了。
3 病毒查杀方法有哪些
基本原理:杀毒引擎+特征码匹配
| 查杀方法 | 时间 | 首创 | 方法 | 优点 | 缺点 | 采用此技术公司 |
|---|---|---|---|---|---|---|
| 特征码 | 1989—90年代中期 | Mcafee | 一串表明病毒自身特征的十六进制的字串,一般都选得很长,有时可达数十字节 | 简单快捷 | 对变形病毒容易产生错误判断 | 百度 腾讯 |
| 广谱特征 | 90年代中期—1998年 | 江民 | 广谱特征码是一类病毒程序中通用的特征字符串。比如,有10种病毒都使用了一段相同的破坏硬盘的程序,那么把这段程序代码提取出来作特征码,就能达到用一个特征码查10个病毒的功效。 | 早期使用 | 无法预判 容易错报 | 江民 |
| 启发式杀毒 | 1998—2007年 | 未知 | 重点在于特征值识别技术上的更新、解决单一特征码比对的缺陷。目的不在于检测所有的未知病毒,只是对特征值扫描技术的补充。 | 可部分预判未知病毒 | 有误判,误判率不高 | 现主流厂商 |
| 云查杀 | 2008—2010年 | 趋势科技 | 把原来放在客户端的分析计算能力转移到了服务器端,从而使得客户端变轻了,但要解决服务器计算能力问题 | 当前流行 | 无法进入压缩包检测 | 360 百度 腾讯 |
| 人工智能引擎 | 2010年—至今 | 360 | 先通过对病毒样本的分析和分类形成样本向量和向量机,然后建立一个机器学习的决策机模型,利用决策树和向量机对大量样本进行学习,从而识别恶意程序或非恶意程序。 | 当前 | 仍有误报 | 360 百度 |
近些年,随着去IOE化概念兴起(它是阿里巴巴造出的概念。其本意是,在阿里巴巴的IT架构中,去掉IBM的小型机、Oracle数据库、EMC存储设备,代之以自己在开源软件基础上开发的系统),各个厂商开始热衷于自己制作杀毒引擎。
- 病毒与杀软的那些事:杀毒引擎的26年发展史, http://goo.gl/b1V9Pi
- 揭秘杀毒软件20年潜规则:穷则思变,2009年10月, http://goo.gl/0L2UxU
- 病毒木马查杀第001篇:基本查杀理论与实验环境配置,2014年12月,http://goo.gl/0L2UxU
病毒木马查杀的问与答相关推荐
- 病毒木马查杀实战第026篇:“白加黑”恶意程序研究(上)
前言 众所周知,传统的恶意程序都是由单一文件构成的.从而实现某一种或者几种恶意功能. 而这类的恶意程序为了避免被发现以及被查杀,往往会採用五花八门的自我隐藏技术以及免杀技术,病毒程序的作者非常多时候也 ...
- 病毒木马查杀实战第009篇:QQ盗号木马之手动查杀
前言 之前在<病毒木马查杀第002篇:熊猫烧香之手动查杀>中,我在不借助任何工具的情况下,基本实现了对于"熊猫烧香"病毒的查杀.但是毕竟"熊猫烧香" ...
- 病毒木马查杀实战第010篇:QQ盗号木马之十六进制代码分析
前言 按照我的个人习惯,在运用诸如IDA Pro与OllyDBG对病毒进行逆向分析之前,我都会利用一些自动化的工具,通过静态或动态的分析方法(参见<病毒木马查杀第008篇:熊猫烧香之病毒查杀总结 ...
- 病毒木马查杀实战第001篇:基本查杀理论与实验环境配置
前言 <病毒木马查杀>系列以真实的病毒木马(或统称为恶意程序)为研究对象,通过现有的技术手段对其分析,总结出它的恶意行为,进而制定出相应的应对方法(如编写专杀工具),对其彻底查杀.当然,本 ...
- 病毒木马查杀实战第018篇:病毒特征码查杀之基本原理
前言 在本系列的导论中,我曾经在"病毒查杀方法"中简单讲解过特征码查杀这种方式.而我也在对于实际病毒的专杀工具编写中,使用过CRC32算法来对目标程序进行指纹匹配,从而进行病毒判定 ...
- 病毒木马查杀第002篇:熊猫烧香之手动查杀
一.前言 作为本系列研究的開始,我选择"熊猫烧香"这个病毒为研究对象.之所以选择这一款病毒,主要是由于它具有一定的代表性.一方面它当时造成了极大的影响,使得不管是不是计算机从业人员 ...
- 病毒木马查杀实战第002篇:熊猫烧香之手动查杀
前言 作为本系列研究的开始,我选择"熊猫烧香"这个病毒为研究对象.之所以选择这一款病毒,主要是因为它具有一定的代表性.一方面它当时造成了极大的影响,使得无论是不是计算机从业人员,都 ...
- 病毒木马查杀实战第019篇:病毒特征码查杀之编程实现
前言 上次我们已经简介过了病毒特征码提取的基本方法,那么这次我们就通过编程来实现对于病毒的特征码查杀. 定义特征码存储结构 为了简单起见.这次我们使用的是setup.exe以及unpacked.exe ...
- 病毒木马查杀实战第004篇:熊猫烧香之专杀工具的编写
前言 如果是非感染型的病毒,完成行为分析之后,就可以开始编写专杀工具了.当然对于我们这次研究的对象--"熊猫烧香"来说,其实通过之前的行为分析,我们并没有得出它的所有恶意行为,毕竟 ...
最新文章
- CSS三角形如何工作?
- 只有失去了,才知道珍惜!!!
- MCtalk教育快报 | 0813
- matlab ssgs工具箱,基于PI控制方式的1A开关电源MATLAB仿真研究
- skywalking(4)
- mysql workbench 从model建库_使用MySQL Workbench进行数据库设计——MySQL Workbench用法总结...
- python的网络应用_python 网络编程的应用模块
- 大道至简 爱上Metro
- hyper-v ubuntu 图形界面不流畅_ubuntu简单美化教程
- PHP中输出本地时间
- 简单实用读取字符串信息的c++类
- 新晋院士!顶尖985,迎来新校长!
- 又挖到宝藏了,低调使用
- pon终端测试仪_PON产品测试方案
- 企业数字化转型saas电商系统(已开源)
- 【CF833D】Red-Black Cobweb(点分治)
- 计算机网络体系结构划分
- Eclipse中如何查看使用的JDK版本?
- spring 动态数据源切换实例
- CIA真是无孔不入 2012年起它们就开始通过路由器搞监控了