【3.A.S.T】网络安全爱好者's Archiver

黑客学习

遐思 发表于 2009-6-3 12:56

杀毒软件天书(入门级介绍)

曾经我们都有过这样的疑问:

  1.什么是病毒?

  2.杀毒软件又是如何判定一个文件是不是病毒的?

  3.为什么我装了杀毒软件可是仍然中毒?

  下面让我们逐步揭开它的神秘面纱,一起走入迷人的编程世界。

  首先回答第一个问题:简单的说,病毒就是一段具有破坏性的程序代码。这个范围比较广,通常包括普通病毒、蠕虫和特洛伊木马。三者的界限并不是十分清晰的。只要是你觉得对你有害的程序,都可以归为病毒。

  第二个问题&第三个问题:杀毒软件判定病毒通常有两种方法:一是特征码匹配(这是主要的,市面上绝大多数杀软都使用这种技术。如果你不会分辨的话,046569教你个简单方法,凡是有扫描技术的杀毒软件99%是特征码匹配。),二是行为判断,或者叫主动防御(目前看实现的比较好的是国产的杀毒软件:微点.至于众所周知的卡巴斯基、瑞星,我们以后如果有时间会做个专门的比较,到时候大家就知道孰优孰劣了)。这两个概念我们会依次介绍并做个简单的分析对比。

  特征码匹配:了解这个概念首先必须明确什么叫特征码?这里我们举个小例子。你说你为什么能分辨出谁是你的朋友,谁又是你的家人呢?你会说:他们长得不一样啊!对,他们长得不一样用计算机的语言说就是他们的特征不同。而程序的特征表现形式就是特征码。反病毒专家从病毒样本中提取病毒的特征码并加入病毒库,这样我们在升级后就可以查杀这种病毒了。但是显而易见,这种方法有很多缺陷。比如人可能长得一摸一样,所以使用特征码检测病毒也存在误报的现象(前一段时间黑防网站发生了“伪挂马事件”,就是个典型)。我们只有先发现了病毒,然后才能提取特征码,这就决定了我们防御的滞后性。一个很常见的情况是,你在升级过杀毒软件后才能扫描出木马。可这时,你已经中毒了。另外如果你的父母进行了整容,可能你就不认识了;病毒也是如此。如果病毒的制造者修改了病毒的特征码,杀毒软件就不认识病毒了,当然就查不出来了。这种让病毒不被杀毒软件查杀的技术就是黑客口中的“免杀”。免杀技术的流行使很多杀毒软件形同虚设。很多病毒开始使用随机自变异来逃避杀毒软件的检测。熊猫烧香是一个不错的案例,很多人(程序员、骇客)甚至用“伟大”一词,来形容李俊。他开创了一个新的思路。“熊猫烧香”、“金猪报喜”等事件让人们看到了传统杀毒软件的缺陷,人们在寻找一种更好的方法来从根本上防止病毒,基于这种想法,行为判断技术(即主动防御)出现了。

  行为判断技术:通过程序的行为来对病毒加以区分。我们都知道:病毒和正常的软件的行为是不一样的。所以一个有经验的反病毒专家仅仅需要看到一个程序的开头几行代码就可能分辨出它是不是病毒。这样,我们需要一个拟真型的反病毒专家。他可以通过程序的行为来区分病毒,而不是程序本身,大大降低了误报率。同时,程序可能有千万种,但是程序的行为却是有数的(这可能比较难以理解,但你想想,程序可以实现很多功能。不过再多的功能不也是程序员一点一点写出来的么?这像是做数学题一样,变化再多,最后还离不开那十个阿拉伯数字)。病毒制造者绞尽脑汁想出一种传播方法,而我们的反病毒专家只需要截获一个样本就可以彻底堵死他的传播途径。我们在根本上变成了以逸待劳。更何况,突破的思路是很难的。圈子内的人不是10W叫卖能过微点的木马么?由此可以看出,行为判断技术是未来杀毒软件的发展方向。

l75l85 发表于 2009-6-3 13:17

{:Yem66:Y}很好,很经典,很强大!

wh663 发表于 2009-6-9 13:42

有视频教程就好了,看见一大堆文字总是不想看

guiguzi5 发表于 2009-9-4 18:05

谢啦!!!!!!!!

kwed2345 发表于 2009-9-6 20:29

适合 新手 学习 3Q

12358ch 发表于 2009-9-6 22:07

学习了。谢谢

spanner 发表于 2009-9-17 18:35

谢谢,,学习了。 ..

renzheng 发表于 2009-10-15 22:06

学习下!谢谢楼主/

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.