|
計算機安全行業(yè)已走過20多個年頭,技術領域也進行了多次革新����,特別是在殺毒軟件的核心技術 - 殺毒引擎方面�����,也從簡單的數據匹配���、識別到如今的智能判斷和分析。改變很多�����,方向更廣����。而在今天回顧一下病毒和查殺引擎的變遷����,也能夠讓大家了解到當前反病毒行業(yè)的一個發(fā)展狀況。
在將引擎變遷之前�����,首先我們要簡單了解下常規(guī)病毒的基本原理和分類�����,目前的主要計算機病毒(常規(guī)病毒)大致分為以下幾類:傳統(tǒng)病毒、宏病毒���、惡意腳本���、木馬、蠕蟲(變種)等�����。 本文來自億度軟件:www.
一���、病毒與引擎的變遷
0.病毒類別和威脅類型
傳統(tǒng)病毒能夠感染的程序�����。通過改變文件或者其他東西進行傳播�����,通常有感染可執(zhí)行文件的文件型病毒和感染引導扇區(qū)的引導型病毒���,而宏病毒則通常會利用Word����、Excel等的宏腳本功能進行傳播���,惡意腳本包括在HTML腳本����、批處理腳本�����、VB�����、JS腳本等輸入惡意代碼實現攻擊目的���。木馬則是在用戶不知情的情況下安裝,隱藏在后臺���,伺機發(fā)作�����。蠕蟲病毒�����,則是一種可以利用操作系統(tǒng)的漏洞����、電子郵件、P2P軟件等自動傳播自身的病毒���。
看過了大致分類�����,我們就可以做初步判定���,至少要具備以上各式病毒的查殺引擎,才可真正成為一款“殺毒軟件”���。比如瑞星全功能安全軟件����,就是一款全功能的病毒查殺程序����,可以快速檢測���、查殺上述病毒威脅。
1.早期反病毒引擎 - 特征碼識別
80年代末期����,基于個人電腦病毒的誕生,特別是Windows操作系統(tǒng)的發(fā)布���,病毒開始愈發(fā)引起用戶注意�����,隨即�����,早期一些安全廠商就開始開發(fā)相關清除病毒的工具 - 反病毒軟件。當然�����,早期病毒相對簡單�����,破壞力小,從而檢測相對容易����,最廣泛使用的就是特征碼匹配的方法,即我們白話所說的“找不同”����。
然而特征碼是什么意思呢?例如在系統(tǒng)代碼的XX節(jié)處是下面的內容:“0xec , 0×99, 0×80,0×99����,就表示是大麻病毒(早期知名病毒)?����!边@一串表明病毒自身特征的十六進制的字串����,通常就包含有病毒和威脅信息,而殺毒軟件通過利用特征串�����,可以非常容易的查出病毒。
但這段時光并沒有維持多久����,很快計算機病毒就進入了一個新的時代,也就是“廣譜特征”時代����,這個時代離我們并不遙遠,90年代中后期和新世紀初期�����,仍然是主流殺毒軟件所采用的查殺引擎和識別技術���。
2.中期識別方式 - 廣譜特征
為了躲避殺毒軟件的查殺����,電腦病毒在90年代中后期開始進化����。病毒為了躲避殺毒軟件的查殺,逐漸演變?yōu)椤白冃巍钡男问?���,每感染一次,就對自身變一次形(病毒變種)通過對自身的不斷變形來躲避查殺����。這樣一來,同一種病毒的變種病毒大量增加�����,甚至可以到達天文數字的量級���。大量的變形病毒不同形態(tài)之間甚至可以做到沒有超過三個連續(xù)字節(jié)是相同的����。
為了對付這種情況����,首先特征碼的獲取不可能再是簡單的取出一段代碼來進行簡單分析,而需要分段的增加了一些不參加比較的“掩碼字節(jié)”�����,在出現“掩碼字節(jié)”的地方����,對不同點進行詳細分析�����,這就是“廣譜特征碼”的概念���。這個技術在很長一段時間內,是殺毒軟件的主要掃描和查殺技術�����,但這種方式���,會拖慢查殺速度�����,導致早年間掃描一次系統(tǒng)往往需要半天����、甚至一天����。同時也使誤報率大大增加,因為采用廣譜特征碼的技術不但可以對新病毒進行查殺,并且還可能把正規(guī)程序當作病毒誤報給用戶����,早期關于“誤報”的消息�����,也大多因此而來���。
3.新式查毒方式 - 啟發(fā)式掃描(Hips)
由于“廣譜特征”并不能完全滿足用戶的查殺需求���,加之病毒的日益革新,啟發(fā)式掃描方式出現了����。這也是今天很多殺毒軟件依然采用的查殺技術。這種掃描技術是通過分析相關的病毒指令�����,判斷其出現的次序����,或組合、排列情況等病毒的標準特征來決定文件是否感染病毒,甚至是否有“未知”病毒跡象���。
而病毒要達到感染和破壞的目的���,通常的行為都會有一定的行為和特征,例如非常規(guī)讀寫文件���,終結自身進程�����,非常規(guī)切入零環(huán)等等����。所以可以根據掃描特定的行為或多種行為的組合來判斷一個程序是否是病毒���,而啟發(fā)式掃描���,就恰好具備了這些特性,更是比起傳統(tǒng)意義上“靜態(tài)”的特征碼掃描要先進許多���,可以達到一定的“未知”病毒處理能力����。
4.同期先進查殺技術 - 行為判定(虛擬脫殼)
針對“變種”病毒、未知病毒等復雜的病毒情況�����,一些殺毒軟件采用了“虛擬機”(脫殼)技術����,達到了對未知病毒良好的查殺效果�����。它實際上是一種可控的�����,由軟件模擬出來的程序虛擬運行環(huán)境�����,雖然病毒可以通過各種方式來躲避殺毒軟件�����,甚至迫使防火墻失效,但是當它運行在虛擬機中時���,它并不知道自己的一切行為都在被虛擬機所監(jiān)控����,所以當它在虛擬機中脫去偽裝進行傳染時����,就會被虛擬機所發(fā)現,如此一來�����,利用“虛擬機技術”(脫殼)就可以發(fā)現大部分的變形病毒和大量的未知病毒�����。
編輯點評:
四個不同的時代�����,代表了四種不同的技術�����,殺毒引擎的變遷,也可以說是一段病毒的發(fā)展歷史����,正是由于病毒不斷更新、不斷變種����,推動了反病毒產品的不斷革新、不斷升級���。而目前的主流殺毒產品,如瑞星全功能安全軟件和正在公測的瑞星殺毒軟件2010版本均采取了最為先進的病毒掃描和查殺技術�����,可以有效清除系統(tǒng)內存在的病毒和木馬程序�����,全面保護您的系統(tǒng)安全���。
作者:中關村在線 劉晶晶
來源:http://xiazai.zol.com.cn/article_topic/141/1413996.html
|
