防病毒軟件如何工作:四種病毒偵測技術(shù) |
發(fā)布時間: 2012/7/4 11:17:46 |
防病毒工具是大多數(shù)防惡意軟件套裝的必備組件之一。它必須能夠辨識已知的和未見過的惡意文件,并且在造成破壞前阻止它們。盡管這些工具在實現(xiàn)惡意軟件偵測機制方面有所不同,但它們趨向于融合同樣的病毒偵測技術(shù)。熟悉這些技術(shù)有助于你理解防病毒軟件是如何工作的。
基于簽名的偵測技術(shù):使用已檢查過文件的關(guān)鍵特征來創(chuàng)建已知惡意軟件的靜態(tài)指紋。該簽名可能以文件的一系列字節(jié)來表示。它也可能是整個文件或部分文件加密后的哈希值。這個偵測惡意軟件的方法,是防病毒軟件工具誕生以來必要的方面之一。作為許多工具的一部分該技術(shù)保留至今,盡管它的重要性在逐漸減弱;诤灻膫蓽y技術(shù)的主要局限在于,從它自身來說,這個方法無法標(biāo)記那些還沒有開發(fā)簽名的惡意文件?紤]到這點,現(xiàn)今的攻擊者們經(jīng)常通過改變文件的簽名來對病毒進行變異并保留惡意的功能。 基于啟發(fā)式的偵測技術(shù):該技術(shù)目的在于通過靜態(tài)地檢查文件的可疑特征,來一般性地偵測新的惡意軟件而無需精確的簽名匹配。例如,某個防病毒工具可能在被檢查的文件中尋找罕見的指令或花指令(junk code)。該工具還可能模擬運行該文件,以便確認如果執(zhí)行該文件,它會在不明顯拖慢系統(tǒng)的情況下嘗試做些什么。單獨的可疑屬性可能還不足以把這個文件標(biāo)記為惡意的。然而好幾個這樣的特征可能會超出期望的風(fēng)險閾值,導(dǎo)致該工具把該文件劃分為惡意軟件。啟發(fā)式方法最大的弊處在于它可能無意地把合法的文件標(biāo)記為惡意的。 行為偵測技術(shù):該技術(shù)觀察程序如何執(zhí)行,而不是僅僅模擬它的執(zhí)行。這個方法嘗試通過尋找可疑的行為如解壓惡意代碼、修改主機的文件或是進行鍵盤記錄來辨識惡意軟件。值得注意的是,這樣的操作能夠讓防病毒工具在受保護系統(tǒng)上偵測到事先未見過的惡意軟件。對于啟發(fā)式技術(shù)來說,這些操作的每一個可能不足以劃分程序為惡意軟件,然而把它們一起考慮的話可能意味著是一個惡意的程序。使用基于行為技術(shù)讓防病毒軟件更加接近于主機入侵預(yù)防系統(tǒng)(host intrusion prevention systems,HIPS)的類別,后者傳統(tǒng)上以單獨的產(chǎn)品類別存在。 基于云的偵測技術(shù):該技術(shù)通過從受保護的計算機上收集數(shù)據(jù)、同時在服務(wù)提供商的基礎(chǔ)設(shè)施上分析、而不是在本地進行分析來辨識惡意軟件。這通常是通過捕捉文件的相關(guān)細節(jié)和在終端上文件執(zhí)行時的情境來實現(xiàn),并把這些信息提供給云引擎進行處理。本地的防病毒代理只需進行最小化的處理工作。此外,廠商的云引擎能夠通過關(guān)聯(lián)來自多個系統(tǒng)的數(shù)據(jù)獲取與惡意軟件特征和行為相關(guān)的模式。相比之下,其它防病毒軟件的組件大多數(shù)基于本地觀察到的屬性和行為進行決策。基于云的引擎能讓使用防病毒軟件的單個用戶從社區(qū)的其他成員的經(jīng)驗中獲益。 盡管根據(jù)上述各自的標(biāo)題列出了這些方法,但各種技術(shù)之間的差異往往是模糊不清的。例如,術(shù)語“基于啟發(fā)式”和“行為偵測”經(jīng)常被交互地使用。此外,當(dāng)工具融合基于云的能力時,這些方法——包括簽名偵測技術(shù)——趨向于扮演活躍的角色。為了跟上不斷變化的惡意軟件樣本,防病毒軟件廠商們必須在他們的工具中融合多層防御,依賴于單個方法是不可行的。 本文出自:億恩科技【m.1tcdy.com】 服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |