|
計算機安全行業(yè)已走過20多個年頭,技術(shù)領(lǐng)域也進行了多次革新���,特別是在殺毒軟件的核心技術(shù) - 殺毒引擎方面�,也從簡單的數(shù)據(jù)匹配��、識別到如今的智能判斷和分析。改變很多����,方向更廣。而在今天回顧一下病毒和查殺引擎的變遷���,也能夠讓大家了解到當前反病毒行業(yè)的一個發(fā)展狀況����。
在將引擎變遷之前��,首先我們要簡單了解下常規(guī)病毒的基本原理和分類�����,目前的主要計算機病毒(常規(guī)病毒)大致分為以下幾類:傳統(tǒng)病毒����、宏病毒�、惡意腳本、木馬����、蠕蟲(變種)等���。 本文來自億度軟件:www.
一、病毒與引擎的變遷
0.病毒類別和威脅類型
傳統(tǒng)病毒能夠感染的程序����。通過改變文件或者其他東西進行傳播,通常有感染可執(zhí)行文件的文件型病毒和感染引導扇區(qū)的引導型病毒��,而宏病毒則通常會利用Word��、Excel等的宏腳本功能進行傳播����,惡意腳本包括在HTML腳本、批處理腳本�、VB、JS腳本等輸入惡意代碼實現(xiàn)攻擊目的��。木馬則是在用戶不知情的情況下安裝���,隱藏在后臺����,伺機發(fā)作。蠕蟲病毒��,則是一種可以利用操作系統(tǒng)的漏洞��、電子郵件��、P2P軟件等自動傳播自身的病毒�。
看過了大致分類,我們就可以做初步判定��,至少要具備以上各式病毒的查殺引擎�����,才可真正成為一款“殺毒軟件”���。比如瑞星全功能安全軟件�,就是一款全功能的病毒查殺程序�,可以快速檢測、查殺上述病毒威脅�。
1.早期反病毒引擎 - 特征碼識別
80年代末期��,基于個人電腦病毒的誕生�����,特別是Windows操作系統(tǒng)的發(fā)布,病毒開始愈發(fā)引起用戶注意����,隨即,早期一些安全廠商就開始開發(fā)相關(guān)清除病毒的工具 - 反病毒軟件�����。當然��,早期病毒相對簡單����,破壞力小,從而檢測相對容易�,最廣泛使用的就是特征碼匹配的方法,即我們白話所說的“找不同”�。
然而特征碼是什么意思呢?例如在系統(tǒng)代碼的XX節(jié)處是下面的內(nèi)容:“0xec , 0×99, 0×80,0×99����,就表示是大麻病毒(早期知名病毒)?����!边@一串表明病毒自身特征的十六進制的字串,通常就包含有病毒和威脅信息��,而殺毒軟件通過利用特征串���,可以非常容易的查出病毒��。
但這段時光并沒有維持多久����,很快計算機病毒就進入了一個新的時代����,也就是“廣譜特征”時代,這個時代離我們并不遙遠��,90年代中后期和新世紀初期��,仍然是主流殺毒軟件所采用的查殺引擎和識別技術(shù)��。
2.中期識別方式 - 廣譜特征
為了躲避殺毒軟件的查殺����,電腦病毒在90年代中后期開始進化。病毒為了躲避殺毒軟件的查殺��,逐漸演變?yōu)椤白冃巍钡男问?���,每感染一次,就對自身變一次形(病毒變種)通過對自身的不斷變形來躲避查殺����。這樣一來,同一種病毒的變種病毒大量增加���,甚至可以到達天文數(shù)字的量級���。大量的變形病毒不同形態(tài)之間甚至可以做到?jīng)]有超過三個連續(xù)字節(jié)是相同的。
為了對付這種情況���,首先特征碼的獲取不可能再是簡單的取出一段代碼來進行簡單分析�,而需要分段的增加了一些不參加比較的“掩碼字節(jié)”�����,在出現(xiàn)“掩碼字節(jié)”的地方��,對不同點進行詳細分析,這就是“廣譜特征碼”的概念��。這個技術(shù)在很長一段時間內(nèi)���,是殺毒軟件的主要掃描和查殺技術(shù)����,但這種方式���,會拖慢查殺速度��,導致早年間掃描一次系統(tǒng)往往需要半天�、甚至一天�。同時也使誤報率大大增加,因為采用廣譜特征碼的技術(shù)不但可以對新病毒進行查殺��,并且還可能把正規(guī)程序當作病毒誤報給用戶���,早期關(guān)于“誤報”的消息���,也大多因此而來。
3.新式查毒方式 - 啟發(fā)式掃描(Hips)
由于“廣譜特征”并不能完全滿足用戶的查殺需求�,加之病毒的日益革新�����,啟發(fā)式掃描方式出現(xiàn)了。這也是今天很多殺毒軟件依然采用的查殺技術(shù)��。這種掃描技術(shù)是通過分析相關(guān)的病毒指令����,判斷其出現(xiàn)的次序,或組合���、排列情況等病毒的標準特征來決定文件是否感染病毒��,甚至是否有“未知”病毒跡象�����。
而病毒要達到感染和破壞的目的�����,通常的行為都會有一定的行為和特征��,例如非常規(guī)讀寫文件�����,終結(jié)自身進程��,非常規(guī)切入零環(huán)等等�����。所以可以根據(jù)掃描特定的行為或多種行為的組合來判斷一個程序是否是病毒�,而啟發(fā)式掃描,就恰好具備了這些特性�����,更是比起傳統(tǒng)意義上“靜態(tài)”的特征碼掃描要先進許多��,可以達到一定的“未知”病毒處理能力�。
4.同期先進查殺技術(shù) - 行為判定(虛擬脫殼)
針對“變種”病毒、未知病毒等復雜的病毒情況�,一些殺毒軟件采用了“虛擬機”(脫殼)技術(shù),達到了對未知病毒良好的查殺效果����。它實際上是一種可控的,由軟件模擬出來的程序虛擬運行環(huán)境�����,雖然病毒可以通過各種方式來躲避殺毒軟件,甚至迫使防火墻失效����,但是當它運行在虛擬機中時,它并不知道自己的一切行為都在被虛擬機所監(jiān)控�����,所以當它在虛擬機中脫去偽裝進行傳染時��,就會被虛擬機所發(fā)現(xiàn)����,如此一來�����,利用“虛擬機技術(shù)”(脫殼)就可以發(fā)現(xiàn)大部分的變形病毒和大量的未知病毒���。
編輯點評:
四個不同的時代���,代表了四種不同的技術(shù)���,殺毒引擎的變遷,也可以說是一段病毒的發(fā)展歷史���,正是由于病毒不斷更新��、不斷變種���,推動了反病毒產(chǎn)品的不斷革新、不斷升級�����。而目前的主流殺毒產(chǎn)品��,如瑞星全功能安全軟件和正在公測的瑞星殺毒軟件2010版本均采取了最為先進的病毒掃描和查殺技術(shù)�����,可以有效清除系統(tǒng)內(nèi)存在的病毒和木馬程序��,全面保護您的系統(tǒng)安全����。
作者:中關(guān)村在線 劉晶晶
來源:http://xiazai.zol.com.cn/article_topic/141/1413996.html
|
