标签:
反病毒软件由应用程序、反病毒引擎和病毒库三部分构成。
A)应用程序的主要功能就是把扫描对象提供给引擎进行病毒扫描、提供反病毒软件与用户的交互接口。
B)引擎的主要功能就是对应用程序传入的扫描对象进行格式分析和病毒扫描并将扫描的中间结果通过应用程序回接接口返回给应用程序并根据应用程序的返回结果进行相应的处理。引擎本身还负责病毒库的加载、管理、遍历及卸载。
引擎查杀毒技术的发展历程
a) DOS杀毒引擎。
b) 宏病毒查杀引擎-特征码匹配。
c) 脚本病毒引擎、邮件、邮箱、压缩包拆分引擎、反病毒虚拟机-运行特征匹配。
d) 位置病毒行为判定技术和虚拟脱壳技术。
a) 引擎体系架构的变迁
b) 模块化设计方式
c) 01年面向对象设计方式,基于C++的设计思想增强了引擎的可靠性和易维护性
d) 03年将com组件的设计思想引入了引擎设计中,实现了引擎的对象化和组件化,增强了引擎的易用性、扩展性、维护性和移植的方便性。
a) 邮件、邮箱、压缩包拆分技术
引擎的邮件、邮箱、压缩包对象在引擎中统称为复合文件对象,在最新的引擎 的复合文件对象中采取了虚拟文件系统技术及将复合文件对象看成一个文件 系统(也可以理解为一个目录),采用这种方式可以便捷的对邮件、邮箱、压 缩包进行管理,处理方式更加灵活。
b) 虚拟与真实相结合的脱壳技术
虚拟脱壳技术是一种特殊技术,即利用虚拟机对程序性进行虚拟执行,通过返 回结果判定文件是否被加壳。
真实脱壳是对加壳算法进行分析后生产脱壳算法。
c) 脚本引擎token特征提取技术
以前的脚本查杀速度非常慢,主要原因是脚本引擎采用了浮动特征串匹配的方 式,因此需要对文件进行全文匹配。随着病毒记录的增加,匹配次数也随之增 加,从而导致速度减慢,新的脚本引擎根据脚本病毒的特点,利用编译原理的 相关技术对脚本进行词法分析,从而减少匹配次数。
d) 木马指纹特征技术
利用智能代码分析技术(即基于对典型病毒的代码特征和执行流程进行分析提 取经典病毒的典型代码特征和逻辑特征并作为查杀病毒的特征串)可对木马程 序提取指纹信息。通过指纹,引擎可以快速的排除正常文件。
e) 利用可执行引擎执行特征提取技术
特点:
1.查杀病毒时再机器虚拟内存中模拟出一个“指令执行虚拟机”。
2.在虚拟机环境中执行带毒文件。
3.在执行过程中,从虚拟机环境内截获文件数据,如果含有可以的病毒代 码,则杀毒后将其还原到文件中,从而实现对各类可执行文件内病毒的查 杀。
4.采用这种方法可以对付加密型、变形型、程序自压缩新文件内的病毒。
f) 宏病毒解码和查杀的相关技术。
利用宏指纹区分不同的宏文件,缩小病毒特征码的匹配次数,从而提速杀毒。
g) 内存扫描和内存监控技术。
h) 未知宏病毒虚拟执行技术。
i) 未知脚本病毒指纹特征判定技术。
j) 行为判定技术
对被检样板进行跟踪和记录,同时对样板程序的行为进行识别和判断。
更接近于人工分析,智能化高,准确性高,但速度慢。
a) 多层面立体防护体系
b) 进一步发展未知病毒的检测技术
c) 主动修复技术
d) 更可靠的数据备份和灾难恢复技术
e) 与其它安全产品的联动
f) 完善的应急响应系统
标签:
原文地址:http://blog.csdn.net/linukey/article/details/43945169
