|
計(jì)算機(jī)安全行業(yè)已走過20多個(gè)年頭�����,技術(shù)領(lǐng)域也進(jìn)行了多次革新�,特別是在殺毒軟件的核心技術(shù) - 殺毒引擎方面,也從簡(jiǎn)單的數(shù)據(jù)匹配���、識(shí)別到如今的智能判斷和分析���。改變很多,方向更廣����。而在今天回顧一下病毒和查殺引擎的變遷,也能夠讓大家了解到當(dāng)前反病毒行業(yè)的一個(gè)發(fā)展?fàn)顩r�。
在將引擎變遷之前,首先我們要簡(jiǎn)單了解下常規(guī)病毒的基本原理和分類��,目前的主要計(jì)算機(jī)病毒(常規(guī)病毒)大致分為以下幾類:傳統(tǒng)病毒���、宏病毒����、惡意腳本、木馬�、蠕蟲(變種)等。 本文來自億度軟件:www.
一�����、病毒與引擎的變遷
0.病毒類別和威脅類型
傳統(tǒng)病毒能夠感染的程序�。通過改變文件或者其他東西進(jìn)行傳播,通常有感染可執(zhí)行文件的文件型病毒和感染引導(dǎo)扇區(qū)的引導(dǎo)型病毒���,而宏病毒則通常會(huì)利用Word���、Excel等的宏腳本功能進(jìn)行傳播,惡意腳本包括在HTML腳本���、批處理腳本��、VB�����、JS腳本等輸入惡意代碼實(shí)現(xiàn)攻擊目的�。木馬則是在用戶不知情的情況下安裝,隱藏在后臺(tái)��,伺機(jī)發(fā)作�。蠕蟲病毒,則是一種可以利用操作系統(tǒng)的漏洞�、電子郵件���、P2P軟件等自動(dòng)傳播自身的病毒��。
看過了大致分類��,我們就可以做初步判定�,至少要具備以上各式病毒的查殺引擎����,才可真正成為一款“殺毒軟件”。比如瑞星全功能安全軟件�����,就是一款全功能的病毒查殺程序����,可以快速檢測(cè)�、查殺上述病毒威脅����。
1.早期反病毒引擎 - 特征碼識(shí)別
80年代末期,基于個(gè)人電腦病毒的誕生�����,特別是Windows操作系統(tǒng)的發(fā)布�,病毒開始愈發(fā)引起用戶注意,隨即����,早期一些安全廠商就開始開發(fā)相關(guān)清除病毒的工具 - 反病毒軟件。當(dāng)然���,早期病毒相對(duì)簡(jiǎn)單����,破壞力小��,從而檢測(cè)相對(duì)容易,最廣泛使用的就是特征碼匹配的方法�,即我們白話所說的“找不同”。
然而特征碼是什么意思呢��?例如在系統(tǒng)代碼的XX節(jié)處是下面的內(nèi)容:“0xec , 0×99, 0×80,0×99���,就表示是大麻病毒(早期知名病毒)��?���!边@一串表明病毒自身特征的十六進(jìn)制的字串����,通常就包含有病毒和威脅信息��,而殺毒軟件通過利用特征串���,可以非常容易的查出病毒�。
但這段時(shí)光并沒有維持多久���,很快計(jì)算機(jī)病毒就進(jìn)入了一個(gè)新的時(shí)代����,也就是“廣譜特征”時(shí)代,這個(gè)時(shí)代離我們并不遙遠(yuǎn)�,90年代中后期和新世紀(jì)初期,仍然是主流殺毒軟件所采用的查殺引擎和識(shí)別技術(shù)�。
2.中期識(shí)別方式 - 廣譜特征
為了躲避殺毒軟件的查殺,電腦病毒在90年代中后期開始進(jìn)化����。病毒為了躲避殺毒軟件的查殺,逐漸演變?yōu)椤白冃巍钡男问?�,每感染一次��,就?duì)自身變一次形(病毒變種)通過對(duì)自身的不斷變形來躲避查殺�。這樣一來,同一種病毒的變種病毒大量增加��,甚至可以到達(dá)天文數(shù)字的量級(jí)�����。大量的變形病毒不同形態(tài)之間甚至可以做到?jīng)]有超過三個(gè)連續(xù)字節(jié)是相同的�。
為了對(duì)付這種情況,首先特征碼的獲取不可能再是簡(jiǎn)單的取出一段代碼來進(jìn)行簡(jiǎn)單分析��,而需要分段的增加了一些不參加比較的“掩碼字節(jié)”,在出現(xiàn)“掩碼字節(jié)”的地方����,對(duì)不同點(diǎn)進(jìn)行詳細(xì)分析,這就是“廣譜特征碼”的概念��。這個(gè)技術(shù)在很長(zhǎng)一段時(shí)間內(nèi)�����,是殺毒軟件的主要掃描和查殺技術(shù)����,但這種方式,會(huì)拖慢查殺速度�����,導(dǎo)致早年間掃描一次系統(tǒng)往往需要半天���、甚至一天。同時(shí)也使誤報(bào)率大大增加�����,因?yàn)椴捎脧V譜特征碼的技術(shù)不但可以對(duì)新病毒進(jìn)行查殺,并且還可能把正規(guī)程序當(dāng)作病毒誤報(bào)給用戶����,早期關(guān)于“誤報(bào)”的消息,也大多因此而來����。
3.新式查毒方式 - 啟發(fā)式掃描(Hips)
由于“廣譜特征”并不能完全滿足用戶的查殺需求,加之病毒的日益革新�,啟發(fā)式掃描方式出現(xiàn)了。這也是今天很多殺毒軟件依然采用的查殺技術(shù)����。這種掃描技術(shù)是通過分析相關(guān)的病毒指令,判斷其出現(xiàn)的次序����,或組合、排列情況等病毒的標(biāo)準(zhǔn)特征來決定文件是否感染病毒���,甚至是否有“未知”病毒跡象��。
而病毒要達(dá)到感染和破壞的目的���,通常的行為都會(huì)有一定的行為和特征�����,例如非常規(guī)讀寫文件��,終結(jié)自身進(jìn)程�,非常規(guī)切入零環(huán)等等��。所以可以根據(jù)掃描特定的行為或多種行為的組合來判斷一個(gè)程序是否是病毒����,而啟發(fā)式掃描,就恰好具備了這些特性���,更是比起傳統(tǒng)意義上“靜態(tài)”的特征碼掃描要先進(jìn)許多���,可以達(dá)到一定的“未知”病毒處理能力。
4.同期先進(jìn)查殺技術(shù) - 行為判定(虛擬脫殼)
針對(duì)“變種”病毒���、未知病毒等復(fù)雜的病毒情況�,一些殺毒軟件采用了“虛擬機(jī)”(脫殼)技術(shù)���,達(dá)到了對(duì)未知病毒良好的查殺效果��。它實(shí)際上是一種可控的���,由軟件模擬出來的程序虛擬運(yùn)行環(huán)境,雖然病毒可以通過各種方式來躲避殺毒軟件���,甚至迫使防火墻失效���,但是當(dāng)它運(yùn)行在虛擬機(jī)中時(shí),它并不知道自己的一切行為都在被虛擬機(jī)所監(jiān)控�����,所以當(dāng)它在虛擬機(jī)中脫去偽裝進(jìn)行傳染時(shí)���,就會(huì)被虛擬機(jī)所發(fā)現(xiàn)��,如此一來���,利用“虛擬機(jī)技術(shù)”(脫殼)就可以發(fā)現(xiàn)大部分的變形病毒和大量的未知病毒。
編輯點(diǎn)評(píng):
四個(gè)不同的時(shí)代�,代表了四種不同的技術(shù),殺毒引擎的變遷����,也可以說是一段病毒的發(fā)展歷史�����,正是由于病毒不斷更新�����、不斷變種�,推動(dòng)了反病毒產(chǎn)品的不斷革新��、不斷升級(jí)����。而目前的主流殺毒產(chǎn)品,如瑞星全功能安全軟件和正在公測(cè)的瑞星殺毒軟件2010版本均采取了最為先進(jìn)的病毒掃描和查殺技術(shù)����,可以有效清除系統(tǒng)內(nèi)存在的病毒和木馬程序,全面保護(hù)您的系統(tǒng)安全����。
作者:中關(guān)村在線 劉晶晶
來源:http://xiazai.zol.com.cn/article_topic/141/1413996.html
|
