杀毒软件是如何识别病毒的?
展开全部
一个合格的病毒特征码需要满足以下几个要求:
1、不能从数据区提取,因为数据区的内容很容易改变,一旦病毒换了一个面具,改变了数据内容,特征码基本就会失效。
2、在保持特征码的唯一性的前提下,应当尽量使得特征码短小精悍,从而减少检测过程中的时间与空间的复杂度,提高检测效率。
3、病毒程序的特征码相对一定不能匹配到普通程序,比如选取病毒入口点的二进制代码,就很高几率出现误报的情况。
4、特征码的长度应当控制在128个字节以内以加快扫描速度。
特征码选取的基本方法
1、计算校验和
这种方法的特点是简单快速,也是360的杀毒引擎引擎采用的方式。但是采用这种方法,一种特征码只能匹配一个病毒的一个版本,即便病毒的变动很小,也需要重新提取特征码,这造成的后果是会使得特征码库过于庞大,一般用于临时提取特征码(这也是360庞大而缓慢的原因)。所以这种计算校验和的方式不值得一论)
2、提取特征字符串
采用这种方式能识别某一类病毒,sbj引擎便是以这种技术为基础的(所以sws安全中心体积比较小)。以目前很流行的filekiler病毒为例,经过我们之前的逆向分析可以知道,病毒最开始会使用"viax"这个字符串来进行解密的操作。因此需要在病毒程序的二进制代码中搜索"viax",相信一般的程序中不会出现"viax"这段字符,因此就可以考虑将这两个字符串或者其中的一个字符串作为filekiller病毒的特征码。
3、提取程序产生的系统调用
这是一种非常新的病毒库引擎杀毒方案,目前只有sbj引擎用于辅助杀毒,sws安全中心在开发sbj引擎时发明了这种方案。这种办法类似于第二种,尽管速度,杀毒准确性在录入合理的情况下轻松碾压其它方式,但是如果不在提取识别码的时候人工审核的话误报率会很高(原因是程序如果进行了非常基本的系统调用那么所有进行这类调用的程序都将成为"病毒"),因此成本高昂,再加上sws安全中心本来就是开源软件,挣不到钱,还不接受捐赠(原来做了个企业版卖钱现在也开了),所以无法维护,还是只能作为辅助使用。
1、不能从数据区提取,因为数据区的内容很容易改变,一旦病毒换了一个面具,改变了数据内容,特征码基本就会失效。
2、在保持特征码的唯一性的前提下,应当尽量使得特征码短小精悍,从而减少检测过程中的时间与空间的复杂度,提高检测效率。
3、病毒程序的特征码相对一定不能匹配到普通程序,比如选取病毒入口点的二进制代码,就很高几率出现误报的情况。
4、特征码的长度应当控制在128个字节以内以加快扫描速度。
特征码选取的基本方法
1、计算校验和
这种方法的特点是简单快速,也是360的杀毒引擎引擎采用的方式。但是采用这种方法,一种特征码只能匹配一个病毒的一个版本,即便病毒的变动很小,也需要重新提取特征码,这造成的后果是会使得特征码库过于庞大,一般用于临时提取特征码(这也是360庞大而缓慢的原因)。所以这种计算校验和的方式不值得一论)
2、提取特征字符串
采用这种方式能识别某一类病毒,sbj引擎便是以这种技术为基础的(所以sws安全中心体积比较小)。以目前很流行的filekiler病毒为例,经过我们之前的逆向分析可以知道,病毒最开始会使用"viax"这个字符串来进行解密的操作。因此需要在病毒程序的二进制代码中搜索"viax",相信一般的程序中不会出现"viax"这段字符,因此就可以考虑将这两个字符串或者其中的一个字符串作为filekiller病毒的特征码。
3、提取程序产生的系统调用
这是一种非常新的病毒库引擎杀毒方案,目前只有sbj引擎用于辅助杀毒,sws安全中心在开发sbj引擎时发明了这种方案。这种办法类似于第二种,尽管速度,杀毒准确性在录入合理的情况下轻松碾压其它方式,但是如果不在提取识别码的时候人工审核的话误报率会很高(原因是程序如果进行了非常基本的系统调用那么所有进行这类调用的程序都将成为"病毒"),因此成本高昂,再加上sws安全中心本来就是开源软件,挣不到钱,还不接受捐赠(原来做了个企业版卖钱现在也开了),所以无法维护,还是只能作为辅助使用。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
上海国想
2024-12-02 广告
作为上海国想科技发展有限公司的一员,对于云服务器勒索病毒问题,建议采取以下措施:立即断开与外部网络的连接,进行全面检查,评估攻击影响。迅速备份所有重要数据,并存储在外部硬盘或云存储中。使用最新版本的杀毒软件全面扫描,清除病毒,并考虑联系专业...
点击进入详情页
本回答由上海国想提供
2018-07-31 · 百度知道官方认证企业
腾讯电脑管家
腾讯电脑管家是腾讯公司推出的免费安全管理软件,能有效预防和解决计算机上常见的安全风险,并帮助用户解决各种电脑“疑难杂症”、优化系统和网络环境,是中国综合能力最强、最稳定的安全软件。
向TA提问
关注
![]()
展开全部
杀毒软件杀毒的基本原理是通过匹配病毒库中的数据和文件代码来检测文件是否被病毒感染的。如果在文件代码中检测到了病毒代码,那就会进行报毒并清除病毒代码(如果能)。
现在流行的杀毒技术是“虚拟机侦测技术”,把文件放入软件内置的小型虚拟机内模拟运行,检查有没有造成危害。
除此之外,云技术现在也已经开始快速发展,各种人工查毒服务已经通过云直接开始发展。
现在流行的杀毒技术是“虚拟机侦测技术”,把文件放入软件内置的小型虚拟机内模拟运行,检查有没有造成危害。
除此之外,云技术现在也已经开始快速发展,各种人工查毒服务已经通过云直接开始发展。
本回答被网友采纳
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
运行环境和特征
试试腾讯电脑管家查杀,杀毒引擎是安全防护软件的核心技术,采用了腾讯自主研发第二代专业杀毒引擎,同时增加了CPU虚拟执行技术,并提升了Office宏病毒查杀能力,全面升级电脑安全防护与杀毒。
试试腾讯电脑管家查杀,杀毒引擎是安全防护软件的核心技术,采用了腾讯自主研发第二代专业杀毒引擎,同时增加了CPU虚拟执行技术,并提升了Office宏病毒查杀能力,全面升级电脑安全防护与杀毒。
本回答被网友采纳
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(1)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
