杀毒软件
| “杀毒软件”的各地常用名称 | |
|---|---|
| 中国大陆 | 杀毒软件 |
| 台湾 | 防毒软体 |
| 港澳 | 防毒软件 |
杀毒软件(英语:antivirus software)使用于侦测、移除电脑病毒、电脑蠕虫、和特洛伊木马程序[1]。杀毒软件通常含有即时程序监控识别、恶意程序扫描和清除和自动更新病毒数据库等功能,有的杀毒软件附加损害恢复等功能,是电脑防御系统(包含杀毒软件,防火墙,特洛伊木马程序和其他恶意软件的防护及删除程序,入侵防御系统等)的重要组成。[2]
原理
杀毒软件所赋予的任务是随时监控计算机程序的举动、及扫描系统是否含有病毒等恶意程序。部分杀毒软件可经由操作系统开机后随常驻程序启动。杀毒软件对于即时监控的技术不尽相同。有的杀毒软件,会利用部分空间,使正在进行的程序特征与病毒数据库比较,以判断是否为恶意程序。另一些杀毒软件会利用一些空间,模拟系统或用户所允许动作,使受测程序执内联部代码的要求,根据程序的动作即可判断是否为病毒。
而扫描硬盘的方式,则和上面提到的即时监控的第一种执行程序一样,只是在这里,杀毒软件会根据用户的需求(扫描的定义范围)做一次检查。
另外,杀毒软件更涉及更多扫描技术:
- 扫描压缩档技术:即是对压缩档案和封装文件作分析检查的技术。
- 程序窜改防护:即是避免恶意程序借由删除杀毒侦测程序而大肆破坏电脑。
- 修复技术:即是对恶意程序所损坏的文件进行还原
- 急救盘杀毒:利用空白U盘制作急救启动盘,来检测电脑病毒。
- 智慧扫描:扫描最常用的磁碟,系统关键位置,耗时较短。
- 全盘扫描:扫描电脑全部磁碟,耗时较长。
- 勒索软件防护:保护电脑中的文件不被骇客恶意加密。
- 开机扫描:当电脑开机时自动进行扫描,可以扫描压缩文档和可能不需要的程序。
杀毒软件就是一个资讯分析的系统,它监控所有的数据流动(包括:内存-硬盘网络-内存网络-硬盘),当它发现某些资讯被感染后,就会清除其中的病毒。资讯的分析(或扫描)方式取决于其来源,杀毒软件在监控光驱、电邮或局域网间数据移动时工作方式是不同的。
杀毒软件的监控位置:
- 内存监控:当发现内存中存在病毒的时候,就会主动报警;监控所有进程;监控读取到内存中的文件;监控读取到内存的网络数据。
- 文件监控:当发现写到磁碟上的文件中存在病毒,或者是被病毒感染,就会主动报警。
- 邮件监控:当发现电邮的附件存在病毒时进行拦截。
- 网页防护:阻止网络攻击和不安全下载。
- 行为防护:提醒用户可疑的应用程式行为。
基本功能
- 防范病毒:指根据系统特性,采取相应的系统安全措施预防病毒侵入电脑。
- 查找病毒:指对于确定的环境,能够准确地报出病毒名称,该环境包括,内存、文件、引导区(含主导区)、网络等。
- 清除病毒:指根据不同类型病毒对感染对象的修改,并按照病毒的感染特性所进行的恢复。该恢复过程不能破坏未被病毒修改的内容。感染对象包括:内存、引导区(含主引导区)、可执行文件、文档文件、网络等。
核心模块:病毒扫描引擎
特征码扫描
- 机制:将扫描资讯与病毒数据库(即所谓的“病毒特征库”)进行对照,如果资讯与其中的任何一个病毒特征符合,杀毒软件就会判断此文件被病毒感染。杀毒软件在进行查杀的时候,会挑选文件内部的一段或者几段代码来作为他识别病毒的方式,这种代码就叫做病毒的特征码;在病毒样本中,抽取特征代码;抽取的代码比较特殊,不大可能与普通正常程序代码吻合;抽取的代码要有适当长度,一方面维持特征代码的唯一性,另一方面保证病毒扫描时候不要有太大的空间与时间的开销。
- 特征码类别:1.文件特征码:对付病毒在文件中的存在方式:单一文件特征码、复合文件特征码(通过多处特征进行判断);2.内存特征码:对付病毒在内存中的存在方式:单一内存特征码、复合内存特征码
- 优点:速度快,配备高性能的扫描引擎;准确率相对比较高,误杀操作相对较少;很少需要用户参与。
- 缺点:采用病毒特征代码法的检测工具,面对不断出现的新病毒,必须不断更新病毒库的版本,否则检测工具便会老化,逐渐失去实用价值;病毒特征代码法对从未见过的新病毒,无法知道其特征代码,因而无法去检测新病毒;病毒特征码如果没有经过充分的检验,可能会出现误报,数据误删,系统破坏,给用户带来麻烦。
文件校验和法
对文件进行扫描后,可以将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存;在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染病毒。
进程行为监测法(沙盒模式)
- 机制:通过对病毒多年的观察、研究,有一些行为是病毒的共同行为,而且比较特殊,在正常程序中,这些行为比较罕见。当程序运行时,监视其进程的各种行为,如果发现了病毒行为,立即报警。
- 优缺点:1.优点:可发现未知病毒、可相当准确地预报未知的多数病毒; 2.缺点:可能误报警、不能识别病毒名称、有一定实现难度、需要更多的用户参与判断;
主动防御技术
主动防御并不需要病毒特征码支持,只要杀毒软件能分析并扫描到目标程序的行为,并根据预先设定的规则,判定是否应该进行清除操作 主动防御本来想领先于病毒,让杀毒软件自己变成安全工程师来分析病毒,从而达到以不变应万变的境界。但是,电脑的智慧总是在一系列的规则下诞生,而普通用户的技术水平达不到专业分析病毒的水平,两者之间的博弈将主动防御推上一个尴尬境地。
机器学习识别技术
机器学习识别技术既可以做静态样本的二进制分析,又可以运用在沙箱动态行为分析当中,是为内容/行为+算法模式。伴随着深度学习的急速发展,各家厂商也开始尝试运用深度学习技术来识别病毒特征,如瀚思科技的基于深度学习的二进制恶意样本检测 (页面存档备份,存于互联网档案馆)
EICAR杀毒测试文件
|
主条目:EICAR标准反病毒测试文件 |
EICAR杀毒测试文件是欧洲反电脑病毒协会(EICAR)和电脑安全公司共同推出的用于测试病毒扫描引擎的测试文件。它不会危害电脑的程序,而其特征码已被各家电脑安全公司所收录。
杀毒软件评比
参见
参考文献
- ^ Microsoft. 更新防毒軟體降低中毒風險. Microsoft. 2004-07-30 [2010-12-22]. (原始内容存档于2019-08-12) (中文(香港)).
- ^ Henry, Alan. The Difference Between Antivirus and Anti-Malware (and Which to Use). August 21, 2013. (原始内容存档于November 22, 2013).
- ^ 3.0 3.1 诸葛PP. 防毒軟體年終大考,看VB100、AV Comparative怎麼判. T客邦. 2010-12-18 [2010-12-22]. (原始内容存档于2011-08-10) (中文(香港)).
岁末年终之际,二家知名的专业杀毒评测机构VB100与AV Comparative终于公布最新的评测名单,为大大小小超过20家的免费与付费杀毒软件做一次总体检。
外部链接
- (英文) 杀毒软件at the Open Directory Project
- (繁体中文) 壹、免费杀毒软件贰、免费在线扫毒 (页面存档备份,存于互联网档案馆)
- (繁体中文) 完全看懂》2007杀毒软件架构原理 (上) (页面存档备份,存于互联网档案馆)
- (繁体中文) 完全看懂》2007杀毒软件架构原理 (下) (页面存档备份,存于互联网档案馆)
- (繁体中文) 为什么装了杀毒软件还是中毒? (页面存档备份,存于互联网档案馆)
- 在线扫描分析
- VirusTotal
- VirSCAN (页面存档备份,存于互联网档案馆)
- (英文) Jotti's malware scan (页面存档备份,存于互联网档案馆)
- (英文) TreatExpert
Text is available under the CC BY-SA 4.0 license; additional terms may apply.
Images, videos and audio are available under their respective licenses.
