大家好,农企新闻小编来为大家解答以上问题。杀毒软件的发展,杀毒软件技术的应用技术有哪些很多人还不知道,现在让我们一起来看看吧!
杀毒软件技术的应用介绍;
病毒大致分为以下几类:传统病毒、宏病毒、恶意脚本、特洛伊木马、黑客、蠕虫和破坏性程序。
1.传统病毒:可以感染的程序。通过更改文件或其他东西传播,通常有感染可执行文件的文件病毒和感染引导扇区的引导病毒;2.宏病毒:利用Word和Excel的宏脚本功能传播的病毒;
3.恶意脚本(script):造成损害的脚本程序。包括HTML脚本、批处理脚本、VB、JS脚本等。
4.木马程序:当病毒程序被激活或启动时,用户无法停止其运行。广义来说,所有的网络服务程序都是木马,很难确定是不是木马。通常的标准是:在用户不知情的情况下安装,隐藏在后台,没有接口就无法配置服务器。
5.黑客程序:利用网络攻击其他电脑的网络工具。运行或激活后,它有一个和其他正常程序一样的界面;黑客程序用来攻击/破坏别人的电脑,对用户自己的机器没有损害;
6.蠕虫程序:蠕虫是一种病毒,它可以利用操作系统、电子邮件、P2P软件等的漏洞自动传播。
7.危害程序:病毒启动后,破坏用户的电脑系统,如删除文件、格式化硬盘等。常见的有bat文件,有的是可执行文件,有的是与恶意网页结合使用。
病毒和引擎的变化:
简单签名代码
80年代末,基于PC病毒的诞生,出现了病毒清除的工具——杀毒软件。这期间病毒使用的技术比较简单,所以检测起来相对容易。最广泛使用的方法是签名匹配。
特征码是什么?比如“如果在第1034个字节有以下内容:0xec,0x99,0x80,0x99,说明是大麻病毒。”这是特征码,一串十六进制的字符串,表示病毒本身的特征。一般特征码选得很长,有时可达几十个字节,通常选一个以上才能保证判断正确。防病毒软件可以通过使用特征字符串轻松检测病毒。
广谱特性
为了躲避杀毒软件的查杀,电脑病毒开始进化。为了躲避杀毒软件的查杀,病毒逐渐演变成畸形形态。它每感染一次就改变一次自己,通过变形来避免杀戮。于是,同一种病毒的变种数量大大增加,甚至达到天文数字的量级。大量的变形病毒甚至可以有不超过三个连续字节的相同形式。
为了应对这种情况,首先,特征码的获取不能再简单的拿出一段代码,而是要分段,中间可以包含任意内容(即加入一些不参与比较的“屏蔽字节”,在“屏蔽字节”出现的地方,比较中什么都不出现)。这就是曾经提出过的广谱签名的概念。这种技术提供了一段时间内处理一些变形病毒的方法,但也大大增加了误报率。因此,目前的广谱特征码技术并不能有效查杀新病毒,甚至可能给用户造成正规程序为病毒的误报。
启发式扫描
为了应对病毒的不断变化和未知病毒的研究,启发式扫描方法应运而生。启发式扫描是通过分析指令出现的顺序或特定组合等常见病毒的标准特征来判断文件是否感染了未知病毒。由于病毒想要达到感染和破坏的目的,其平时的行为具有一定的特征,比如非常规读写文件、自我终止、非常规切入零环等等。因此,可以根据扫描的具体行为或多种行为的组合来判断一个程序是否是病毒。
相对于静态特征码扫描,这种启发式扫描要高级得多,可以达到一定的未知病毒处理能力,但还是会有不准确的地方。尤其是因为我们不能确定一定是病毒,也不可能杀死未知病毒。
行为判断
针对变形病毒、未知病毒等复杂的病毒情况,很少有杀毒软件采用虚拟机技术,对未知病毒取得了很好的查杀效果。其实就是软件模拟的程序可控虚拟运行环境,就像我们看的电影《黑客帝国》一样。在这种环境下,虚拟执行的程序,就像生活在《黑客帝国》中的人一样,无论好坏,都由architect控制。虽然病毒通过各种方式躲避杀毒软件,但是当它在虚拟机中运行时,并不知道自己的所有行为都在被虚拟机监控,所以当它脱下伪装进行感染时,就会被虚拟机发现。因此,使用虚拟机技术可以发现大多数变形病毒和大量未知病毒。阅读“杀毒软件技术的应用技术有哪些”文章的人还读到:
1.诺顿杀毒软件简介
2.杀毒软件安装和使用的误区
3.如何解决杀毒软件被禁止运行的问题?
4.计算机应用技术和网络技术有什么区别?
5.引入批处理防止杀毒软件被病毒封禁