浅谈杀软检测技术

偶系兔子王

好帖子顶一个！

xmsword

感谢，分享。虽然不知道是否哦完整。但是，很不错。赞一个！

jyxwh

哇，真详细。还是原创的。楼主辛苦了！保存下来慢慢学习

YueDuZhe

学习了，顶一个，但云的问题还是没有搞清~~

辽宁大连~~小海

基本上都了解了，不过金山的kvm也是这样的吗？

a1421117

很好的扫盲贴，学习了。。。

andgn

程序员，数学基础都很好吧。感觉完全不是码农天天枯燥写代码这样的。完全是开创性的工作呢。

马云波波波

      支持！感谢分享！这篇文章很不错，但我要补充以下几点。
      （1）杀软检测技术中，还有校验和法：此法计算文件的校验和并保存，可定期或调用文件时进行对比，从而判断文件是否被病毒感染。虽然此法能发现未知病毒，但由于误报率高，已经逐渐不被采用，只有在云杀软的二次回扫中可能会有所运用，也有类似信誉的部分在里面，如熊猫云安全软件、诺顿网络安全特警等就有这种技术。
优点：可以发现未知病毒。
缺点：无法报出病毒名称，误报率偏高，当软件更新，口令修改或修改文件内容时，校验和法都可能会误报，因为这种方法无法区分文件内容的变化是不是属于正常的程序使用引起的。
      （2）杀软检测技术中，还有大名鼎鼎的熊猫TruPrevent  ,sophos, 牛叉的norman SandBox 诱捕技术。2003 、2004年版本的TruPrevent  能100%阻止爆发于2006-2007年的熊猫烧香。目前TruPrevent主要集成在企业版。据2005年1月7日国际计算机安全协会ICSA实验室的检测报告，在未安装基于特征码的防病毒软件的环境下，提供上百例恶意代码攻击，方正熊猫入侵防护TruPrevent抵御攻击率高达98.92%。 这个时候熊猫烧香还没有出世了。
      下面贴出一张图，以使朋友们更清楚的认识TruPrevent。

      （3）静态启发是通过对文件的二进制代码进行静态分析。当然也有不是分析二进制的静态分析。

行为监测是通过文件在运行过程中的行为操作进行判断，因为一些病毒的行为是无法改变的，所以可以通过文件行为确定带有病毒行为的文件为病毒。

二者是两个完全不同的功能，并不是一个功能。
      （4）下面我补一个有关AVG的资料，实际上大部分杀软都有类似的技术，只不过效果不同而已。
探测方法

在AVG防毒科技里，快速扫描功能的实现来自于程序中精密的分层探测功能组合，它能够在扫描前预先将档案层层过滤，绕过不必要的病毒分析，更直接迅速有效地探测出已受感染的部分。

已知病毒探测
最简单的探测技术，它能就已存在的病毒标识符对文档进行病毒扫描(特别字节序列代表某一具体病毒)；接着在此探测基础上，再进行详细分析，确定准确感染位置。

通用型探测
这是对已知病毒较为普遍的一种探测，可用来锁定已知病毒的新变种。如果没有已知病毒被发现，通用型探测便会在文件中寻找具有某些病毒的特有序列。即便病毒变种后的行为表现有异于先前，但由于病毒本身内部序列不会改变，因此也能被探测出，这项技术可有效探测宏型病毒和脚本病毒。

启发式分析
第三层探测方式是启发式分析。该方法的关键在于它能探测出网络病毒库以外的病毒。在启发式分析中，两种较常用的方法为:
静态启发式分析:在搜寻可疑数据结构时启动。
动态启发式分析:采编码仿真的方式，AVG可在虚拟电脑受保护的状态下打开一个文档，分析文档中是否存在某些病毒的典型行为，比如在运行一个应用程序时，搜寻其他可执行的文件，进行修改。

基于行为分析
第四层是检测病毒的行为分析。这项正在申请专利的技术，着眼于在执行过程中软件的行为。使用不同的分类和先进的算法，这种技术判断文件的危害行为，并阻止其执行。

wufucq

tangjquan 发表于 2011-12-28 10:47
学习下了

抱歉，您没有权限在该版块发帖。

377023549

貌似很专业的样子，还是不很懂。