免費論壇 繁體 | 簡體
Sclub交友聊天~加入聊天室當版主
分享
Board logo

標題: [站長閒聊] 防毒軟件的任務 [打印本頁]

作者: leisurema    時間: 2016-7-25 10:01     標題: 防毒軟件的任務

本帖最後由 leisurema 於 2016-7-25 17:27 編輯

本帖隱藏的內容需要回復才可以瀏覽

本帖隱藏的內容需要回復才可以瀏覽

防毒軟件(英語:Antivirus software)使用於偵測、移除電腦病毒、電腦蠕蟲、和特洛伊木馬程式。
防毒軟件通常含有即時程式監控識別、惡意程式掃描和清除和自動更新病毒數據庫等功能,有的防毒軟件附加損害恢復等功能,
是電腦防禦系統(包含防毒軟件,防火牆,特洛伊木馬程式和其他惡意軟件的防護及刪除程式,入侵防禦系統等)的重要組成。

原理
防毒軟件所賦予的任務是隨時監控電腦程式的舉動、及掃瞄系統是否含有病毒等惡意程式。部分防毒軟件可經由作業系統開機後隨常駐程式啟動。防毒軟件對於即時監控的技術不盡相同。有的防毒軟件,會利用部分空間,使正在進行的程式特徵與病毒數據庫比較,以判斷是否為惡意程式。另一些防毒軟件會利用一些空間,模擬系統或使用者所允許動作,使受測程式執行內部程式碼的要求,根據程式的動作即可判斷是否為病毒。

而掃描硬碟的方式,則和上面提到的即時監控的第一種執行程式一樣,只是在這裏,防毒軟件會根據使用者的需求(掃描的定義範圍)做一次檢查。

另外,防毒軟件更涉及更多掃描技術:

掃描壓縮檔技術:即是對壓縮檔案和封裝檔案作分析檢查的技術。
程式竄改防護:即是避免惡意程式藉由刪除防毒偵測程式而大肆破壞電腦。
修復技術:即是對惡意程式所損壞的檔案進行還原
防毒軟件就是一個資訊分析的系統,它監控所有的數據流動(包括:記憶體-硬碟網絡-記憶體網絡-硬碟),當它發現某些資訊被感染後,就會清除其中的病毒。
資訊的分析(或掃描)方式取決於其來源,防毒軟件在監控光驅、電子郵件或區域網絡間數據移動時工作方式是不同的。

防毒軟件的監控位置: 記憶體監控:當發現記憶體中存在病毒的時候,就會主動報警;監控所有行程;監控讀取到記憶體中的檔案;監控讀取到記憶體的網絡數據。
檔案監控:當發現寫到磁盤上的檔案中存在病毒,或者是被病毒感染,就會主動報警。

基本功能
防範病毒:指根據系統特性,採取相應的系統安全措施預防病毒侵入電腦。
尋找病毒:指對於確定的環境,能夠準確地報出病毒名稱,該環境包括,記憶體、檔案、啟動區(含主導區)、網絡等。
清除病毒:指根據不同類型病毒對感染物件的修改,並按照病毒的感染特性所進行的取消復原。
該取消復原過程不能破壞未被病毒修改的內容。感染物件包括:記憶體、啟動區(含主啟動區)、執行檔、文件檔案、網絡等。

核心模組:病毒掃描引擎
機制:將掃描資訊與病毒數據庫(即所謂的「病毒特徵庫」)進行對照,如果資訊與其中的任何一個病毒特徵符合,防毒軟件就會判斷此檔案被病毒感染。
防毒軟件在進行查殺的時候,會挑選檔案內部的一段或者幾段代碼來作為他識別病毒的方式,這種代碼就叫做病毒的特徵碼;
在病毒樣本中,抽取特徵代碼;抽取的代碼比較特殊,不大可能與普通正常程式代碼吻合;
抽取的代碼要有適當長度,一方面維持特徵代碼的唯一性,另一方面保證病毒掃描時候不要有太大的空間與時間的開銷。
特徵碼類別:
1.檔案特徵碼:對付病毒在檔案中的存在方式:單一檔案特徵碼、複合檔案特徵碼(通過多處特徵進行判斷);
2.記憶體特徵碼:對付病毒在記憶體中的存在方式:單一記憶體特徵碼、複合記憶體特徵碼
1.優點:速度快,配備高效能的掃描引擎;準確率相對比較高,誤殺操作相對較少;很少需要用戶參與;
2.缺點:採用病毒特徵代碼法的檢測工具,面對不斷出現的新病毒,必須不斷更新病毒庫的版本,否則檢測工具便會老化,逐漸失去實用價值;病毒特徵代碼法對從未見過的新病毒,無法知道其特徵代碼,因而無法去檢測新病毒;病毒特徵碼如果沒有經過充分的檢驗,可能會出現誤報,數據誤刪,系統破壞,給用戶帶來麻煩;

檔案校驗和法
對檔案進行掃描後,可以將正常檔案的內容,計算其校驗和,將該校驗和寫入檔案中或寫入別的檔案中儲存;在檔案使用過程中,定期地或每次使用檔案前,檢查檔案現在內容算出的校驗和與原來儲存的校驗和是否一致,因而可以發現檔案是否感染病毒。

行程行為監測法
機制:通過對病毒多年的觀察、研究,有一些行為是病毒的共同行為,而且比較特殊,在正常程式中,這些行為比較罕見。
當程式執行時,監視其行程的各種行為,如果發現了病毒行為,立即報警。
1.優點:可發現未知病毒、可相當準確地預報未知的多數病毒;
2.缺點:可能誤報警、不能識別病毒名稱、有一定實作難度、需要更多的用戶參與判斷;

主動防禦技術

主動防禦並不需要病毒特徵碼支援,只要防毒軟件能分析並掃描到目標程式的行為,並根據預先設定的規則,判定是否應該進行清除操作
主動防禦本來想領先於病毒,讓防毒軟件自己變成安全工程師來分析病毒,從而達到以不變應萬變的境界。
但是,電腦的智能總是在一系列的規則下誕生,而普通用戶的技術水平達不到專業分析病毒的水平,兩者之間的博弈將主動防禦推上了一個尷尬境地。
作者: 夜影o夜空    時間: 2016-7-26 15:11

我來參考一下吧
作者: kkzyy    時間: 2016-7-27 09:41

文章太长了路过




歡迎光臨 SCLUB免費論壇申請-使用者論壇 (http://sclub.com.tw/discuz/) Powered by Discuz! 7.2