|
防病毒工具是大多数防恶意软件套装的必备组件之一。它必须能够辨识已知的和未见过的恶意文件,并且在造成破坏前阻止它们。尽管这些工具在实现恶意软件侦测机制方面有所不同,但它们趋向于融合同样的病毒侦测技术。熟悉这些技术有助于你理解防病毒软件是如何工作的。 基于签名的侦测技术:使用已检查过文件的关键特征来创建已知恶意软件的静态指纹。该签名可能以文件的一系列字节来表示。它也可能是整个文件或部分文件加密后的哈希值。这个侦测恶意软件的方法,是防病毒软件工具诞生以来必要的方面之一。作为许多工具的一部分该技术保留至今,尽管它的重要性在逐渐减弱。基于签名的侦测技术的主要局限在于,从它自身来说,这个方法无法标记那些还没有开发签名的恶意文件。考虑到这点,现今的攻击者们经常通过改变文件的签名来对病毒进行变异并保留恶意的功能。 基于启发式的侦测技术:该技术目的在于通过静态地检查文件的可疑特征,来一般性地侦测新的恶意软件而无需精确的签名匹配。例如,某个防病毒工具可能在被检查的文件中寻找罕见的指令或花指令(junk code)。该工具还可能模拟运行该文件,以便确认如果执行该文件,它会在不明显拖慢系统的情况下尝试做些什么。单独的可疑属性可能还不足以把这个文件标记为恶意的。然而好几个这样的特征可能会超出期望的风险阈值,导致该工具把该文件划分为恶意软件。启发式方法最大的弊处在于它可能无意地把合法的文件标记为恶意的。 行为侦测技术:该技术观察程序如何执行,而不是仅仅模拟它的执行。这个方法尝试通过寻找可疑的行为如解压恶意代码、修改主机的文件或是进行键盘记录来辨识恶意软件。值得注意的是,这样的操作能够让防病毒工具在受保护系统上侦测到事先未见过的恶意软件。对于启发式技术来说,这些操作的每一个可能不足以划分程序为恶意软件,然而把它们一起考虑的话可能意味着是一个恶意的程序。使用基于行为技术让防病毒软件更加接近于主机入侵预防系统(host intrusion prevention systems,HIPS)的类别,后者传统上以单独的产品类别存在。 |
|
|
