|
计算机安全行业已走过20多个年头,技术领域也进行了多次革新,特别是在杀毒软件的核心技术 - 杀毒引擎方面,也从简单的数据匹配、识别到如今的智能判断和分析。改变很多,方向更广。而在今天回顾一下病毒和查杀引擎的变迁,也能够让大家了解到当前反病毒行业的一个发展状况。
在将引擎变迁之前,首先我们要简单了解下常规病毒的基本原理和分类,目前的主要计算机病毒(常规病毒)大致分为以下几类:传统病毒、宏病毒、恶意脚本、木马、蠕虫(变种)等。 本文来自亿度软件:www.
一、病毒与引擎的变迁
0.病毒类别和威胁类型
传统病毒能够感染的程序。通过改变文件或者其他东西进行传播,通常有感染可执行文件的文件型病毒和感染引导扇区的引导型病毒,而宏病毒则通常会利用Word、Excel等的宏脚本功能进行传播,恶意脚本包括在HTML脚本、批处理脚本、VB、JS脚本等输入恶意代码实现攻击目的。木马则是在用户不知情的情况下安装,隐藏在后台,伺机发作。蠕虫病毒,则是一种可以利用操作系统的漏洞、电子邮件、P2P软件等自动传播自身的病毒。
看过了大致分类,我们就可以做初步判定,至少要具备以上各式病毒的查杀引擎,才可真正成为一款“杀毒软件”。比如瑞星全功能安全软件,就是一款全功能的病毒查杀程序,可以快速检测、查杀上述病毒威胁。
1.早期反病毒引擎 - 特征码识别
80年代末期,基于个人电脑病毒的诞生,特别是Windows操作系统的发布,病毒开始愈发引起用户注意,随即,早期一些安全厂商就开始开发相关清除病毒的工具 - 反病毒软件。当然,早期病毒相对简单,破坏力小,从而检测相对容易,最广泛使用的就是特征码匹配的方法,即我们白话所说的“找不同”。
然而特征码是什么意思呢?例如在系统代码的XX节处是下面的内容:“0xec , 0×99, 0×80,0×99,就表示是大麻病毒(早期知名病毒)。”这一串表明病毒自身特征的十六进制的字串,通常就包含有病毒和威胁信息,而杀毒软件通过利用特征串,可以非常容易的查出病毒。
但这段时光并没有维持多久,很快计算机病毒就进入了一个新的时代,也就是“广谱特征”时代,这个时代离我们并不遥远,90年代中后期和新世纪初期,仍然是主流杀毒软件所采用的查杀引擎和识别技术。
2.中期识别方式 - 广谱特征
为了躲避杀毒软件的查杀,电脑病毒在90年代中后期开始进化。病毒为了躲避杀毒软件的查杀,逐渐演变为“变形”的形式,每感染一次,就对自身变一次形(病毒变种)通过对自身的不断变形来躲避查杀。这样一来,同一种病毒的变种病毒大量增加,甚至可以到达天文数字的量级。大量的变形病毒不同形态之间甚至可以做到没有超过三个连续字节是相同的。
为了对付这种情况,首先特征码的获取不可能再是简单的取出一段代码来进行简单分析,而需要分段的增加了一些不参加比较的“掩码字节”,在出现“掩码字节”的地方,对不同点进行详细分析,这就是“广谱特征码”的概念。这个技术在很长一段时间内,是杀毒软件的主要扫描和查杀技术,但这种方式,会拖慢查杀速度,导致早年间扫描一次系统往往需要半天、甚至一天。同时也使误报率大大增加,因为采用广谱特征码的技术不但可以对新病毒进行查杀,并且还可能把正规程序当作病毒误报给用户,早期关于“误报”的消息,也大多因此而来。
3.新式查毒方式 - 启发式扫描(Hips)
由于“广谱特征”并不能完全满足用户的查杀需求,加之病毒的日益革新,启发式扫描方式出现了。这也是今天很多杀毒软件依然采用的查杀技术。这种扫描技术是通过分析相关的病毒指令,判断其出现的次序,或组合、排列情况等病毒的标准特征来决定文件是否感染病毒,甚至是否有“未知”病毒迹象。
而病毒要达到感染和破坏的目的,通常的行为都会有一定的行为和特征,例如非常规读写文件,终结自身进程,非常规切入零环等等。所以可以根据扫描特定的行为或多种行为的组合来判断一个程序是否是病毒,而启发式扫描,就恰好具备了这些特性,更是比起传统意义上“静态”的特征码扫描要先进许多,可以达到一定的“未知”病毒处理能力。
4.同期先进查杀技术 - 行为判定(虚拟脱壳)
针对“变种”病毒、未知病毒等复杂的病毒情况,一些杀毒软件采用了“虚拟机”(脱壳)技术,达到了对未知病毒良好的查杀效果。它实际上是一种可控的,由软件模拟出来的程序虚拟运行环境,虽然病毒可以通过各种方式来躲避杀毒软件,甚至迫使防火墙失效,但是当它运行在虚拟机中时,它并不知道自己的一切行为都在被虚拟机所监控,所以当它在虚拟机中脱去伪装进行传染时,就会被虚拟机所发现,如此一来,利用“虚拟机技术”(脱壳)就可以发现大部分的变形病毒和大量的未知病毒。
编辑点评:
四个不同的时代,代表了四种不同的技术,杀毒引擎的变迁,也可以说是一段病毒的发展历史,正是由于病毒不断更新、不断变种,推动了反病毒产品的不断革新、不断升级。而目前的主流杀毒产品,如瑞星全功能安全软件和正在公测的瑞星杀毒软件2010版本均采取了最为先进的病毒扫描和查杀技术,可以有效清除系统内存在的病毒和木马程序,全面保护您的系统安全。
作者:中关村在线 刘晶晶
来源:http://xiazai.zol.com.cn/article_topic/141/1413996.html
|
