反病毒技術

經過了很多年的發展，防病毒技術已經日漸成熟，各種防病毒產品所使用的技術也日漸趨同，形成了相對穩定的技術底層。在這裡我們介紹幾種主流的通用防病毒技術，希望給大家了解、評估和使用防病毒軟體帶來一定的幫助。<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

特徵碼識別

這種病毒檢測技術建立於一種認知，那就是對任何乙個病毒來說，都可以從二進位制角度找到其獨一無二的特徵，從而用於該病毒的識別。通常情況下，反病毒工作人員需要檢測感染病毒的檔案，並追蹤和分析病毒的感染行為，從而抽離出有別於其它病毒程式的一段特徵碼。通過這段特徵碼，防病毒軟體可以對檢測到的檔案進行比對操作，並將符合該特徵的程式檔案識別為病毒。事實上，防病毒軟體所應用的特徵碼識別技術是一種基於人工辨識病毒的過程，同時將比對和判別工作自動化。雖然特徵碼識別機制從原理角度來說比較簡單，但卻是至今為止應用最為成熟的防病毒技術，其中乙個主要因素是特徵碼識別技術的可預期性，只要滿足了特定的條件和過程，就能夠有效的完成病毒識別。一方面，這意味著所有的病毒都可以基於這種機制進行處理，使得特徵碼識別具有了極高的普適性；另一方面，這種檢測方法的誤警率也相對較低，在一定程度上保證了病毒檢測的準確性。當然，特徵碼識別也有很多侷限性，例如一些具有動態變化特徵或使用複雜機制隱藏行為**的病毒較難抽取出特徵碼，這時候往往需要加入一些輔助技術才能很好地完成對病毒的識別。另外，由於特徵碼的分析過程以及之後將其更新到使用者計算機的過程勢必要花費一些時間，這決定了特徵碼識別始終是一種被動性的病毒防護技術，在病毒發布到特徵碼更新之間的這個時段，使用者始終要受到病毒的威脅。當然，從實際的可操作性角度考慮，由於病毒的製造速度越來越快，基於特徵碼的各種防病毒產品在病毒庫更新方面的負擔也正在不斷加大，廠商必須投入越來越多的資源，用於病毒特徵碼的分析以及病毒更新庫的製作。

檔案校驗

這是一種在防病毒領域應用廣泛的輔助檢測技術，通過事先對計算機中的檔案生成校驗資料，防病毒軟體可以在掃瞄過程中或使用這些檔案之前判別這些檔案是否經過改變。這種機制的好處在於既可以應用於已知病毒檢測也可以應用於未知病毒檢測，不過由於一些型別的檔案經常發生變動，所以檔案校驗技術在這類檔案的檢測過程中起到的作用較小。

啟發式檢測

為了更好的檢測未知病毒，從很早開始防病毒廠商和技術團體就開始嘗試將人工智慧領域的一些技術融入到反病毒領域，因為只有當計算機具有了與人類對等的智慧型才可能有效的識別未知病毒，而這其中應用較多的是被稱為啟發式檢測的技術。透過維護一組人工智慧規則，防病毒軟體可以分析和評估乙個程式有多大的可能是病毒程式，得出的意見將被用於防病毒引擎的最終評估，同時可以反饋給使用者進行決策。在實際的工作過程中，啟發式掃瞄工具會基於特徵、行為等多種要素進行檢測，從而評估出目標程式的總體可疑程度，如果超過了預先定義的

閥值則將該程式視為病毒處理。總體來說啟發式檢測並不是一種精確的技術，基於概率和加權得到的分析結果，尚只能作為病毒界定的參考。

行為檢測

與通過靜態的特徵碼識別病毒不同，行為檢測技術通過分析病毒的動態行為來達到識別的目的。絕大多數的病毒程式都帶有一些惡意行為，可能是某種感染方式，也可能是某種傳播手段，通過總結和提煉這些特定的行為，防病毒軟體就能夠發現其它使用了相同行為的病毒，甚至是未知病毒。常見的病毒行為包括了向程式檔案嵌入內容、擷取系統中斷、修改系統配置、與系統中的程式進行職責切換等等，通過統計分析已知病毒的行為集合，就可以用於發現更多的病毒。在實際使用當中，行為檢測也依賴於很多其它的技術，例如虛擬機器機制。因為如果當病毒行為執行完成後系統已經遭受感染和破壞，所以行為檢測技術往往與虛擬機器配合使用，在防病毒程式建立的虛擬計算環境中執行目標程式，以在病毒**實際執行前檢測出可疑的行為。

法律宣告：51cto離子翼（

[url]

）

反病毒技術

Chromebook成反病毒市場的病毒？

黑客攻防技術寶典反病毒篇筆記（三）

為什麼說反病毒任重而道遠？

反病毒技術

Chromebook成反病毒市場的病毒？

黑客攻防技術寶典 反病毒篇筆記（三）

為什麼說反病毒任重而道遠？

相關推薦

黑客攻防技術寶典反病毒篇筆記（三）