杀软工作原理.pdfVIP

杀软工作原理 相信有过病毒查杀经历的朋友都遇到过一种“郁闷”的现象，即使将软件的病毒库升级 到必威体育精装版的版本，对某些强悍的病毒或木马依然无法进行有效的查杀。其实如果您了解杀毒软 件的工作原理和杀毒引擎技术的话，那么心中的疑惑自然就解开了！ 一、杀毒软件的工作流程 对于一款杀毒软件来说，一次成功的病毒查杀过程，通常都要经历病毒识别、病毒报警、 病毒清除、文件或系统复原这几个过程。各个过程中又运用了很多复杂的技术，但其中最关 键的应该是杀毒引擎技术，从广义上来讲，是指通过文件、网页监视等实时监控行为，运用 文件识别技术来完成病毒扫描、识别、报警以及清除，甚至防御的一整套的机制，因此引擎 技术也决定了杀毒软件的优劣，而引擎所包含的众多技术中，病毒识别技术又是重中之重。 二、必不可少的脱壳过程 病毒、木马加壳已经是非常普遍的现象了，目前主要有两种脱壳技术：算法脱壳和动态 脱壳，目前主流的杀毒软件都引入了虚拟机技术，虽然这会占用一定的系统资源，但使带壳 的病毒文件，运行于虚拟机之上，不仅可以更好的识别各种壳，还可以有效防止病毒真正的 感染文件。 算法脱壳：此法是根据加壳程序的解密算法对病毒进行脱壳，虽然有速度快、消耗资源 少的优点，但也有无法脱变形壳的缺点。不过，很多杀毒软件还是能够向用户发出警报，以 弥补无法脱壳的缺憾。 动态脱壳：众所周知，只有让加过壳的程序运行起来，才能将其还原成本来的面目，此 时为了避免程序运行后真正感染系统文件，因此引入了虚拟机技术，为带壳的病毒程序虚拟 一个计算机环境，使它运行于虚拟环境。此法虽优势明显，但也会消耗很多的系统资源，因 此拥有一套自己的、成熟的虚拟机技术，将大大提高检测的速度。 三、识别病毒的几种方法 如何识别病毒，对于任何杀毒软件来说，都是非常重要，同时也是非常核心的工作。 识别病毒的能力，往往决定了这款杀毒软件的病毒查杀能力，若连病毒都无法识别，当然也 就不能对病毒作出妥当的处理。检测病毒方法通常有：特征代码法、校验和法、行为监测法、 软件模拟法几种，各安全厂商会衡量不同方法之间的查杀效果、运行开销等因素，再结合自 身的技术特点，选择相应的病毒识别方法。这里只介绍各种方法的优缺点，对于具体的实现 步骤，已经超出了“菜鸟”的范畴。 特征代码法：这种方法根据正常程序与病毒程序代码的差别来识别病毒文件。有人认 为，对于已知病毒来说，这种方法是最简单、最直接的方法，这种方法的优、缺点都很突出。 优点：检测的准确率较高，误报率低。 缺点：查杀速度慢，由于已知病毒越来越多，因此病毒特征码也随之增加，因此查杀 速度也会越来越慢。不能检测未知病毒和多态性病毒以及隐蔽性病毒。另外这种检测方法也 不适合网络版杀毒软件采用，因为它会消耗我们宝贵的网络资源。 校验和法：此法计算文件的校验和（只要知道是一种算法就可以了）并保存，可定期 或调用文件时进行对比，从而判断文件是否被病毒感染。虽然此法可以发现未知病毒，但由 于其较高的误报率，已经逐渐不被采用。 优点：可发现未知病毒。 缺点：无法报出病毒名称，误报率高，当软件更新，口令修改或修改文件内容时，校 验和法都可能会误报，因为这种方法无法区分文件内容的变化是不是属于正常的程序使用引 起的。 行为监测法：此法根据病毒的行为特征来识别病毒，这需要对病毒行为进行详细的分 类和研究，分析那些病毒共同的行为，以及正常程序的罕见行为，根据程序运行时的行为进 行病毒判断和预警。 优点：由于其归纳和总结各种病毒的共同特征，因此可以发现未知病毒，对于多数未 知病毒预报非常有效。 缺点：对于未知行为病毒，不能有效检测，同时也存在误报现象，对查到的未知病毒， 不能识别病毒名称，因此普通用户不能对发现的未知病毒进行有效的清除。 软件模拟法：这种方法通过模拟病毒运行的方式来检测病毒特征，由于特征码法无法 检测多态性病毒，虽然行为监测法可以发现病毒，但是无法确定病毒名称，也无法对其进行 相应的杀除，因此产生了软件模拟法。 优点：可识别未知病毒，病毒定位准确，误报率低。 缺点：检测速度受到一定影响，消耗系统资源较高。 上述几种检测方法各有所长，往往都不能单纯使用一种方法完成大规模病毒的检测报 警工作，通常都是几种技术相结合，根据实际情况和应用场合配合运用相应的检测手段。 四、清除病毒和文件还原 正确地识别出了病毒后，接着就需要对其进行清除了。此时，又分为两