广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 2474 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[资讯教学] 防毒软体常使用的病毒测试技术
防毒软体常使用的病毒测试技术

病毒码扫描法 将新发现的病毒加以分析后, 根据其特征, 编成病毒码, 加入资料库中。以后每当执行扫毒程式时, 便能立刻扫描程式档案, 并作病毒码比对, 即能侦测到是否有病毒。病毒码扫描法又快又有效率( 例如趋势科技的PC-cillin及Server Protect, 利用深层扫描技术, 在即时扫瞄各个或大或小的档案时,平均只需1/20秒的时间), 大多数防毒软体均采用这种方式, 但其缺点是无法侦测到未知的新病毒及以变种病毒

加总比对法 (Check-sum) 根据每个程式的档案名称、大小、时间、日期及内容, 加总为一个检查码, 再将检查码附于程式的后面, 或是将所有检查码放在同一个资料库中, 再利用此Check-sum系统, 追踪并记录每个程式的检查码是否遭更改, 以判断是否中毒。一个很简单的例子就是, 当您把车停下来之后, 将里程表的数字写下来。那么下次您再开车时, 只要比对一下里程表的数字, 那么您就可以断定是否有人偷开了您的车子。这种技术可侦测到各式的病毒, 但最大的缺点就是误判断高, 且无法确认是哪种病毒感染的。对于隐形飞机式病毒, 亦无法侦测到

人工智慧陷阱(Rule-based) 人工智慧陷阱是一种监测电脑行为的常驻式扫描技术。它将所有病毒所产生的行为归纳起来, 一旦发现记忆体的程式有任何不当的行为, 系统就会有所警觉, 并告知使用。这种技术的优点是执行速度快、手续简便, 且可以侦测到各式病毒;其缺点就是程式设计难, 且不容易考虑周全。不过在这千变万化的病毒世界中, 人工智慧陷阱扫描技术是一个至少具有保全功能的新观点。目前趋势科技的PC-cillin, 就对病毒的可疑行为设下了将近12道的陷阱, 以达到预防重于治疗的目标

软体模拟扫描法 软体模拟技术专门用来对付千面人病毒(Polymorphic /MutationVirus)。千面人病毒在每次传染时, 都以不同的随机乱数加密于每个中毒的档案中, 传统病毒码比对的方式根本就无法找到这种病毒。软体模拟技术则是成功地模拟CPU执行, 在其设计的DOS虚拟机器(Virtual Machine)下假执行病毒的变体引擎解码程式, 安全并确实地将多型体病毒解开,使其显露原本的面目, 再加以扫描

VICE(Virus Instruction Code Emulation) - 先知扫描法 VICE先知扫描技术是继软体模拟后的一大技术上突破。既然软体模拟可以建立一个保护模式下的DOS虚拟机器, 模拟CPU动作并假执行程式以解开变体引擎病毒, 那么应用类似的技术也可以用来分析一般程式检查可疑的病毒码。因此VICE将工程师用来判断程式是否有病毒码存在的方法, 分析归纳成专家系统知识库, 再利用软体工程的模拟技术(Software Emulation)假执行新的病毒, 则可分析出新病毒码对付以后的病毒

即时的I/O扫描(Realtime I/O Scan) Realtime I/O Scan的目的在于即时地对资料的输入/输出动作做病毒码比对的动作, 希望能够在病毒尚未被执行之前, 就能够防堵下来。理论上, 这样的即时扫描程式虽然会影响到整体的资料传输速率, 但是使用Realtime I/O scan, 档案传送进来之后, 就等于扫过了一次毒, 整体来说, 是没有什么差别的

文件巨集病毒陷阱(MacroTrapTM) MacroTrapTM 是结合了病毒码比对与人工智慧陷阱的技术,依病毒行为模式(Rule base) 来侦测已知及未知的巨集病毒。其中,配合OLE2技术,可将巨集与文件分开,使得扫描速度变得飞快,而且更可有效地将巨集病毒彻底清除



爸爸 你一路好走
献花 x1 回到顶端 [楼 主] From:台湾 | Posted:2006-12-25 14:06 |
风云人物 手机
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖
小有名气
级别: 小有名气 该用户目前不上站
推文 x6 鲜花 x57
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

很棒的文章~
有些地方小弟帮忙补充一下~

什么是病毒码(VirusPattern)?
所谓的病毒码其实可以想像成是犯人的指纹,当防毒软体公司收集到一只新的病毒时,他们就会从这个病毒程式中截取一小段独一无二而且足以表示这只病毒的二进位程式码(BinaryCode),来当做扫毒程式辨认此病毒的依据,而这段独一无二的二进位程式码就是所谓的病毒码。说到这里又有人要问,什么叫二进位程式码呢?在电脑中所有可以执行的程式(如*.EXE,*.COM)几乎都是由二进位程式码所组成,也就是电脑的最基本语言--机械码。就连当红的文件巨集病毒,虽然它只是包含在Word文件档案中的巨集,可是它的巨集程式也是以二进位码的方式存在于Word文件档

病毒码是如何产生的?
上面提到病毒码就是一小段二进位程式码的组合,可是一个执行档或是一个Word文件病毒要怎么取得病毒码?又如何才算是独一无二的病毒码呢?其实病毒码必须依照各种不同格式的档案及病毒感染的方式来取得。举例来讲,如果有一个Windows的程式被病毒染感,那么我们就必须先研究出Windows档案的格式,看看Windows档案是怎么被系统执行,以便找出Windows程式的进入点,因为病毒就是藏身在这个地方来取得控制权并进行传染及破坏,知道病毒程式在一个Windows档案中所存在的位置之后,就可以从这个区域中来找出一段特殊的病毒码供扫毒程式使用。

在防毒软体公司中都会有一组电脑功力高强的人,专门在为各种不类型的档案或病毒抓病毒码,可是当病毒愈来愈多,要找出每一只病毒都独一无二的病毒码可能就不太容易,有时后甚至这些病毒码还会误判到一些不是病毒的正常档案,所以通常防毒软体公司在将病毒码送给客户前都必须先经过一番严格的测试,比方说拿这些病毒码去扫描前100大(Top100)软体都不会造成任何误判现象,而且都能侦测到所有的病毒才能出货,经过这些手续之后一个病毒码定义档才算是真正完成,可放在Internet或BBS上供使用者自由Download。

此文章被评分,最近评分记录
财富:50 (by upside) | 理由: 感谢提供资讯 数位男女因你而丰富 感谢补充资料


叶的离去,是风的追求?还是树的不挽留?
献花 x1 回到顶端 [1 楼] From:台湾Chang Gung College of Medi | Posted:2006-12-25 14:58 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.061294 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言