小七技术论坛,计算机安全和杀毒软件,编程交流于软件安全技术交流,给新手一个绿色安全的论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

安全验证
请完成以下验证码
搜索
安全验证
请完成以下验证码
查看: 301|回复: 1

特征码查杀原理

[复制链接]
  • TA的每日心情
    慵懒
    13 小时前
  • 签到天数: 1297 天

    连续签到: 78 天

    [LV.10]以坛为家III

    管理员

    Rank: 9Rank: 9Rank: 9

    UID
    21141
    小七币
    7250
    贡献
    1070
    在线时间
    4361 小时
    注册时间
    2013-5-11

    新人进步真我风采活跃会员特殊贡献版主原创先锋优秀会员论坛总监宣传大使寂寞的管理员终身成就最佳版主常住居民幽默大师金点子

    无痕 发表于 2015-10-13 10:15:54 | 显示全部楼层 |阅读模式
    生活圈制作
          目前的大多数防病毒软件采用的方法主要是特征码查毒与人工解毒并行,即在查找病毒时采用特征码查毒方法,在杀病毒时采用人工编制解毒代码的方法。特征码查毒方案实际上是人工查毒经验的简单描述,它再现了人工辨识病毒的一半方法,采用了“同一种病毒或者同类型病毒的某一部分特征码相同”的原理,也就是说,如果病毒以及其变种、变形病毒具有同一的特性,则可以对这种同一性进行描述与抽象,并通过对程序体与描述结果“特征码”进行比较来查找病毒。
          特征码又称电脑病毒特征码,它主要有反病毒公司制作,一半都是被反病毒软件公司为只有该病毒才可能会有的一串二进制字符串,而这串字符串通常是文件里对应代码或者汇编指令的地址。杀毒软件会将这一串二进制字符串用某中方法与目标文件或者进程进行对比,从而判定该文件货进程是否被病毒所感染。但是并非所有的病毒都可以描述其特征码,很多病毒都是难以描述甚至无法用特征码进行描述的。使用特征码技术需要实现另外一些补充功能,例如近年来的压缩包,压缩可执行文件自动查杀技术。
          但是,特征码查毒机制也具有极大的局限性。病毒在理论上是不可判定的,病毒
    是一段程序,不同种类的病毒,它们的代码千差万别,包括同一种类的病毒,经过修改,其编译后的结果也会有很大的区别。任何人都不可能预测明天将会出现什么新的病毒种类。但是有一点可以肯定,只要出现了一项新的计算机技术,充分利用这项新技术编写的新病毒一定离我们不远了。而由于软件种类极其丰富,且某些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术。所以虽然有写利用病毒某些共有的操作(如驻留内存,修改中断等等)这些共性,制作了声称可查所有病毒的程序,但这种方法对病毒进行检测势必会造成较多的误报情况,不够可靠,目前都只能作为辅助的手段配合使用,无法独立推广。近年来,杀毒软件厂商不断有误杀的新闻传出,07年的诺顿,08年的瑞星和卡巴都曾在不同成都上出现过误杀,有的误杀操作甚至导致了操作系统的崩溃。由此可见,病毒的不断变种,给杀毒软件的查杀造成了不小的压力。
          实际上,计算机病毒学创始人早在80年代初期就已经提出了计算机病毒的发展模型,证明只要延用现行的计算机体系,计算机病毒就永远存在着“不可判定性”这一特点。杀病毒必须先收集到病毒的样本,使其成为已知病毒,然后分析病毒,再将病毒传染的过程准确的逆向重现过来,使被感染的计算机恢复原状。因此可以看出,一方面计算机病毒是不可灭绝的,另一方面病毒也并不可怕,世界上没有清除不掉的病毒。特征码的描述取决于人的主要因素,从长达数千字节乃至更大的病毒体中提取出十多字节的病毒特征码,需要对病毒进行跟踪、反汇编以及其他方面分析,如果病毒本身具有反跟踪技术和变形、解码等技术,那么要跟踪和反汇编从而获取特征码的情况将变得极其复杂与不可预知。此外,要取得一个病毒的特征码,必然要获取该病毒的样本,再由于对特征码的描述各个不同,特征码查杀的方法在国际上很难得到广域性支持。特征码查病毒主要的技术缺陷变现在较大的误查和误报上,而查杀病毒技术又导致了反病毒软件的技术的落后性。
          计算机病毒的查杀方法一共经历了如下四个阶段 :特征码查毒、启发式查毒、虚拟机查毒以及人工智能技术。特征码查杀病毒作为其他技术的发展基础,如今仍被广泛使用。而之后所采用的其他技术手段在检测到病毒的存在后,也将会使用特征码提取的方式,把新发现的病毒变种特征码加入特征码库中,提高杀毒软件的杀毒能力。尽管特征码查杀存在着滞后与变通性差等特点,但是仅通过十多字节的比较查杀出木马可以很好的发挥其查杀速度快,准确等的有点。
    本文来自小七免杀论坛  官方网站:www.xiaoqi7.com

  • TA的每日心情
    无聊
    2016-4-4 15:07
  • 签到天数: 52 天

    连续签到: 1 天

    [LV.5]常住居民I

    老百姓

    Rank: 1

    UID
    2610
    小七币
    64
    贡献
    0
    在线时间
    52 小时
    注册时间
    2012-2-16
    .....QNMLGB疯子 发表于 2015-10-13 13:43:31 | 显示全部楼层
    以前的江民杀毒,好像有个硬盘锁,经常搞得电脑开不了机。。。
    希望小七论坛活跃交流 ...
    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    QQ|Archiver|手机版|小黑屋|小七技术论坛 ( 闽ICP备11025971号-4

    GMT+8, 2017-2-21 14:03 , Processed in 0.384727 second(s), 34 queries .

    Powered by Discuz! X3.2

    © 2001-2013 Comsenz Inc.

    快速回复 返回顶部 返回列表