文档介绍:以下文章部分转载自瑞星网络,其余均为黑客基地版主逐渐变黑编写,转载请保留作者及出处。
作者:逐渐变黑
免杀知识前瞻第1节
杀毒软件的几种杀毒模式
在网络安全平民化的今天,病毒的使用已经不再是一个什么新鲜的话题。而随着病毒的不断增多和变种。杀毒软件的病毒搜索引擎。也不断的更新换代。从最开始的判断PE。文件大小。到现在的特征码查杀。主动防御。等等。可谓是层出不穷,但上有政策,下必然有新的对策。杀毒软件更新,病毒免杀技术也随之接受新的挑战。今天。我们就从杀毒软件的几种杀毒模式中,给大家讲解木马免杀技术。
特征码查杀+虚拟机脱壳技术
特征码查杀技术仍然是现在多数杀毒软件所采用的。主流的杀毒技术。这种技术的主要原理是。通过大量的病毒采集,不断的更新病毒库,在病毒文件中提取一句或者多句代码。这样无疑是最准确的。不会出现病毒的错误报告。导致系统出问题。但随着各种加密壳以及压缩壳的开发出来。很多木马加壳以后就无法被杀毒软件调试,所以就出现了。找不到正确的代码。来判断不出是否是病毒文件。虚拟机脱壳技术就诞生了。最开始。杀毒软件采用硬脱壳的技术来实现对文件进行脱壳调试,加入很多以知壳的类别,但由于收集类别有限,很多壳无法脱壳调试。所以就有了现在的虚拟机脱壳技术,因为病毒不论加载什么壳。最终还是需要在电脑里面去脱壳执行,虚拟机脱壳技术是让病毒在杀毒软件特殊构造的一个虚拟环境中运行后,对其进行查杀,这样大大提高了脱壳调试效率。提高了工作水平,但不能不说的是,特征码杀毒。必须建立在有病毒样本以后。杀毒软件更新了病毒库后。才能对新的病毒进行杀毒。这也就出现了。一个很大的隐患,一旦出现传播技术很广的未知病毒。用户还是不能及时杀毒。但很多情况下。这种不及时是毁灭性的。这种比病毒慢一拍的杀毒方式。逐渐已经显出不足的地方。提高病毒库收集样本。提高病毒文件采集,将是一个非常巨大的工程。在这种情况下。杀毒软件厂商纷纷开发出自己的新型辅助反病毒技术。主动防御体系。
主动防御技术
我们通过瑞星官方为瑞星做的广告。来了解下。他们所讲的主动防御是什么概念
主动防御是一种阻止恶意程序执行的技术。它比较好的弥补了传统杀毒软件采用“特征码查杀”和“监控”相对滞后的技术弱点,可以在病毒发作时进行主动而有效的全面防范,从技术层面上有效应对未知病毒的肆虐。
    瑞星杀毒软件2008中采用的主动防御技术包含三个层次,资源访问规则控制;资源访问扫描;程序活动行为分析引擎,其中尤其以行为分析引擎技术最为关键。
    第一层:资源访问控制层(即HIPS)
    它通过对系统资源(注册表、文件、特定系统API的调用、进程启动)等进行规则化控制,阻止病毒、木马等恶意程序对这些资源的使用,从而达到抵御未知病毒、木马攻击的目的。
    第二层:资源访问扫描层(即传统的文件监控、邮件监控等)
    通过监控对一些资源,如文件、引导区、邮件、脚本的访问,并使用拦截的上下文内容(文件内存、引导区内容等)进行威胁扫描识别的方式,来处理已经经过分析的恶意代码。
    第三层:进程活动行为判定层(危险行为判定、DNA识别)
    进程活动行为判定层自动收集从前两层传上来的进程动作及特征信息,并对其进行加工判断。瑞星专家经过对数十万病毒的危险行为进行分析,提炼,设计出全新的主动防御智能恶意