返回
反病毒软件的检测病毒过程

反病毒软件的检测病毒过程

ID:19918929

大小:52.00 KB

页数:3页

时间:2018-10-07

反病毒软件的检测病毒过程_第1页
反病毒软件的检测病毒过程_第2页
反病毒软件的检测病毒过程_第3页
资源描述:

《反病毒软件的检测病毒过程》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、反病毒软件的检测病毒过程~教育资源库  一个反病毒程序检测什么?实际上非常多,包括一些技术上来说并不是病毒的程序。大多数我们提到的病毒可能被称为恶意软件更为准确。讽刺的是许多在市场上销售的专杀产品(比如检测间谍或者木马程序的)都宣称是必备的,他们的理由是反病毒软件只能检测病毒。   事实上,商业的反病毒产品涉及的恶意软件的范围比大多数专杀程序要广。专杀程序可能在它的特定范围内检测到更多的威胁,但是这不仅与程序检测已知威胁及其类型的能力有关,还包括以下几个因素:   u程序的广谱检测能力   u区分不同恶意软件的标准   

2、u样本共享机制(相比其它恶意软件检测领域的厂商,反病毒厂商为此采取了行之有效的交换途径)   下面的章节讨论了3个主要的恶意软件类型。完整的恶意软件分类方法将不在本文讨论的范围内。   病毒   期待反病毒软件检测病毒,当然是合情合理的。因为多年来反病毒软件在检测病毒方面如此成功,也正是由于这部分原因,以至于它检测其它类型恶意软件的能力被低估了。   虽然病毒有很多种定义,但一种被恶意软件研究者普遍接受的定义是―病毒是一种计算机程序,它能通过将复制自身(或者自身的变体)修改计算机中的其他程序,以达到感染目的∥[1,2]。

3、   这个定义涵盖了很多种类型的病毒,包括:   u引导型病毒,硬盘分区病毒   u文件型病毒(寄生病毒)   u混合型病毒   u宏病毒和脚本病毒   尽管有些病毒类型现在已经很少见了(比如引导型病毒和硬盘分区病毒),但是反病毒程序一般都能检测在该平台上(有时包括其它平台)发现的这类已知病毒。通常,反病毒软件也善于通过启发式的方式检测新的或未知的病毒种类。   蠕虫   业界从未在蠕虫的定义上真正地达成一致,如科恩所说―蠕虫是一种病毒的特例∥[1],但不论蠕虫是怎样的特例,反病毒软件通常都能检测它们。   对于蠕虫的不

4、同定义甚至比针对病毒的还要多,但是大部分反病毒研究者将蠕虫定义为一种以非寄生方式复制的程序,也就是说,它不把它自身附加到一个寄主文件上。邮件群发者可以描述为一种特殊类型的蠕虫.多数反病毒厂商将这种通过电子邮件传播的恶意软件视为蠕虫,但是一些邮件群发者具有纯病毒的特点(比如,Melissa事实上是一种纯病毒,一种能够像蠕虫一样传播的宏病毒,而agistr则是一种文件型病毒)。   对于新型蠕虫变种的检测,厂商同样有很好的手段。比如说,新型邮件群发器几乎在出现的同时,就被通信安全服务供应商及其系统列入了黑名单.   非复制型

5、恶意软件   这个定义是根据上文的定义得出来的,即如果一个恶意软件不具有复制能力,那它就不是病毒或者蠕虫。但是这并不意味着反病毒软件不能检测到它,除非其不具有威胁。   要说明的是,即使当反病毒厂商过去常以非复制型的对象不是病毒为由拒绝对它们的检测时,一些非自我复制的对象(它们当中的一些甚至不是可执行程序,更不要说是有恶意的了)仍然能被检测到并且报毒。例如:   u未遂病毒(复制自身失败的病毒)和损坏的病毒   u垃圾文件   u与病毒相关的非病毒程序,如病毒原体,释放器,病毒生成器 u合法的测试程序如EICAR测试文件

6、  许多已传播多年的非复制型病毒,由于管理不善,仍然被一些评测机构作为样本,用于针对杀毒软件的测试中。绝大部分厂商早已不再拒绝将这些病毒的特征码添加到其产品的病毒库中,避免因没有检测出这些病毒样本,而取得不理想的测试成绩。遗憾的是,日趋复杂的启发式扫描引擎,也只是刚好跟上了杀毒软件测试者不断更新的测试手段,有时新的测试手段也并非恰当。本文的后面部分会简略地分析测试产品启发式扫描能力时,技术上可接受的方式。   人们了解最多的非复制型恶意软件是木马程序(或简称为木马)。木马程序声称能执行一些有用的操作或提供一些必要的功能,

7、可能也确实如此。但同时它也会执行一些用户并不希望或不需要的操作。这包括一系列特定的恶意软件:   u病毒释放器;   u键盘记录器;   u破坏性木马程序;   u下载者;   u间谍程序;   u广告程序;   u内核后门与stealthkits   u玩笑程序;   u僵尸程序(机器人程序,远程控制木马,DDoS客户端等)   可自我复制的恶意软件(如病毒)有时也被认为是木马程序(或称为木马型病毒,这表示这种木马通过将一个以前合法的程序损坏,修改或替换而引起破坏),大部分人可能会发现这样的分类所带来的困惑多于帮助。检

8、测出所有非复制型恶意软件要比检测出所有形式的病毒更加困难,因为不仅  要测试程序的复制能力,还要测试程序的一系列作用。   争论的焦点在于,判断一个程序是不是木马程序(或恶意软件),是否应更多根据其目的来界定,而非功能来界定。例如,一个键盘记录程序如果是经过用户授权或用户自愿安装的,即使它的功能与木马程序是相同的,那

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。