杀毒软件





Application-pgp-signature.svg

body.skin-minerva .mw-parser-output table.infobox caption{text-align:center}














「杀毒软件」的各地常用別名
中国大陸
杀毒软件
臺灣
防毒軟體
港澳
防毒軟件

杀毒软件英语:Antivirus software)使用於偵測、移除電腦病毒、電腦蠕蟲、和特洛伊木馬程式。[1]防毒軟體通常含有即時程序監控识别、惡意程式掃描和清除和自動更新病毒資料庫等功能,有的防毒軟體附加損害恢復等功能,是電腦防禦系統(包含防毒軟體,防火牆,特洛伊木馬程式和其他惡意軟體的防護及刪除程序,入侵防禦系統等)的重要組成。




目录






  • 1 原理


  • 2 基本功能


  • 3 核心模块:病毒扫描引擎


    • 3.1 特征码扫描


    • 3.2 文件校验和法


    • 3.3 进程行为监测法


    • 3.4 主动防御技术




  • 4 EICAR防毒測試檔案


  • 5 防毒軟體評比


  • 6 參見


  • 7 参考資料


  • 8 外部連結





原理


防毒軟體所賦予的任務是隨時監控電腦程式的舉動、及掃瞄系統是否含有病毒等惡意程式。部分防毒軟體可經由作業系統開機後隨常駐程式啟動。防毒軟體對於即時監控的技術不盡相同。有的防毒軟體,會利用部分空間,使正在進行的程序特徵與病毒資料庫比較,以判斷是否為惡意程式。另一些防毒軟體會利用一些空間,模擬系統或使用者所允許動作,使受測程序執行內部程式碼的要求,根據程序的動作即可判斷是否為病毒。


而掃描硬碟的方式,則和上面提到的即時監控的第一種執行程序一樣,只是在這裡,防毒軟體會根據使用者的需求(掃描的定義範圍)做一次檢查。


另外,防毒軟體更涉及更多掃描技術:




  • 掃描壓縮檔技術:即是對壓縮檔案和封裝文件作分析檢查的技術。

  • 程序竄改防護:即是避免惡意程式藉由刪除防毒偵測程序而大肆破壞電腦。

  • 修復技術:即是對惡意程式所損壞的檔案進行還原


杀毒软件就是一个信息分析的系统,它监控所有的数据流动(包括:内存-硬盘网络-内存网络-硬盘),当它发现某些信息被感染后,就会清除其中的病毒。信息的分析(或扫描)方式取决于其来源,杀毒软件在监控光驱、电子邮件或局域网间数据移动时工作方式是不同的。


杀毒软件的监控位置:



  • 内存监控:当发现内存中存在病毒的时候,就会主动报警;监控所有进程;监控读取到内存中的文件;监控读取到内存的网络数据。

  • 檔案监控:当发现写到磁盘上的文件中存在病毒,或者是被病毒感染,就会主动报警。



基本功能



  • 防范病毒:指根据系统特性,采取相应的系统安全措施预防病毒侵入计算机。

  • 查找病毒:指对于确定的环境,能够准确地报出病毒名称,该环境包括,内存、文件、引导区(含主导区)、网络等。

  • 清除病毒:指根据不同类型病毒对感染对象的修改,并按照病毒的感染特性所进行的恢复。该恢复过程不能破坏未被病毒修改的内容。感染对象包括:内存、引导区(含主引导区)、可执行文件、文档文件、网络等。



核心模块:病毒扫描引擎



特征码扫描



  • 机制:将扫描信息与病毒数据库(即所谓的“病毒特征库”)进行对照,如果信息与其中的任何一个病毒特征符合,杀毒软件就会判断此文件被病毒感染。杀毒软件在进行查杀的时候,会挑选文件内部的一段或者几段代码来作为他识别病毒的方式,这种代码就叫做病毒的特征码;在病毒样本中,抽取特征代码;抽取的代码比较特殊,不大可能与普通正常程序代码吻合;抽取的代码要有适当长度,一方面维持特征代码的唯一性,另一方面保证病毒扫描时候不要有太大的空间与时间的开销。

  • 特征码类别:1.文件特征码:对付病毒在文件中的存在方式:单一文件特征码、复合文件特征码(通过多处特征进行判断);2.内存特征码:对付病毒在内存中的存在方式:单一内存特征码、复合内存特征码

  • 优点:速度快,配备高性能的扫描引擎;准确率相对比较高,误杀操作相对较少;很少需要用户参与。

  • 缺点:采用病毒特征代码法的检测工具,面对不断出现的新病毒,必须不断更新病毒库的版本,否则检测工具便会老化,逐渐失去实用价值;病毒特征代码法对从未见过的新病毒,无法知道其特征代码,因而无法去检测新病毒;病毒特征码如果没有经过充分的检验,可能会出现误报,数据误删,系统破坏,给用户带来麻烦。



文件校验和法


对文件进行扫描后,可以将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存;在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染病毒。



进程行为监测法



  • 机制:通过对病毒多年的观察、研究,有一些行为是病毒的共同行为,而且比较特殊,在正常程序中,这些行为比较罕见。当程序运行时,监视其进程的各种行为,如果发现了病毒行为,立即报警。

  • 优缺点:1.优点:可发现未知病毒、可相当准确地预报未知的多数病毒; 2.缺点:可能误报警、不能识别病毒名称、有一定实现难度、需要更多的用户参与判断;



主动防御技术


主动防御并不需要病毒特征码支持,只要杀毒软件能分析并扫描到目标程序的行为,并根据预先设定的规则,判定是否应该进行清除操作
主动防御本来想领先于病毒,让杀毒软件自己变成安全工程师来分析病毒,从而达到以不变应万变的境界。但是,计算机的智能总是在一系列的规则下诞生,而普通用户的技术水平达不到专业分析病毒的水平,两者之间的博弈将主动防御推上一个尴尬境地。



EICAR防毒測試檔案



EICAR防毒測試檔案是歐洲反電腦病毒協會(EICAR)和電腦安全公司共同推出的用於測試病毒掃描引擎的測試檔案。它不會危害電腦的程序,而其特徵碼已被各家電腦安全公司所收錄。



防毒軟體評比




  • AV-Comparatives[2]

  • AV-Test


  • VB100[2]



參見




  • 防毒軟體列表
    • 防毒軟體比較



  • 特徵碼

    • 電腦病毒特徵庫

    • 電腦病毒資料庫




  • 沙盒(Sandbox


  • 流行病毒清單組織(Wild List

    • 電腦病毒

    • 電腦蠕蟲

    • 特洛伊木馬 (電腦)



  • Carbon Black



参考資料





  1. ^ Microsoft. 更新防毒軟體降低中毒風險. Microsoft. 2004-07-30 [2010-12-22] (中文(香港)‎). 


  2. ^ 2.02.1 諸葛PP. 防毒軟體年終大考,看VB100、AV Comparative怎麼判. T客邦. 2010-12-18 [2010-12-22] (中文(香港)‎). 歲末年終之際,二家知名的專業防毒評測機構VB100與AV Comparative終於公佈最新的評測名單,為大大小小超過20家的免費與付費防毒軟體做一次總體檢。 




外部連結




  • (英文) 防毒軟體at the Open Directory Project


  • (繁体中文) 壹、免費防毒軟體貳、免費線上掃毒


  • (繁体中文) 完全看懂》2007防毒軟體架構原理 (上)


  • (繁体中文) 完全看懂》2007防毒軟體架構原理 (下)


  • (繁体中文) 為什麼裝了防毒軟體還是中毒?


線上掃描分析


  • VirusTotal.com

  • VirSCAN


  • (英文) Jotti's malware scan


  • (英文) TreatExpert






Popular posts from this blog

Mount Tamalpais

Indian Forest Service

Y