一个有关问题,杀软一类的东西是靠什么识别病毒,木马,危险文件的
日期:2014-05-17 浏览次数:20676 次
请教大家一个问题,杀软一类的东西是靠什么识别病毒,木马,危险文件的
今天突然想到的
杀软一类的东西是靠什么识别病毒,木马,危险文件的?
------解决方案--------------------
方法很多,而且每个杀软自己有自己的一套方案。
比如特征码识别:文件什么位置是什么数据,如果符合条件就杀;
文件Hash:判断是否与病毒库里面的病毒MD5一样;
启发式杀毒:判断文件是否使用了一些特殊函数,是否对系统进行了特殊操作(如改注册表,写服务,键盘记录之类);
虚拟执行:现在很多杀软都有自己的虚拟机;
还有现在的所谓的云查杀等等,我只是列举了一些普通的方法。
------解决方案--------------------
基本上是本地+在线的病毒库特征(传说中的云端)+系统关键位置监控判断。
实际上就和医院医生监控病人一样,医生的工作行为来源于前人编纂的书本+大量临床病历+实际工作经验。
------解决方案--------------------
一般的判断标准就是:标识码,就是指病毒的特定的代码
牛逼一点点就是:看程序的行为,调用或者串改特殊的组件,视为病毒
第一个误杀率比较低,因为只要病毒一变种,根本查不到
第二种误杀率比较高,一些破解补丁,和一些破解软件调用到特定的组件,就被杀掉了
后者好于前者,但是这误杀率让人有点汗颜的 !!!
今天突然想到的
杀软一类的东西是靠什么识别病毒,木马,危险文件的?
------解决方案--------------------
方法很多,而且每个杀软自己有自己的一套方案。
比如特征码识别:文件什么位置是什么数据,如果符合条件就杀;
文件Hash:判断是否与病毒库里面的病毒MD5一样;
启发式杀毒:判断文件是否使用了一些特殊函数,是否对系统进行了特殊操作(如改注册表,写服务,键盘记录之类);
虚拟执行:现在很多杀软都有自己的虚拟机;
还有现在的所谓的云查杀等等,我只是列举了一些普通的方法。
------解决方案--------------------
基本上是本地+在线的病毒库特征(传说中的云端)+系统关键位置监控判断。
实际上就和医院医生监控病人一样,医生的工作行为来源于前人编纂的书本+大量临床病历+实际工作经验。
------解决方案--------------------
一般的判断标准就是:标识码,就是指病毒的特定的代码
牛逼一点点就是:看程序的行为,调用或者串改特殊的组件,视为病毒
第一个误杀率比较低,因为只要病毒一变种,根本查不到
第二种误杀率比较高,一些破解补丁,和一些破解软件调用到特定的组件,就被杀掉了
后者好于前者,但是这误杀率让人有点汗颜的 !!!
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
