精睿(vc52).网络安全

 找回密码
 注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

搜索
查看: 639|回复: 6

[分享] 关于杀毒软件“主动防御技术”中的“静态启发”和“动态启发”之异同

[复制链接]
发表于 2017-7-26 21:45 | 显示全部楼层 |阅读模式

马上注册,查看更多内容,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
    80年代末期,由于电脑病毒的出现,就有了它的克星──反病毒软件的诞生。从此,开始了“猫”与“鼠”、“矛”与“盾”的博弈。这一时期,病毒制作者所使用的技术还比较“小儿科”,因而反病毒软件对其检测、查杀相对容易。当时,广泛使用的就是“特征码匹配方法”。此后,为了躲避杀毒软件的查杀,病毒开始了进化,逐渐演变为变形的形式:每感染一次,就像“变形金刚”一样改换一次面孔,以此来躲避反病毒软件的“追杀”。

    由于同一种病毒的变种病毒大量增加,单纯依靠病毒库和特征码技术已经不能适应网络安全需要。于是,便出现了广谱特征码的概念。这个技术在一段时间内,对于处理某些变形病毒提供了一种方法,但是也使误报率大大增加,所以采用广谱特征码技术也不能有效对新病毒和未知病毒进行查杀。正中了“魔高一尺,道高一丈”的古训,新的查毒技术应运而生——这就是能够主动检测和拦截未知威胁的防御方法,即“主动防御技术”。

    主动防御技术是在没有病毒样本的情况下,针对未知病毒研发的病毒防杀技术:1。在未知病毒和未知程序方面,通过“行为判断”技术识别大部分未被截获的未知病毒和变种。2。通过对漏洞攻击行为进行监测,可防止病毒利用系统漏洞对计算机进行的攻击。说到主动防御,不得不提起启发式查毒技术。启发式查毒技术属于主动防御的一种,是当前对付未知病毒的主要手段,从工作原理上可分为静态启发和动态启发两种——

    静态启发,是指在静止状态下通过病毒的典型指令特征识别病毒的方法,是对传统特征码扫描的一种补充。由于病毒程序与正常的应用程序在启动时有很多区别,通常一个正常应用程序在最初的指令,是检查命令行并输入有关参数项、清屏和保存原来屏幕显示等;而病毒程序最初的指令通常是直接写盘操作、解码指令,或搜索某路径下的可执行程序等相关操作指令序列。静态启发就是通过简单的反编译,在不运行病毒程序的情况下,核对病毒头静态指令从而确定病毒的一种技术。

    相对静态启发技术,动态启发技术要复杂和先进很多。动态启发通过杀软内置的虚拟机技术,给病毒构建一个仿真的运行环境,诱使病毒在杀软的模拟缓冲区中运行,如运行过程中检测到可疑的动作,则判定为危险程序并进行拦截。这种方法更有助于识别未知病毒,对加壳病毒依然有效,但如果控制得不好,就会出现较多的误判误报。尽管如此,由于动态启发式判断技术具有许多不可替代的优势,因此仍然是目前检测未知病毒最有效、最可靠的方法之一,并在各大杀软产品中得到了广泛应用。

发表于 2017-7-26 22:31 | 显示全部楼层
谢谢分享。

点评

嘿嘿  详情 回复 发表于 2017-7-26 23:10
回复 支持 反对

使用道具 举报

 楼主| 发表于 2017-7-26 23:10 | 显示全部楼层

嘿嘿
回复 支持 反对

使用道具 举报

发表于 2017-9-18 14:01 | 显示全部楼层
懂了  谢谢
回复 支持 反对

使用道具 举报

发表于 2017-10-27 21:23 | 显示全部楼层
就是这样的,来支持的呢。。
回复 支持 反对

使用道具 举报

发表于 2017-10-28 11:08 | 显示全部楼层
看看
回复 支持 反对

使用道具 举报

发表于 2017-11-13 17:49 | 显示全部楼层
学习了
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

手机版|小黑屋|文字版|RSS|站长邮件|精睿.网络安全 ( 鄂ICP备07005250号 )

GMT+8, 2017-11-23 22:49 , Processed in 0.099426 second(s), 24 queries , Gzip On.

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表