黑客攻防技术宝典-反病毒篇笔记(一)

1.1  何为反病毒软件

反病毒软件是旨在为原生操作系统提供更好的安全防护的特殊软件。在多数时候,它被用作防御性安全方案。

反病毒软件使用多种技术来侦测潜藏在操作系统深处且带有自我保护功能的恶意软件。

反病毒软件要处理的恶意文件来源有:网路数据包,邮件附件,浏览器漏洞被攻击利用程序,文档阅读器,可执行文件。

1.2  反病毒软件的组成

反病毒软件里含有扫描器,病毒库,虚拟机,以及连接它们的主体程序。

反病毒软件常常会使用不止一个反病毒引擎或内核。

1.3  反病毒软件的功能

一.

1.能够扫描压缩文件以及加壳的可执行文件。

2.能够按照需求或实时扫描可执行文件或目录。

3.拥有防止恶意软件攻击反病毒软件进程的保护驱动程序。

4.拥有防火墙和流量监控功能。

5.拥有命令行和图形界面工具集。

6.拥有守护进程或者服务。

7.拥有管理控制台。

二.

基础功能

1.使用本机语言。大多数反病毒引擎都是使用本机语言编写的。反病毒引擎必须在不影响系统性能的前提下,运行的足够快。本机语言很好的满足了该要求,因为当代码编译后,就能在目标主机的CPU里全速运行。

但使用本机语言编写程序也有弊端,比如更容易引起内存和系统资源泄露,引发内存崩溃。

2.扫描器

在大多数情况下,是有GUI界面或者命令行界面的扫描器,当用户想要检测某些文件的时候,这类工具就有了用武之地。

还有一种后台实时扫描器,称为反病毒常驻防护进程,其实就相当于是一个守护进程,实时检测系统的安全性,阻止恶意程序的运行。

3.特征码

特征码是已知恶意文件独一无二的指纹,每个特征码对应一个恶意病毒。

一些典型且基础的特征码扫描功能基于简单的“指纹”匹配技术,例如发现特定的字符串(如熊猫烧香),计算CRC效验和,计算MD5散列值。

如果仅仅依靠类MD5值的特征码匹配技术,只能有针对性的检出特征码对应的单个文件。

如果基于模糊逻辑的特征码技术,将特定的数据块作为CRC校检算法的匹配特征,就可以识别相对多的恶意文件。

三.

高级功能

1.流量监控与防火墙

由于许多蠕虫病毒借助网络感染计算机,反病毒软件出现的筛查计算机的上传下载流量的功能。为了实现该目的,反病毒软件会在计算机内安装分析网络流量驱动,防火墙会侦测并阻断已知攻击。

2.自我保护

有一些恶意软件通过某些技术,将反病毒进程关闭,来达到进行感染的目的。

因此许多反病毒软件通过内核驱动实现自我保护功能,来对抗通过ZwTerminateProcess禁用 反病毒软件防护的恶意操作。一些反病毒产品的自我保护技术通过阻断以某些参数调用OpenProcess来关闭反病毒软件进程,或者通过拒绝外部进程调用WriteProcessMemory

想反病毒进程注入代码。

这一类技术一般通过内核驱动进行实现,当然也有一部分保护功能仅在用户环境层实现。

posted @ 2019-09-15 10:09  ReVe1Se  阅读(697)  评论(0编辑  收藏  举报