病毒查杀方法
特征码的查杀原理
- 什么是特征码
,防毒软件从病毒样本中提取的不超过64字节能代表病毒特征的十六进制代码.主要有单一特征码,多重特征码和复合特征码这三种类型
- 特征码的提取
获取病毒程序的长度,根据样本长度可将文件分为若干份(分段的方法在很大程度上避免了采用单一特侦码误报病毒现象发生,也可以避免特征码过于集中造成的误报),每份选取16B或者32B的特征串,若该信息是通过信息或者全零字节则舍弃,认为或随机调整偏移最后重新选取.讲选取出来的极端特征码以及他们的偏移量存入病毒库,表示出病毒的名称即可.可以编写出特征阿门忒去程序实现自动提取并保存病毒记录.
- 病毒的查杀
扫描病毒,杀毒软件将目标文件通过模式匹配算法与病毒库中的特征码进行比对,如果匹配则查杀
基于特征码的病毒免杀原理
免杀的基本思想就是破坏特征码,只要定位了特征码进行修改便能免杀
修改的方法有:1.修改字符串大小写 2.等价替换法 3.指令顺序调换 4.通用跳转法
许多病毒采用自动变形技术逃避特征码检测--多动态病毒,在外观上没有固定的特征码.病毒多态致使对代码段的加密完全改变改变特征码,因此要在零区域加入解密代码来解密,使用JMP指令跳回原指令代码执行,由于对某一个字节执行XOR两次后可还原代码,因此可以手动加密代码,下一次病毒执行时,可以解密并执行.只是特征码完全变样达到免杀.
可以通过花指令改变病毒特征码的实例
启发式查杀
静态地通过一系列“带权规则组合”对文件进行判定,如果计算出的值高于某个界限则被认为是病毒,否则不认为是病毒。启发式查杀可以相对有效地识别出病毒,但是往往也会出现误报的情况。
虚拟机查杀
在内存中虚拟一个运行环境用于病毒的运行,根据其行为或释放出的已知病毒特征码,来判断其是否为病毒程序。这个技术用来应对加壳和加密的病毒比较有效,因为这两类病毒在执行时最终还是要自身脱壳和解密的,这样,杀软可以在其现出原形之后进行查杀。
主动防御
基于程序行为自主分析判断的实时防护技术,不以病毒的特征码作为判断病毒的依据,而是从最原始的病毒定义出发,直接将程序的行为作为判断病毒的依据。主动防御是用软件自动实现了反病毒工程师分析判断病毒的过程,解决了传统安全软件无法防御未知恶意软件的弊端,从技术上实现了对木马和病毒的主动防御