AntiVirus

更新时间:2023-04-08 09:01

AntiVirus有两个释义:1、杀毒软件;2、抗病毒药物

软件简介

杀毒软件(Antivirus 或Antivirus software)使用于侦测、移除电脑病毒、电脑蠕虫、和特洛伊木马的软件。杀毒软件通常集成监控识别、病毒扫描和清除和自动升级等功能,有的杀毒软件还带有数据恢复等功能,是计算机防御系统(包含杀毒软件,防火墙,特洛伊木马和其他恶意软件的查杀程序,入侵预防系统等)的重要组成部分。

杀毒原理

杀毒软件的任务是实时监控和扫描磁盘。部分杀毒软件通过在系统添加驱动程序的方式,进驻系统,并且随操作系统启动。杀毒软件的实时监控方式因软件而异。有的杀毒软件,是通过在内存里划分一部分空间,将电脑里流过内存的数据与杀毒软件自身所带的病毒库(包含病毒定义)的特征码相比较,以判断是否为病毒。另一些杀毒软件则在所划分到的内存空间里面,虚拟执行系统或用户提交的程序,根据其行为或结果作出判断。杀毒软件将会将磁盘上所有的(或者用户自定义的扫描范围内的文件)做一次检查。另外,杀毒软件的设计还涉及很多其他方面的技术。脱壳技术,即是对压缩档案和封装好的文件作分析检查的技术。自身保护技术,避免病毒程序杀死自身进程。 修复技术,对被病毒损坏的文件进行修复的技术。

病毒防御

由于大量的杀毒软件的出现,以及杀毒软件病毒库的不断壮大,病毒被查杀的几率也越来越大。所以有些病毒就开始通过加壳的方法来伪装自己,企图骗过杀毒软件,蒙混过关。为了做好病毒防御,我们就该了解什么是加壳?加壳的对立面是不是脱壳?如何脱壳等?

什么是壳

计算机软件里有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务,大家就把这样的程序称为“壳”了。从功能上抽象的讲,软件的壳和自然界中的壳相差无几。无非是保护、隐蔽壳内的东西。而从技术的角度出发,壳是一段执行于原始程序前的代码。原始程序的代码在加壳的过程中可能被压缩、加密……。当加壳后的文件执行时,壳-这段代码先于原始程序运行,他把压缩、加密后的代码还原成原始程序代码,然后再把执行权交还给原始代码。软件的壳分为加密壳、压缩壳、伪装壳、多层壳等类,目的都是为了隐藏程序真正的OEP入口点,防止被破解)。

作者编好软件后,编译成exe可执行文件。有一些版权信息需要保护起来,不想让别人随便改动,如作者的姓名,即为了保护软件不被破解,通常都是采用加壳来进行保护。加壳就需要把程序搞的小一点,从而方便使用。于是,需要用到一些软件,它们能将exe可执行文件压缩。而在黑客界中“壳”则被用在保护病毒,给木马等软件加壳脱壳以躲避杀毒软件,给网民带来很多的麻烦。

病毒加壳

在好莱坞间谍电影里,那些特工们往往以神奇莫测的化妆来欺骗别人,甚至变换成另一个身份,国内对于这种伪装行为有个通俗的说法——“穿马甲”。而这种正与邪的争斗已经延伸到了病毒领域,很多病毒作者通过给病毒“穿马甲”、甚至穿多个“马甲”的方式,躲避杀毒软件的查杀,这种技术就是“加壳”。 病毒作者可以通过给老病毒加壳,大批量制造出杀毒软件无法识别的新病毒。所谓加壳,是一种通过一系列数学运算,将可执行程序文件动态链接库文件的编码进行改变(还有一些加壳软件可以压缩、加密驱动程序),以达到缩小文件体积或加密程序编码的目的。当被加壳的程序运行时,外壳程序先被执行,然后由这个外壳程序负责将用户原有的程序在内存中解压缩,并把控制权交还给脱壳后的真正程序。一切操作自动完成,用户不知道也无需知道壳程序是如何运行的。一般情况下,加壳程序和未加壳程序的运行结果是一样的。

既然加壳后的病毒不易被发现,那么如何判断一个可执行文件是否被加了壳呢?

有一个简单的方法(对中文软件效果较明显)。用记事本打开一个可执行文件,如果能看到软件的提示信息则一般是未加壳的,如果完全是乱码,则多半是被加壳的。我们还可以使用一款叫做Fileinfo的工具来查看文件具体加的是什么壳。较常见到的壳有“UPX”、“ASPack”、“PePack”、“PECompact”、“UPack”、“NsPack”、“免疫007”、“木马彩衣”等等。

病毒加壳的原理很简单,黑客营中提供的多数病毒中,很多都是经过处理的,而这些处理就是所谓的加壳。我们知道当一个普通的EXE程序生成好后,很轻松的就可以利用诸如资源工具和反汇编工具对它进行修改,但如果程序员给EXE程序加一个壳的话,那么至少这个加了壳的EXE程序就不是那么好修改了,如果想修改就必须先脱壳。病毒加壳后也是同样的道理,我们也必须先为病毒脱壳。

脱壳方法

有很多加壳工具,既然有矛,自然就有盾,只要我们收集全常用脱壳工具,那就不怕病毒加壳了。脱壳主要是通过工具来脱壳。

常用脱壳工具有

1.文件分析工具(侦测壳的类型):Fi,GetTyp,peid,pe-scan,

2.OEP入口查找工具:SoftICE,TRW,ollydbg,loader,peid

3.dump工具:IceDump,TRW,PEditor,ProcDump32,LordPE

4.PE文件编辑工具PEditor,ProcDump32,LordPE

5.重建Import Table工具:ImportREC,ReVirgin

6.ASProtect脱壳专用工具:Caspr(ASPr V1.1-V1.2有效),Rad(只对ASPr V1.1有效),loader,peid

(1)Aspack:用的最多,但只要用UNASPACK或PEDUMP32脱壳就行了

(2)ASProtect+aspack:次之,国外的软件多用它加壳,脱壳时需要用到SOFTICE+ICEDUMP,需要一定的专业知识,但最新版暂时没有办法。

(3)Upx: 可以用UPX本身来脱壳,但要注意版本是否一致,用-D 参数

(4)Armadill: 可以用SOFTICE+ICEDUMP脱壳,比较烦

(5)Dbpe: 国内比较好的加密软件,新版本暂时不能脱,但可以破解

(6)NeoLite: 可以用自己来脱壳

(7)Pcguard: 可以用SOFTICE+ICEDUMP+FROGICE来脱壳

(8)Pecompat: 用SOFTICE配合PEDUMP32来脱壳,但不要专业知识

(9)Petite: 有一部分的老版本可以用PEDUMP32直接脱壳,新版本脱壳时需要用到SOFTICE+ICEDUMP,需要一定的专业知识。

(10)WWpack32: 和PECOMPACT一样其实有一部分的老版本可以用PEDUMP32直接脱壳,不过有时候资源无法修改,也就无法汉化,所以最好还是用SOFTICE配合PEDUMP32脱壳

杀毒软件

软件含义

国内也称杀毒软件“杀毒软件”是由国产的老一辈反病毒软件厂商,如金山毒霸江民瑞星360杀毒等起的名字,后来由于和世界反病毒业接轨统称为“反病毒软件”或“安全防护软件”。注意“杀毒软件”是指电脑中毒,然后要杀掉病毒,反病毒则包括了杀毒和防毒两种功能。

二十一世纪陆续出现了集成防火墙的“互联网安全套装”、“全功能安全套装”等名词,都属一类),是用于消除电脑病毒、特洛伊木马和恶意软件的一类软件。反病毒软件通常集成监控识别、病毒扫描和清除和自动升级等功能,有的反病毒软件还带有数据恢复等功能。后两者同时具有黑客入侵,网络流量控制等功能。

一种可以对病毒、木马等一切已知的对计算机有危害的程序代码进行清除的程序工具。

软件原理

反病毒软件的任务是实时监控和扫描磁盘。部分反病毒软件通过在系统添加驱动程序的方式,进驻系统,并且随操作系统启动。大部分的杀毒软件还具有防火墙功能。

反病毒软件的实时监控方式因软件而异。有的反病毒软件,是通过在内存里划分一部分空间,将电脑里流过内存的数据与反病毒软件自身所带的病毒库(包含病毒定义)的特征码相比较,以判断是否为病毒。另一些反病毒软件则在所划分到的内存空间里面,虚拟执行系统或用户提交的程序,根据其行为或结果作出判断。

而扫描磁盘的方式,则和上面提到的实时监控的第一种工作方式一样,只是在这里,反病毒软件将会将磁盘上所有的文件(或者用户自定义的扫描范围内的文件)做一次检查。

软件常识

1.杀毒软件不可能查杀所有病毒

2.杀毒软件能查到的病毒,不一定能杀掉;

3.一台电脑每个操作系统下不能同时安装两套或两套以上的杀毒软件(除非有兼容或绿色版,且只能有一个软件开启防护功能)

4.杀毒软件对被感染的文件杀毒有多种方式:1清除,2删除,3禁止访问,4隔离,5不处理

清除:清除被蠕虫感染的文件,清除后文件恢复正常。相当于如果人生病,清除是给这个人治病,删除是人生病后直接杀死。

删除:删除病毒文件。这类文件不是被感染的文件,本身就含毒,无法清除,可以删除。

禁止访问:禁止访问病毒文件。在发现病毒后用户如选择不处理则杀毒软件可能将病毒禁止访问。用户打开时会弹出错误对话框,内容是“该文件不是有效的Win32文件”。

隔离:病毒删除后转移到隔离区。用户可以从隔离区找回删除的文件。隔离区的文件不能运行。

不处理:不处理该病毒。如果用户暂时不知道是不是病毒可以暂时先不处理。

大部分杀毒软件是滞后于计算机病毒的(像微点之类的第三代杀毒软件可以查杀未知病毒,但仍需升级)。所以,除了及时更新升级软件版本和定期扫描的同时,还要注意充实自己的计算机安全以及网络安全知识,做到不随意打开陌生的文件或者不安全的网页,不浏览不健康的站点,注意更新自己的隐私密码,配套使用安全助手与个人防火墙等等。这样才能更好地维护好自己的电脑以及网络安全!

云安全技术

云安全(Cloud Security)”计划是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。

未来杀毒软件将无法有效地处理日益增多的恶意程序。来自互联网的主要威胁正在由电脑病毒转向恶意程序及木马,在这样的情况下,采用的特征库判别法显然已经过时。云安全技术应用后,识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库,而是依靠庞大的网络服务,实时进行采集、分析以及处理。整个互联网就是一个巨大的“杀毒软件”,参与者越多,每个参与者就越安全,整个互联网就会更安全。

云安全的概念提出后,曾引起了广泛的争议,许多人认为它是伪命题。但事实胜于雄辩,云安全的发展像一阵风,360杀毒360安全卫士瑞星杀毒软件、趋势、卡巴斯基MCAFEESYMANTEC江民科技、PANDA、金山毒霸卡卡上网安全助手等都推出了云安全解决方案。

云安全技术是P2P技术、网格技术、云计算技术等分布式计算技术混合发展、自然演化的结果。

值得一提的是,云安全的核心思想,与刘鹏早在2003年就提出的反垃圾邮件网格非常接近。刘鹏当时认为,垃圾邮件泛滥而无法用技术手段很好地自动过滤,是因为所依赖的人工智能方法不是成熟技术。垃圾邮件的最大的特征是:它会将相同的内容发送给数以百万计的接收者。为此,可以建立一个分布式统计和学习平台,以大规模用户的协同计算来过滤垃圾邮件:首先,用户安装客户端,为收到的每一封邮件计算出一个唯一的“指纹”,通过比对“指纹”可以统计相似邮件的副本数,当副本数达到一定数量,就可以判定邮件是垃圾邮件;其次,由于互联网上多台计算机比一台计算机掌握的信息更多,因而可以采用分布式贝叶斯学习算法,在成百上千的客户端机器上实现协同学习过程,收集、分析并共享最新的信息。反垃圾邮件网格体现了真正的网格思想,每个加入系统的用户既是服务的对象,也是完成分布式统计功能的一个信息节点,随着系统规模的不断扩大,系统过滤垃圾邮件的准确性也会随之提高。用大规模统计方法来过滤垃圾邮件的做法比用人工智能的方法更成熟,不容易出现误判假阳性的情况,实用性很强。反垃圾邮件网格就是利用分布互联网里的千百万台主机的协同工作,来构建一道拦截垃圾邮件的“天网”。反垃圾邮件网格思想提出后,被IEEE Cluster 2003国际会议选为杰出网格项目在香港作了现场演示,在2004年网格计算国际研讨会上作了专题报告和现场演示,引起较为广泛的关注,受到了中国最大邮件服务提供商网易公司创办人丁磊等的重视。既然垃圾邮件可以如此处理,病毒、木马等亦然,这与云安全的思想就相去不远了。

国产软件

国内反病毒软件,有三大巨头:360杀毒金山毒霸瑞星杀毒软件。反响都不错。但是都有优缺点(均已实施云安全方案),评价与介绍如下:

360杀毒

360杀毒是永久免费,性能超强的杀毒软件。中国市场占有率第一。360杀毒采用领先的四引擎:国际领先的常规反病毒引擎—国际性价比排名第一的BitDefender引擎+修复引擎+360云引擎+360QVM人工智能引擎,强力杀毒,全面保护您的电脑安全拥有完善的病毒防护体系,且唯一真正做到彻底免费、无需任何激活码。360杀毒轻巧快速、查杀能力超强、独有可信程序数据库,防止误杀,误杀率远远低于其它杀软,依托360安全中心的可信程序数据库,实时校验,为您的电脑提供全面保护。最新版本特有全面防御U盘病毒功能,彻底剿灭各种借助U盘传播的病毒,第一时间阻止病毒从U盘运行,切断病毒传播链。现可查杀660多万种病毒。在最新VB100测试中,双核360杀毒大幅领先 名列国产杀软第一。

360杀毒采用领先的病毒查杀引擎及云安全技术,不但能查杀数百万种已知病毒,还能有效防御最新病毒的入侵。360杀毒病毒库每小时升级,让您及时拥有最新的病毒清除能力。360杀毒有优化的系统设计,对系统运行速度的影响极小,独有的“游戏模式”还会在您玩游戏时自动采用免打扰方式运行,让您拥有更流畅的游戏乐趣。360杀毒360安全卫士配合使用,是安全上网的“黄金组合”。

金山毒霸

金山公司推出的电脑安全产品,监控、杀毒全面、可靠,占用系统资源较少。其软件的组合版功能强大(金山毒霸2011金山网盾金山卫士),集杀毒、监控、防木马、防漏洞为一体,是一款具有市场竞争力的杀毒软件。金山毒霸2011是世界首款应用”可信云查杀”的杀毒软件,颠覆了金山毒霸20年传统技术,全面超于主动防御及初级云安全等传统方法,采用本地正常文件白名单快速匹配技术,配合金山可信云端体系,实现了安全性、检出率与速度。

金山毒霸2011极速轻巧,安装包不到20MB,内存占用只有19MB。配合中国互联网最大云安全体系。

金山毒霸2011技术亮点1. 可信云查杀:增强互联网可信认证,海量样本自动分析鉴定,极速快速匹配查询。

2 .蓝芯II引擎:微特征识别(启发式查杀2.0), 将新病毒扼杀于摇篮中,针对类型病毒具有不同的算法,减少资源占用,多模式快速扫描匹配技术,超快样本匹配

3. 白名单优先技术:准确标记用户电脑所有安全文件,无需逐一比对病毒库,大大提高效率,双库双引擎,首家在杀毒软件中内置安全文件库,与可信云安全紧密结合,安全少误杀;

4.个性功能体验:下载保护、聊天软件保护、U盘病毒免疫防御、文件粉碎机、自定义安全区,提升性能、可定制的免打扰模式、自动调节资源占用、针对笔记本电源优化使续航更久;

5.自我保护:多于40个自保护点,免疫病毒使杀软失效方法

6.全面安全功能,下载(支持迅雷、QQ旋风、快车)、聊天(支持MSN)、U盘安全保护,免打扰模式,自动调节资源占用。

瑞星杀毒

监控能力是十分强大的,但同时占用系统资源较大。瑞星采用第八代杀毒引擎,能够快速、彻底查杀大小各种病毒,这个绝对是全国顶尖的。但是瑞星的网络监控不行,最好再加上瑞星防火墙弥补缺陷。另外,瑞星2009的网页监控更是疏而不漏,这是云安全的结果。

拥有后台查杀(在不影响用户工作的情况下进行病毒的处理)、断点续杀(智能记录上次查杀完成文件,针对未查杀的文件进行查杀)、异步杀毒处理(在用户选择病毒处理的过程中,不中断查杀进度,提高查杀效率)、空闲时段查杀(利用用户系统空闲时间进行病毒扫描)、嵌入式查杀(可以保护MSN等即时通讯软件,并在MSN传输文件时进行传输文件的扫描)、开机查杀(在系统启动初期进行文件扫描,以处理随系统启动的病毒)等功能;并有木马入侵拦截和木马行为防御,基于病毒行为的防护,可以阻止未知病毒的破坏。还可以对电脑进行体检,帮助用户发现安全隐患。并有工作模式的选择,家庭模式为用户自动处理安全问题,专业模式下用户拥有对安全事件的处理权。缺点是卸载注册表残留一些信息。

免责声明
隐私政策
用户协议
目录 22
0{{catalogNumber[index]}}. {{item.title}}
{{item.title}}