杀毒引擎知识点1

病毒：trojan(特洛伊木马)，“偷窃”式远程控制

             virus(传统文件病毒)，不能独立运行，需寄生在其他文件中运行

             worm(蠕虫)，利用计算机漏洞通过网络传播，独立运行

             spyware(间谍软件)，未事先征求用户同意并安装和执行某些行为的软件，如：发布广告，获取用户信息，篡改计算机配置

             宏病毒：一般指用Basic编写的病毒程序，寄生在office文档上的宏代码，打开文档时就会触发宏病毒

             hacktool(黑客工具)

步骤：查毒、杀毒、恢复

杀毒引擎经历了三个阶段：

（1）“基于特征码的静态扫描技术”—— 在文件中寻找特定十六进制串，与病毒特征代码数据库的特征码进行匹配，如果匹配成功，就可判定文件感染了某种病毒。

由工程师人工分析出最新病毒的特征码，将其加入到病毒特征库中,将扫描信息（提取的文件特征码）与病毒特征库进行对照，如果信息与其中的任何一个病毒特征码符合，杀毒软件就会判断此文件被病毒感染。注意：杀毒软件在进行查杀的时候，会挑选文件内部的一段或者几段代码来作为他识别病毒的方式，这种代码就叫做待识别的文件的特征码，然后将其与病毒特征库进行对照，如果信息与其中的任何一个病毒特征符合，杀毒软件就会判断此文件被病毒感染。
在病毒样本中，抽取特征代码：
(1)抽取的代码比较特殊，不大可能与普通正常程序代码吻合；
(2)抽取的代码要有适当长度，一方面维持特征代码的唯一性，另一方面保证病毒扫描时候不要有太大的空间与时间的开销。
特征码识别法的缺点：
(1)采用病毒特征代码法的检测工具，面对不断出现的新病毒，必须不断更新病毒库的版本，否则检测工具便会老化，逐渐失去实用价值；
(2)病毒特征代码法对从未见过的新病毒，无法知道其特征代码，因而无法去检测新病毒；
(3)病毒特征码如果没有经过充分的检验，可能会出现误报，数据误删，系统破坏，给用户带来麻烦；
特征码识别法的优点：
(1)速度快，配备高性能的扫描引擎；
(2)准确率相对比较高，误杀操作相对较少；
(3)很少需要用户参与；
（2）启发式引擎，包括行为启发和静态启发两种，可以部分地进行智能查杀，但都必须和上一代的特征码引擎配合使用，并且仍然需要人工分析；通过分析信息的行为并将其与一个危险行为样式库进行对照以判别信息的危险性 。
（3）人工智能引擎，主要依靠人工智能技术，就能独立地将新、老病毒的查杀率提升到前所未有的高度。人工智能引擎就是在海量病毒样本数据中归纳出一套智能算法，自己来发现和学习病毒变化规律。它无需频繁更新特征库、无需分析病毒静态特征、无需分析病毒行为，但是病毒检出率却远远超过了第一、二代引擎的总和，而且查杀速度比传统引擎至少快一倍。”

总结：“如果把杀毒技术比作武术，第一代杀毒引擎是见招拆招，只能杀认识的病毒；第二代引擎是有了变招，但还是离不开基本的套路；人工智能引擎则是"悟"到了病毒的规律，相当于打通了任督二脉，达到了无招胜有招的境界。”

采用技术：虚拟机技术、实时监控技术、智能码标识技术、行为拦截技术

虚拟机技术：主要是为查杀加密变形病毒而设计的，这里的虚拟机是指杀毒引擎模拟出一个仿真CPU，这个“CPU”具备和真正CPU等同的指令分析功能，杀毒引擎将待检测的程序代码读入“CPU”中逐条指令循环执行，直到出现特定情况才结束工作，在这个过程中探知程序是否具备病毒行为特征或者暴露出病毒特征码。

实时监控技术：其实就是一个文件监视器，它会在文件打开、关闭、修改等操作时将其拦截并送入查毒模块进行分析。

补充：

全盘扫描－文件校验和法 :对文件进行扫描后，可以将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染病毒。
进程行为监测法:通过对病毒多年的观察、研究，有一些行为是病毒的共同行为，而且比较特殊，在正常程序中，这些行为比较罕见。当程序运行时，监视其进程的各种行为，如果发现了病毒行为，立即报警。 行为监测法的长处：可发现未知病毒、可相当准确地预报未知的多数病毒；行为监测法的短处：可能误报警、不能识别病毒名称、有一定实现难度、需要更多的用户参与判断； 
(1)占有INT 13H 
引导型病毒占据INT 13H功能，在其中放置病毒所需的代码。 
(2)改DOS系统为数据区的内存总量 
病毒常驻内存后，为了防止DOS系统将其覆盖，必须修改系统内存总量。 
(3)对COM、EXE等可执行程序文件做写入动作 
病毒要感染，必须写COM、EXE文件。 
(4)病毒程序与宿主程序的切换 
染毒程序运行中，先运行病毒，而后执行宿主程序；在两者切换时，有许多特征行为。
(5)加载驱动，截获系统函数调用(HOOK程序)
主动防御:并不需要病毒特征码支持，只要杀毒软件能分析并扫描到目标程序的行为，并根据预先设定的规则，判定是否应该进行清除操作,主动防御本来想领先于病毒，让杀毒软件自己变成安全工程师来分析病毒，从而达到以不变应万变的境界。但是，计算机的智能总是在一系列的规则下诞生，而普通用户的技术水平达不到专业分析病毒的水平，两者之间的博弈将主动防御推上了一个尴尬境地。