1.反病毒软件原理与反病毒技术介绍
1.1反病毒软件工作原理
反病毒软件一般由扫描器、病毒库与虚拟机组成,并由主程序将他们整合在一起。扫描器用于查杀病毒,大多数反病毒软件基本都由多个扫描器组成,病毒库存储着特征码,存储形式取决于使用的扫描器,虚拟机相当于沙盒。
1.2基于文件扫描的反病毒技术
可分为“第一代扫描技术”、“第二代扫描技术”和“算法扫描”3种。下面就先简要介绍一下这三种扫描技术(其实书上只有前两种)
1.第一代扫描技术
第一代扫面技术就是在文件中检索病毒特征序列,有下面两种。
(1)字符串扫描技术
就是使用从病毒中提取出来的一段特征字符串来检测病毒,原理比较简单。
(2)通配符扫描技术
现今的这项技术可以使用正则表达式来进行通配。至于通配的细节就不详细讲了,主要就是利用RE。
(3)其他扫描技术
不匹配字节数扫描技术、通用检测法扫描技术、散列扫描技术、书签检测法、首尾扫描检测法、入口点和固定点扫描、文件名扫描等。
2.第二代扫描技术
主要是对检测精度进行了改进。
(1)智能扫描法
智能扫描法会忽略检测文件中的NOP等无效指令,并且可以过滤掉文件中的格式控制字符,比如空格TAB等。由于在缓冲区中完成这些任务,所以大大提高扫描器的检测能力。
(2)近似精确识别法
<