杀毒软件原理

最新推荐文章于 2022-09-08 22:32:12 发布
最新推荐文章于 2022-09-08 22:32:12 发布
阅读量1.7k 收藏 3
点赞数 1
分类专栏: 扩展知识
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yhw1992_/article/details/25736917
版权
本文介绍了杀毒软件的基本构造,包括扫描器、病毒库和虚拟机,并详细阐述了杀毒软件的几种扫描技术,如通配符扫描、智能扫描、近似精确识别法以及行为监测法,同时讨论了计算机病毒的防治策略——防毒、查毒和解毒。
摘要由CSDN通过智能技术生成


     杀毒软件原理

  杀毒软件的构造的复杂度程度要远远高于木马或病毒。鉴于木马病毒越来越向系统底层发展,杀毒软件的编译技术也不断向系统底层靠近。如主动防御技术,就是应用RING0层的编译技巧。

杀毒软件一般由扫描器、病毒库与虚拟机组成

扫描器是杀毒软件的核心,用于发现病毒,杀毒软件的好坏就直接取决于他的扫描器编译技术与算法是否先进,杀毒软件不同的功能对应着不同的扫描器,也就是说,大多杀毒软件都是由扫描器组成的。而病毒库存储的特征码形式取决于扫描器采用哪种扫描技术。它里面存储着很多病毒所具有的独一无二的特征字符,称为特征码(用来区分一个文件是否是病毒)分为文件特征码和内存特征码。文件特征码存在于一些未执行的文件,如exejpg。。都可能存在文件特征码。而内存特征码仅存在于内存中已运行的应用程序。

而虚拟机是最近引入的概念,它为待查的可执行程序创建一个虚拟的执行环境,提供它可能用到的一切元素,包括硬盘,端口等,让它在其上自由发挥,最后根据其行为来判定是否为病毒

杀毒软件的原理就是匹配特征码。当扫描到一个文件,杀毒软件会检测这个文件里是否包含病毒库里所包含的特征码,如有就查杀。

基于文件的杀毒技术:第一代扫描技术、第二代扫描技术、算法扫描。

  1. 通配符扫面技术

     它为第一代扫描技术的分支,通配符可理解为具有一定意义的符号。简单的扫描器支持通配符,应为鉴于字符串扫描技术的执行速度与特征码长度限制,使其退出历史。

最低0.47元/天 解锁文章
yhw1992_
关注
专栏目录
杀毒软件工作原理介绍
09-07
做安全软件,要做到知己知彼,知道杀软的工作原理,才能针对性的进行防御。
杀毒软件工作原理
akm666的博客
07-01 2394
杀毒软件的基本工作理是:杀毒软件的设计者分析各种病毒程序,从中提取特 征代码形成病毒特征数据库,作为直找病毒的依据。用户安装杀毒软件后 可以对计算机系统中的内存和磁盘进行扫描,对系统中的文件逐一与病毒 特征代码进行比较,从而发现并清除感染病毒的文件,由于病毒不断变化 和更新,杀毒软件的病毒特征数据库也需及时更新和升级。 ...
杀毒软件原理浅析
weixin_43781139的博客
12-03 5063
了解杀软之前我们先了解一下什么是病毒,《中华人民共和国计算机信息系统安全保护条例》,在《条例》第二十八条中明确指出:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”这是我国对于计算机病毒的正式定义,但是在实际中,所有会对用户的计算机安全产生威胁的,都被划入了广义的病毒范畴。 病毒大致分为以下几类:传统病毒,宏病毒,恶意脚本,木马、黑客、蠕虫、破坏性程序。 1. 传统病毒:能够感染的程序。通过改变文件或者其他东西进.
杀毒软件简介:杀毒软件原理,教你如何选择一个好的杀毒软件
Skye's Blog
04-20 4496
文章目录什么叫杀毒软件基本功能基本组成关键技术脱壳技术自我保护技术修复技术实时升级技术主动防御技术杀毒软件推荐与常识好的杀毒软件应该具备的条件杀毒软件尝试 什么叫杀毒软件 杀毒软件(anti-virus software),也叫反病毒软件或者防毒软件,是用来消除电脑病毒、恶意软件和特洛伊木马等计算机威胁的一类软件。 杀毒软件通常带有监控识别、病毒扫描、病毒清除、自动升级、主动防御等功能。 基本...
杀毒软件原理【笔记+批注】.pdf
08-05
杀毒软件原理【笔记+批注】.pdf
杀毒软件原理-科摩多杀毒
10-25
想知道杀毒软件是怎样工作的?科摩多杀毒软件提供免费下载,最强大的杀毒软件 http://www.comodo.cn/product/comodo-antivirus.php
杀毒软件的一些杀毒原理
qq_48637067的博客
11-26 4799
当前的互联网情况大家都很了解,机遇与危机并存。得益于硬件的迅速发展以及新技术的不断提出,互联网在世界的方方面面也越来越普及,得到了更广泛的应用,但同时,从早期的石头,小球病毒,熊猫烧香到现如今的勒索病毒,也让我们明白了互联网所面临的危机。废话不再多说,今天主要讲作业题涉及到的“杀毒软件的杀毒原理”。 所谓“知己知彼,百战不殆”。如果我们要搞清楚杀毒软件的工作原理,那我们就一定要先搞清楚“毒”是什么?“毒”一般指恶意代码。恶意代码主要是指以危害信息的安全等不良意图的程序,它们一般潜伏在受害计算机系统中实施破坏
360杀毒软件原理机制
最新发布
09-16
360杀毒软件采用了多种原理和机制来保护用户的计算机免受病毒和恶意软件的攻击。以下是一些主要的原理和机制: 1. 病毒特征库:360杀毒软件维护了一个庞大的病毒特征库,其中包含了各种已知病毒和恶意软件的特征...
杀毒软件查杀原理包含启发式扫描技术主动防御技术的原理
05-03
包含讲解特征码查杀技术、启发式扫描技术、主动防御技术的原理。网络上现在暂时还没有的资料。 7.7.1启发式扫描 在章节7.1中,我们已经了解了启发式扫描的评分原理。而本节对启发式扫描的讲解将直接针对NOD32这款杀毒软件的启发式扫描。如何躲过NOD32的启发式扫描可以说是免杀技术讨论圈子中讨论的最火热的话题了。现在就让大叔给大家揭开NOD32启发式扫描的神秘面纱。 NOD32启发式扫描原理十分简单,同其他的启发式扫描一样,也 是一种评分原理。举一个简单的例子,一般的下载者程序都要用到两个API,分别是URLDownloadToFile和ShellExecute。 URLDownloadToFile这个API用于将文件下载到本机。而ShellExecute这个API用于执行某个文件。这两个API结合使用就可以达到某个文件下载到本地计算机并执行的功能了,这也就是下载者的基本功能。 如果一个下载者程序先调用了URLDownloadToFile,而后又调用了ShellExecute。即时ShellExecute。执行的不是URLDownloadToFile下载的文件,NOD32也会将其列为病毒,病毒类型就是Downloader.
杀毒软件工作原理简介篇
01-28
杀毒软件工作原理,从核心进行简介,对于丰富这方面的知识很有帮助。
杀毒软件核心
09-19 849
杀毒软件的核心就是杀毒引擎,杀毒引擎分5个阶段: 1.简单的特征码:简单字符串。 2.广谱特征码:正则表达式匹配。 3.启发式查杀:对敏感区域监控。 4.云查杀:将本地文件上传服务器查杀,AV虚拟机模拟运行(模拟程序在内存中运行)。 5.人工智能。 转载于:https://www.cnblogs.com/PrideAssassin/p/11549663.html...
杀毒软件原理
木休的斋堂
03-14 1792
过主动原理 安全软件现状 安全套装普及,反病毒软件、软件防火墙与HIPS技术的融合: 主动防御广泛运用 恶意软件面临的问题 所有传统后门、木马、rootkit初次安装以及进行相关操作时均 无法绕过主动防御的监控,采用主动防御技术的安全软件将提示 用户发现安全威胁。 主动防御为什么对恶意软件有威慑力 ? 自启动 ? 绕过软件防火墙而采用的方法 ? 密码截取 ?
软件杀毒原理简介
weixin_34060299的博客
09-27 208
n1.杀毒软件的工作流程 n对于一款杀毒软件来说,一次成功的病毒查杀过程,通常都要经历病毒识别、病毒报警、病毒清除、文件或系统复原这几个过程。各个过程中又运用了很多复杂的技术,但其中最关键的应该是杀毒引擎技术,从广义上来讲,是指通过文件、网页监视等实时监控行为,运用文件识别技术来完成病毒扫描、识别、报警以及清除,甚至防御的一整套的机制,因此引擎技术也决定了杀...
病毒库的秘密:杀毒软件百万特征码,为什么扫描文件那么快?
w2sft的博客
04-23 908
今天分享的知识,是关于杀毒软件,关于病毒库、特征码技术。 Ty2y杀毒 要研究的杀毒软件是:Ty2y杀毒,这是一款小众的、功能不错的、而且开源的国产杀毒软件。 在使用它进行文件病毒扫描时,会发现扫描速度是很快的。 软件是开源的,那么我们可以很方便的从源码中了解杀毒软件的各种功能。 病毒扫描原理 Ty2y杀毒的特征码规则是: 哈希值(PE文件的节大小+节的...
杀毒软件的基本原理
qq_46485934的博客
07-01 926
杀毒软件的基本等级 1.无害 没有任何可疑行为,没有任何特征符合病毒 2.可疑 存在可疑行为:操作注册表,打开powershell,修改用户,操作敏感文件等 3.确认病毒 特征符合病毒 杀毒软件的常用识别方式 1.静态 通常通过反编译的方式查看源代码 1.1 代码中存在的函数 virtualalloc,rtlmovememory,ntcreatthread等 主要都是windowsapi函数,尤其是和内存、堆、线程相关的函数 当然在python中如果存在“cmd”等关键词也是会被识别的:比如subproce
msf生成免杀木马
qq_56426046的博客
09-08 5673
1.修改特征码免杀的最基本思想就是破坏特征,这个特征有可能是特征码,有可能是行为特征,只要破坏了病毒与木马所固有的特征,并保证其原有功能没有改变,一次免杀就能完成了。(特征码:能识别一个程序是病毒的一段不大于64字节的特征串)就目前的反病毒技术来讲,更改特征码从而达到免杀的效果事实上包含着两种方式。一种是改特征码,这也是免杀的最初方法。例如一个文件在某一个地址内有“灰鸽子上线成功!”这么一句话,表明它就是木马,只要将相应地址内的那句话改成别的就可以了,如果是无关痛痒的,直接将其删掉也未尝不可。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值