【导语】“WXH123”通过精心收集,向本站投稿了7篇主动防御/启发式查毒:杀软技术新主流,下面是小编精心整理后的主动防御/启发式查毒:杀软技术新主流,仅供参考,大家一起来看看吧。
- 目录
篇1:主动防御/启发式查毒:杀软技术新主流
80年代末期,基于个人电脑病毒的诞生,随即就有了清除病毒的工具──反病毒软件,这一时期,病毒所使用的技术还比较简单,从而检测相对容易,最广泛使用的就是特征码匹配的方法。然而为了躲避杀毒软件的查杀,病毒开始了进化,逐渐演变为变形的形式,每感染一次,就对自身变一次形,通过对自身的变形来躲避查杀。
这样一来,同一种病毒的变种病毒大量增加,杀毒软件单纯依靠病毒库和特征码技术已经不能适应如今的网络安全。于是,便出现了广谱特征码的概念,这个技术在一段时间内,对于处理某些变形的病毒提供了一种方法,但是也使误报率大大增加,所以采用广谱特征码的技术目前也不能有效的对新病毒和未知病毒进行查杀,那么,现如今种类繁多的杀毒软件都有哪些新技术和新特征来适应当前的病毒威胁,又是如何实现的呢?
主动防御技术
由于传统的基于病毒库扫描的反病毒软件都是很被动的,只能在新病毒出现之后才能有应付措施,一个病毒制造者所编写的病毒很有可能在被杀毒软件厂商截获并添加到产品病毒库之前进入用户电脑。
此时,由于该病毒的特征码还未添加到杀毒软件病毒库中,杀毒软件会将病毒认为是正常文件而放过,使得用户电脑被病毒所感染。因此,业界将能够主动检测和拦截未知威胁的防御方法称为“主动防御”。
杀毒软件具有滞后性,这是业界公认的一个杀毒软件弊端,而主动防御却很好的解决了这个问题。主动防御技术主要是针对未知病毒提出来的病毒防杀技术,在没有病毒样本的情况下,对病毒进行全面而有效的全面防护,阻止病毒的运作,从技术层面上有效应对未知病毒的肆虐,一是在未知病毒和未知程序方面,通过“行为判断”技术识别大部分未被截获的未知病毒和变种。
另一方面,通过对漏洞攻击行为进行监测,这样可防止病毒利用系统漏洞对其它计算机进行攻击,从而阻止病毒的爆发。
然而由于主动防御概念,各厂商技术水平不同,其效果悬殊也较大,最显著的弊端就是常常出现大量的误报或误杀,或是将行为监控和病毒特征码监测结合的方式等同于主动防御,虽然病毒运行时其行为监控有警报提示,但就算用户选择“拒绝”操作也无法阻止病毒的运行。
在《c′t》杂志对全球17款主要杀毒软件进行了测试中表明,在新病毒查杀方面,杀毒软件的平均检测率只有20%~30%,甚至低于去年的40%~50%。相比之下,只有ESET NOD32和BitDefender表现较好,查杀率分别为68%和41%。值得一提的是, ESET NOD32采用世界领先的高级启发式ThreatSense@引擎,可同时支持基因码,虚拟机,以及代码分析这三种启发式防毒技术,在查杀大部分未知病毒的同时只产生了极少的误报,为业界最低,因此ESET NOD32的ThreatSense技术被公认为主动防御技术成熟和稳定的集大成者,
启发式查毒技术
说到主动防御,不得不提起启发式查毒技术,启发式查毒技术属于主动防御的一种,是当前对付未知病毒的主要手段,从工作原理上可分为静态启发和动态启发两种。
启发式指 “自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能”, 是杀毒软件能够分析文件代码的逻辑结构是否含有恶意程序特征,或者通过在一个虚拟的安全环境中前摄性的执行代码来判断其是否有恶意行为。在业界前者被称为静态代码分析,后者被成为动态虚拟机。
静态启发技术指的是在静止状态下通过病毒的典型指令特征识别病毒的方法,是对传统特征码扫描的一种补充。由于病毒程序与正常的应用程序在启动时有很多区别,通常一个应用程序在最初的指令,是检查命令行输入有无参数项、清屏和保存原来屏幕显示等,而病毒程序则通常是最初的指令是直接写盘操作、解码指令,或搜索某路径下的可执行程序等相关操作指令序列。
静态启发式就是通过简单的反编译,在不运行病毒程序的情况下,核对病毒头静态指令从而确定病毒的一种技术。
而相比静态启发技术,动态启发技术要复杂和先进很多。动态启发式通过杀软内置的虚拟机技术,给病毒构建一个仿真的运行环境,诱使病毒在杀软的模拟缓冲区中运行,如运行过程中检测到可疑的动作,则判定为危险程序并进行拦截。这种方法更有助于识别未知病毒,对加壳病毒依然有效,但如果控制得不好,会出现较多误报的情况。
动态启发因为考虑资源占用的问题,因此目前只能使用比较保守的虚拟机技术。尽管如此,由于动态启发式判断技术具有许多不可替代的优势,因此仍然是目前检测未知病毒最有效、最可靠的方法之一,并在各大杀软产品中得到了广泛的应用。
由于诸多传统技术无法企及的强大优势,必将得到普遍的应用和迅速的发展。纯粹的启发式代码分析技术的应用(不借助任何事先的对于被测目标病毒样本的研究和了解),已能达到80%以上的病毒检出率,而其误报率极易控制在0.1%之下,这对于仅仅使用传统的基于对已知病毒的研究而抽取“特征字串”的特征扫描技术的查毒软件来说,是不可想象的,启发式杀毒技术代表着未来反病毒技术发展的必然趋势,具备某种人工智能特点的反毒技术,向我们展示了一种通用的、不依赖于升级的病毒检测技术和产品的可能性。
作为启发式杀毒软件的代表产品ESET NOD32,以其完善的启发式引擎ThreatSense,超过68%的未知病毒检测率以及低于0.1%的误报率闻名遐迩。成为业界的最高水准,同时也被冠以“启发之王”的美誉。
篇2:木马对抗杀软技术
最近网马的两个静态对抗技术:
余弦函数
1 前段时间看到
2 刚刚不小心看到
function jc
{
jc_list = ['res://C:\\\\Program%20Files\\\\Rising\\\\Rav\\\\rssafety.exe/PNG/123','res://D:\\\\Program%20Files\\\\Rising\\\\Rav\\\\rssafety.exe/PNG/123','res://E:\\\\Program%20Files\\\\Rising\\\\Rav\\\\rssafety.exe/PNG/123'];
for i= 0; i { ischeck = 1; x = new Image ; x.onerror = function { ischeck = 0; } x.src = jc_list[i]; if ischeck == 1 return 1; delet x; } return 0; } more: www.hxhack.com/bbs/read.php?tid-213074-keyword-%CD%F8%C2%ED%E2%A B%D9%F4%BC%BC%C7%C9.html 这次是简单对抗瑞星,下次会不会更多些?
篇3:防病毒软件技术介绍 主动防御与启发式杀毒
在80年代末期,诞生了第一个电脑病毒,然后随即就有了清除病毒的工具──反病毒软件。这一时期,病毒所使用的技术还比较简单,从而检测相对容易,最广泛使用的就是特征码匹配的方法。然而为了躲避杀毒软件的查杀,病毒开始了进化,逐渐演变为变形的形式,每感染一次,就对自身变一次形,通过对自身的变形来躲避查杀。
这样一来,同一种病毒的变种病毒大量增加,杀毒软件单纯依靠病毒库和特征码技术已经不能适应如今的网络安全。于是,便出现了广谱特征码的概念,这个技术在一段时间内,对于处理某些变形的病毒提供了一种方法,但是也使误报率大大增加,所以采用广谱特征码的技术目前也不能有效的对新病毒和未知病毒进行查杀,那么,现如今种类繁多的杀毒软件都有哪些新技术和新特征来适应当前的病毒威胁,又是如何实现的呢?
主动防御技术
由于传统的基于病毒库扫描的反病毒软件都是很被动的,只能在新病毒出现之后才能有应付措施,一个病毒制造者所编写的病毒很有可能在被杀毒软件厂商截获并添加到产品病毒库之前进入用户电脑。此时,由于该病毒的特征码还未添加到杀毒软件病毒库中,杀毒软件会将病毒认为是正常文件而放过,使得用户电脑被病毒所感染。因此,业界将能够主动检测和拦截未知威胁的防御方法称为“主动防御”。
杀毒软件具有滞后性,这是业界公认的一个杀毒软件弊端,而主动防御却很好的解决了这个问题。主动防御技术主要是针对未知病毒提出来的病毒防杀技术,在没有病毒样本的情况下,对病毒进行全面而有效的全面防护,阻止病毒的运作,从技术层面上有效应对未知病毒的肆虐,一是在未知病毒和未知程序方面,通过“行为判断”技术识别大部分未被截获的未知病毒和变种。另一方面,通过对漏洞攻击行为进行监测,这样可防止病毒利用系统漏洞对其它计算机进行攻击,从而阻止病毒的爆发。
然而由于主动防御概念,各厂商技术水平不同,其效果悬殊也较大,最显著的弊端就是常常出现大量的误报或误杀,或是将行为监控和病毒特征码监测结合的方式等同于主动防御,虽然病毒运行时其行为监控有警报提示,但就算用户选择“拒绝”操作也无法阻止病毒的运行,
启发式查毒技术
说到主动防御,不得不提起启发式查毒技术,启发式查毒技术属于主动防御的一种,是当前对付未知病毒的主要手段,从工作原理上可分为静态启发和动态启发两种。
启发式指 “自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能”, 是杀毒软件能够分析文件代码的逻辑结构是否含有恶意程序特征,或者通过在一个虚拟的安全环境中前摄性的执行代码来判断其是否有恶意行为。在业界前者被称为静态代码分析,后者被成为动态虚拟机。
静态启发技术指的是在静止状态下通过病毒的典型指令特征识别病毒的方法,是对传统特征码扫描的一种补充。由于病毒程序与正常的应用程序在启动时有很多区别,通常一个应用程序在最初的指令,是检查命令行输入有无参数项、清屏和保存原来屏幕显示等,而病毒程序则通常是最初的指令是直接写盘操作、解码指令,或搜索某路径下的可执行程序等相关操作指令序列。静态启发式就是通过简单的反编译,在不运行病毒程序的情况下,核对病毒头静态指令从而确定病毒的一种技术。
而相比静态启发技术,动态启发技术要复杂和先进很多。动态启发式通过杀软内置的虚拟机技术,给病毒构建一个仿真的运行环境,诱使病毒在杀软的模拟缓冲区中运行,如运行过程中检测到可疑的动作,则判定为危险程序并进行拦截。这种方法更有助于识别未知病毒,对加壳病毒依然有效,但如果控制得不好,会出现较多误报的情况。动态启发因为考虑资源占用的问题,因此目前只能使用比较保守的虚拟机技术。尽管如此,由于动态启发式判断技术具有许多不可替代的优势,因此仍然是目前检测未知病毒最有效、最可靠的方法之一,并在各大杀软产品中得到了广泛的应用。
由于诸多传统技术无法企及的强大优势,必将得到普遍的应用和迅速的发展。纯粹的启发式代码分析技术的应用(不借助任何事先的对于被测目标病毒样本的研究和了解),已能达到80%以上的病毒检出率,而其误报率极易控制在0.1%之下,这对于仅仅使用传统的基于对已知病毒的研究而抽取“特征字串”的特征扫描技术的查毒软件来说,是不可想象的,启发式杀毒技术代表着未来反病毒技术发展的必然趋势,具备某种人工智能特点的反毒技术,向我们展示了一种通用的、不依赖于升级的病毒检测技术和产品的可能性。
篇4:过主动防御的免杀经验
我们做木马免杀主要是针对杀毒的特征进行免杀,
所以市面上也出了一些针对特定杀毒软件的加壳软件等等。
为什么木马免杀会成为一门课程。因为难就难在特征码的修改。也就是汇编代码的修改。以及免杀汇编的编写。
当然,对于免杀我们还是要求巧。何为巧。就是针对杀毒的特征进行特征性的免杀。经过我的免杀总结,我总结了如下的免杀经验告诉大家如何过一些杀毒的主动防御。当然,这只是过主动防御,主动防御过了,还有文件免杀,以及内存免杀。请大家注意。
下面提到的过主动防御的杀毒有。瑞星,360,卡巴,NOD。
我公布几个最新的过杀毒主动防御的方法。
1、瑞星(下载地址:www.heibai.net/download/Soft/Soft_20635.htm)
程序运行后,立刻修改掉程序名字即可过主动
2、360杀毒
想过保护,把程序名字改成一些特定的,就可以过了 360也不报
比如说,你想安装个自动启动的服务,一般360都会报, 只要那服务的名字是一些特定的名字,就不报了,
3、卡巴(下载地址:www.heibai.net/download/Soft/Soft_20527.htm)
把程序改成中文名字就过了……
4、NOD
把小马释放到C:\\Windows\\System32\\svchost1.exe
然后把原本的svchost.exe改个名字,把小马改成svchost.exe
运行
然后恢复名字
这个方法还可以过某些防火墙,比如金山网彪
对于编程人员来说。过主动。也简单的。
例如:如果发现要写入C:\\Windows\\System32\\ 会报警
那就不要用复制API,直接用写入文件,就不报了。
篇5:设置出错无忧 用主流杀软恢复功能
很多用户都在使用杀毒软件产品防护自己的系统,查杀已存在的各类威胁程序,同时根据自己的不同需求,通常还会对杀毒软件的功能进行定制。例如开启需要的防护,关闭用途不大的监控等。可是操作步骤一个、两个。或许用户还能想起,并知道如何恢复,如果进行了很多设置,且点击了“应用”。使得设置信息生效。再想恢复,想不起做过什么,想不到搞过什么?无疑会十分郁闷。
不过,可能有些用户并未发现,其实在目前主流杀毒软件,如瑞星全功能安全软件、卡巴斯基全功能安全软件、ESET NOD32互联网安全套装等。都具备了将设置信息“重置”或恢复到初始设置的功能。笔者才此前的文章中,也曾依次为大家介绍。今天,笔者特别将这些应用文章进行整合,方便大家在恢复杀毒软件设置时进行参考。
1.瑞星全功能安全软件2009版
若想瑞星全功能安全软件2009版本的设置信息,让软件重新开启监控和查杀功能。用户可点击瑞星全功能安全软件2009版本的“设置”选项,切换到文件监控界面,此时打开“自定义级别”选项(如图1)。
在级别选项中,细节的用户便可看到,除将所有的监控、查杀设置内容以列表的形式为用户展现,并提供是否开启此功能的选择外,还为用户提供了“重置”功能。并按照“高”、“中”、“低”设置了三种默认的防护和查杀方案。下面则是这些方案的具体开启项目。
1.高级查杀/防护方案:
为用户提供最全面的查杀和防护方案,包括监控压缩文件、加壳巍峨见、宏脚本及已知和未知病毒和威胁程序。并对更改注册表,修改组策略进行监控。
2.中级查杀/防护方案(推荐):
使用绝大部门用户使用,提供对病毒、木马程序的监控。不会开启所有监控,提高启动速度和载入速度。但在查杀方面依然保证能及时清除各种威胁程序,此方案主要适用于普通用户使用。
3.低级查杀/防护方案:
考虑到部门用户的计算机硬件配置不高,特别是内存较小,若开启瑞星全功能软件2009版的所有监控,会拖延启动速度,甚至影响到正常使用。选择“低级”方案,会在默认情况下关闭一些防护项目,加快启动时间。但会因关闭了部分防护而易被病毒程序侵袭。
根据上面介绍的三种默认方案的监控和查杀项目加载情况,用户可在选择重置时,在菜单中勾选相应级别,此时点击“重置”按钮,即可快速恢复到相应状态。
通过这一方式,用户无需再担心因设置不当,而导致瑞星全功能安全软件的防护和查杀功能“失效”。让基于“云安全”技术的瑞星全功能软件2009,全方位防护您的系统免遭病毒、木马等恶意程序侵袭。
点击阅读更多学院相关文章>>
分享到2.卡巴斯基全功能安全软件2009版
恢复方法非常简单,首先用户点击进入卡巴斯基软件,点击右上角的“设置”按钮,在弹出的设置窗口中,点击右下角的“恢复”按钮,即可启动软件设置恢复向导(如图3)。
恢复向导实际和在软件安装后的配置向导相似,直接点击“下一步”即可开始对设置内容进行恢复。
依次选择恢复类型、保护模式和更新设置,软件便会自动启动恢复系统,并显示状复状态(如图4)。
恢复完成之后,卡巴斯基2009的相应设置已恢复到初始状态,重新对各类威胁程序进行检测,并实时更新到最新的病毒库,
点击阅读更多学院相关文章>>
分享到3.ESET NOD32 3.0版
凭借着强大的查杀能力和较低的资源占用,ESET NOD32互联网安全套装始终深受用户喜爱。相对其它杀毒软件,更加详尽的设置功能,更使其成为了反病毒爱好者的“DIY”首选。不过,正由于这款杀毒软件的提供的设置功能较为详细,故时常会导致用户操作不当,误开启了某些实际用不到功能,或关闭了某些较为关键的服务。而针对这一点,实际ESET NOD32互联网安全套装也在软件中内置了“恢复”设置功能。方便用户快速将杀毒软件恢复到“默认”的出厂设置。
首先,用户点击ESET NOD32互联网安全套装,在主界面中进入“设置”,并在菜单中选择“高级设置”(F5键)(如图9)。
此时,用户可依次切换到需要此前曾进行设置的分类选项中,点击软件右下角的“默认”按钮,软件便会自动将设置信息重置,恢复到初始状态(如图10)。
使用这一设置,即可让设置信息略微复杂的ESET NOD32互联网安全套装也能快速恢复到初始状态。让用户继续体验高速查杀和极低的系统资源占用。保护系统免遭病毒侵袭。
点击阅读更多学院相关文章>>
分享到4.诺顿网络安全特警2009版
从发布起就颇受好评的诺顿网络安全特警2009版本,同样为用户提供了将设置信息快速恢复的选项,在诺顿网络安全特警的设置设置选项中,用户无论切换到Internet设置,或计算机信息设置、以及身份设置、家庭网络设置等,均可在右上角看到“使用默认值”选项,同样可轻松将诺顿网络安全特警2009版本的设置信息恢复到初始状态(如图12)。
5.金山毒霸2009安全组合装
同样基于“云安全”技术的老牌杀毒软件厂商金山公司,在底推出的金山毒霸2009安全组合装(毒霸+网镖+金山清理专家)。同样为用户提供了快速将设置恢复至默认状态的选项。在其综合设置选项中,选择手工杀毒或屏保查毒、定时查毒等,一旦对默认信息进行更改,此前显示为灰色(不可用)的恢复默认设置按钮便会自动亮起。用户点击此按钮,即可快速将当前选区中的设置选项恢复到初始状态(如图13)。
通过本文,大家想必已经了解,如果将包括瑞星全功能安全软件、卡巴斯基全功能安全软件和ESET NOD32等杀毒软件的设置信息快速恢复至“初始状态”。一旦您在设置过程中出现“误操作”。不妨使用笔者为大家介绍的方法。例如这些杀软自带功能,快速进行恢复。
编辑点评:
此前各家平面、网络媒体为大家介绍的应用技巧,大多是以如何通过设置,改进软件功能,或优化软件性能等。而在用户操作不当,导致软件功能失效的情况下,如何进行恢复,则极少提及。今天,笔者为大家介绍的是瑞星全功能安全软件、卡巴斯基全功能安全软件、ESET NOD32互联网安全套装等主流杀毒软件的设置选项“恢复”功能。日后还会为大家带来其它类软件设置选项的恢复方法,让大家无需担忧设置失误,根据自己的需要,随意对软件功能进行设置。
上一页 123 4
点击阅读更多学院相关文章>>
分享到
篇6:高级恶意软件技术新挑战――突破主动防御
文章作者:xyzreg
作者网站:www.xyzreg.net
信息来源:邪恶八进制信息安全团队(forum.eviloctal.com)
这是今年我在XCON2007(安全焦点信息安全技术峰会)所演讲的议题,现在提供ppt资料下载
地址: www.xyzreg.net/down/xcon2007_xyzreg.rar
议题介绍:
主动防御技术已被杀毒软件、软件防火墙、HIPS等安全软件广泛采用,现有的后门木马、Rootkit等恶意软件面临严峻考验,
高级恶意软件技术新挑战――突破主动防御
,
无论传统的恶意软件功能有多强大隐蔽性有多高,初次安装以及工作时都会被主动防御功能拦截并提示用户,使其无法正常安装和工作。本议题阐述了主动防御技术的应用现状和原理,并深入 Windows系统内核详细讲解突破主动防御的各种方法和思路。
篇7:可误关杀软 新AMD超频工具曝安全隐患
北京时间9月20日消息,据国外媒体报道,本周四,AMD公司推出了一个新的企业品牌计划――Fusion,并公布了一个新的测试版应用工具,用来加速使用AMD处理器的计算机,不过,该公司警告称,这个工具可能会在不通知用户的情况下关闭反病毒软件或其它安全软件。
AMD的新企业格言是“The Future is Fusion,”AMD首席营销官Nigel Dessau表示:“Fusion是AMD展现如何将客户需求、梦想和期望与我们独有的创新激情完美地结合起来的有效方式,‘Fusion’可以最清楚地诠释AMD如何将创新和协作融为一体,
”
同时,AMD还发布了一款名为“Fusion for Gaming”应用工具,可以加速AMD图形芯片和处理器。据AMD表示,该工具包括几个主要功能:一个是CPU和图形卡的自动调优功能;一个是时钟多级控制和校准工具,可以根据温度和系统稳定性调整时钟速度;还有一个功能是通过降低寻道时间来加速硬盘数据存取。
另外,通过关闭一些后台任务,该工具还可以加速游戏体验。据AMD发言人称,诸如网络会议软件、Windows Vista widgets或Windows Vista传真服务之类的应用程序会关闭。
不过AMD警告称,AMD并不保证该工具不会禁用安全/防病毒软件,不排除该工具可能会影响用户系统的稳定性或安全性。
尽管该AMD发言人表示,之所以不对此作出承诺是出于法律方面的考虑。不过他同时表示,在某些情况下,该工具的确会在不通知用户的情况下关闭防火墙或防病毒软件。
幸运的是,在Fusion for Gaming工具中用户可以设定一个关键服务列表,该列表中的应用或服务不会被关闭。
★ 网络防御技术论文
★ 主动成长作文
主动防御/启发式查毒:杀软技术新主流(合集7篇)
