什么是UTM 病毒检测技术
校验和法既能发现已知病毒又能发觉未知病毒,但是它不能识别病毒种类、而且对隐蔽性的病毒无效。另外,病毒也并非是文件内容改变的唯一特征,所以校验和检测常常误报,而且此法会影响文件的运行速度。
3)行为检测最近在国内外大量宣传的行为检测,其实并不是什么新的技术。这是一种利用病毒的特有行为特性检测病毒的方法,也称为人工智能陷阱。通过对病毒多年的观察、研究,研究者发觉病毒的一些行为是病毒的共同行为,而且比较特别。
在正常程序中,这些行为比较少见。当程序运行时,监视其行为;要是发觉了特点行为,则即刻报警或阻塞可疑程序。
用于检测病毒的行为特点主要有以下几点:盗用截流系统中断、修改内存总量和内存控制块、对可执行文件做写入操作、引导扇区或执行格式化磁盘等可疑动作、病毒程序与宿主程序切换和搜索API函数地址。
4)启迪式扫描启迪式扫描源于人工智能技术,是基于给定的判断规则和定义的扫描技术。若发觉被扫描程序中存在可疑的程序功能指令,则做出存在病毒的预警或判断。
启发式代码剖析扫描技术是传统的特性码扫描技术的改良。在特点码扫描技术的基础上,利用对病毒代码的分析,获得一些统计的、静态的启发知识,形成一种静态的启迪式扫描剖析技术。
在具体实现上,启发式扫描技术是相当复杂的。通常这类病毒检测软件要能够识别并探测许多可疑程序代码指令序列,并按照安全和可疑的等级进行排序,依据病毒可能使用和具备的特点而授以不同的加权值。
要是一个程序的加权值的总和超过一个事前定义的阀值,那么病毒检测程序就可以称为发现病毒。为了避免“狼来了”的误报行为,病毒检测程序常把多种可疑操作同时并发的情况定为发觉病毒的报警标准。因此启迪式扫描技术是一种概率方法。
5)虚拟机技术虚拟机技术是动态特点码扫描技术的关键,在与多态病毒进行对抗中发挥了庞大的作用。虚拟机(Virtual Machine)是一种软件仿真器或软件分析器,通过软件虚拟化、硬件虚拟化,让程序在一个虚拟/仿真环境中运行。
实现虚拟技术的关键在于软件虚拟化和硬件虚拟化,其实不光是防病毒领域,常常遇到的虚拟机有很多,如GWBasic、Java虚拟机等。虚拟机的主要作用是能够运行一定规则的描述语言,它有两方面的含义,一个含义是运行一定规则的描述语言的机器并不一定是一台真实的以该语言为机器码的计算机(如Java虚拟机);另外一个含义是运行对应规则描述语言的机器并不是描述语言的原设计机器,称为仿真环境(如MS-DOS)。
电脑街 http://www.computerj.com欢迎您。
在防病毒行业中,虚拟机被称为通用解密器。虚拟机技术在实际设计中难度非常大,其须要模拟的元素过多且行为分析须要人工智能理论。
通常在杀毒软件中提到的虚拟机,严格地说,是不能称为虚拟机的,定义为虚拟CPU或者通用解密器更为合适。杀毒虚拟机是一个软件模拟的CPU,可以进行取指令、编译、执行,可以模拟一段代码在CPU上的运行结果。
虚拟机首先从文件中确定并读取病毒入口代码,然后解释执行病毒头部的解密段,最后在执行完的机构中查找病毒的特征码。也可以这样认为,这里的虚拟,并非是创建了一个虚拟环境,而是指染毒文件并没有实际执行,只是虚拟机模拟了其真实执行时的效果,这就是虚拟机查毒的基本原理。
