高級免殺前的基礎揭祕
高級免殺,小弟不敢怠慢,趕快把自己總結的筆記貢獻給大家。
隨着2011的來臨,大部分殺毒軟件都相繼推出了試用版。其中有許多出名的殺軟都增強了自己的查殺方式。下面先讓我們熟悉一下基本知識。
特徵碼查殺:這是殺軟最早的查殺方式,相信大家懂得一些免殺的朋友都瞭解吧,我大概介紹一下吧,首先殺軟檢查文件,覈對文件的二進制代碼,並把它和病毒庫中的代碼進行對比,若有相同則定義爲***,查殺掉,反之放行。這是一種很傻的查殺方式,因爲只要修改了特徵碼***文件就能達到免殺,當然越出名的馬它的特徵碼免殺時間就越短,所以各位小黑們就知道了吧.....(這不是我們的重點,還不知道的朋友可以去看網上的視頻多的是)
啓發式查殺:這個又叫人工智能和經驗查殺。通過對文件的反編譯判斷裏面的某些代碼會有什麼樣的行爲,從而定義是否爲***病毒。當然即使給馬加了殼有些殺軟還是會創造一個環境將其運行,並從行爲的判斷定義是否爲病毒。在NOD32和麥咖啡中應用較多,當然它不是人不會多重分析,只要將***多重結合就能逃避查殺。
主動防禦:它和啓發式同屬人工智能體現在檢測電腦所有行爲,包括註冊表監控,進程監控,鍵盤記錄,一旦有違規現象就被攔截,然後詢問用戶是否放行,瑞星和360比較多。
現在大多殺殺軟都推出了自己在2010的版本試用版,接受消費者的檢驗。例如瑞星2010,卡巴斯基2010,nod324.0,金山毒霸極速版,筆者在網上查閱大量資料才總結的希望對大家的免殺有幫助。(重點是免殺,所以我就沒有介紹一些新添加的與殺毒無關的功能)
瑞星:筆者找遍了資料也沒有發現瑞星2010的查殺機制所以就把2009和新加的功能介紹一下,免殺方法和2009的基本相似。瑞星不是啓發式查殺那麼它就擁有超大的特徵庫和先進的主動防禦技術,至於特徵庫相信大家瞭解了吧,那麼就詳細說下主動防禦技術,分爲3個部分:資源訪問規則控制;資源訪問掃描;程序活動行爲分析引擎,其中以行爲分析引擎技術最爲關鍵.
第一層:資源訪問控制層(即HIPS)
它通過對系統資源(註冊表、文件、特定系統API的調用、進程啓動)等進行規則化控制,阻止病毒、***等惡意程序對這些資源的使用,從而達到抵禦未知病毒、******的目的.說實話***那麼多,我看它對冷門馬沒有那麼強的查殺能力。
第二層:資源訪問掃描層(即傳統的文件監控、郵件監控等)
通過監控對一些資源,如文件、引導區、郵件、腳本的訪問,並使用攔截的上下文內容(文件內存、引導區內容等)進行威脅掃描識別的方式,來處理已經經過分析的惡意代碼。
第三層:進程活動行爲判定層(危險行爲判定、DNA識別)
進程活動行爲判定層自動收集從前兩層傳上來的進程動作及特徵信息,並對其進行加工判斷。專家經過對病毒的危險行爲進行分析,提煉,設計出主動防禦智能惡意行爲判定引擎。該層可以自動識別出具有有害動作的未知病毒、***、後門等惡意程序。
新添加的功能就是把病毒庫擴大了,增強了對網頁掛馬的屏蔽,還有所謂的安全“雲”,互聯網文件分析時間大大縮短......(沒有錢買正版的瑞星可以www.skycn.cn下載試用版可以用幾個月,然後接着換,就是麻煩)
卡巴斯基(下載並使用uusee可以獲得半年卡巴使用期還有新老MSn用戶通過活動均可獲得半年卡巴斯基的使用期):它是一款外國軟件它的前世來生我就不說,但功能強大。它的查殺能力比較強,脫殼能力強,最新的版本有加了一個獨特的安全免疫區-可以在該環境中運行可疑網站和應用程序以增強系統安全。我試了試比較好用就在我的電腦目錄下。卡巴斯基工具欄-在瀏覽器中嵌入卡巴斯基工具欄將過濾危險網站這也是一個新的功能防止網頁掛馬用的。它的查殺方式不會有太多的改變。至於它的殺毒引擎我在百度和Google上均沒有找到相關信息,知道的朋友可以再論壇告訴我。
Nod32(去官網下載可以試用一個月,關於360使用半年的活動好像已經結束了):我個人比較喜歡的一款殺軟,也是做免殺的最麻煩的。下面好好談談它,上面我們知道了它是將特徵查殺和啓發式查殺結合的,我們看看它的查殺引擎ThreatSense。
直至現在,幾乎所有防毒軟件還是主要透過病毒數據庫裏的病毒特徵數據,以此與掃描中的檔案們加以對照,從而把合乎條件的真正病毒區分出來。面對幾乎每天都有新病毒或變種出現,各防毒軟件也唯有不斷進行特徵更新 (Signature Update) 與壯大自己的病毒數據庫,確保在最短時間內把最新的病毒特徵數據收錄其中。
這種處理方法看似簡單妥善,但網絡世界裏出現過的病毒種類高達 7 萬多種,即使是仍活躍的品種數目也達到數千種以上;若病毒數據庫要一口氣全數收錄,數據庫體積必然非常龐大,就是在掃描系統時進行逐筆數據對照,過程也極爲費時。因此,像 NOD32 等較先進的防毒程序,已逐漸改變這種特徵檢測 (Signature-based Detection) 的防毒方式,進化成採用較新型的普遍特徵 (Generic Signature) 檢測技術。
所謂普遍特徵,就是指同一病毒族羣中的不同變種,多半含有相同的病毒特徵。不少病毒最初是以單一品種出現,及後經由其它病毒作者修改或自行演化,最後變化出數十種以上的病毒變種。若以傳統特徵檢測方式處理,病毒數據庫便要爲每一種病毒變種也製作一筆獨立的特徵數據;而較新的普遍特徵檢測,則會從各變種中找出共同之處,包括一些非連續的程序代碼,以此製作出通用的品種普遍特徵。
高級啓發式技術
NOD32 的 ThreatSense 防毒引擎裏除了具備普遍特徵檢測外,亦加入了先進啓發式技術 (Advanced Heuristics Technology),有效防止新變種的蠕蟲與病毒***。該技術是一種主動式防護(Proactive Protection) 技術,它辨別病毒的方法並非依靠任何特徵數據庫,而是在檔案掃描時主動地拆解與分析檔案的執行碼,並在虛擬的仿真系統環境裏執行它,以觀察是否包含任何具危險性的惡意行爲。
該技術可說與普遍特徵檢測技術互相補足,構成完美的保安防線。爲了強化 ThreatSense 引擎的準確性與效率,NOD32 在最新版本里加入了嶄新的 ThreatSense.Net 預警系統。
更加智能的掃描模塊。 ESET NOD32防病毒軟件可以對 HTTPS 及 POP3S 等SSL-加密通訊協議進行檢查,並對壓縮文件進行智能掃描找出同類產品漏報的威脅。
諾頓:它的查殺方式BloodHound啓發式技術和SONAR(Symantec前瞻在線網絡技術類似於主動防禦)類似與上面的軟件。它的新版本我還不知道所以就拿2009的講解了。
江民:強大的啓發式掃描 、虛擬機脫殼
江民殺毒軟件具有強大的啓發式掃描和虛擬機脫殼技術。能夠啓發掃描90%以上的未知病毒。增強虛擬機脫殼技術,能夠對各種主流殼以及疑難的“花指令殼”、“生僻殼”病毒進行脫殼掃描。
“沙盒”(Sandbox)技術
“沙盒”系統在本機上接管與系統接口(API)相關的所有行爲,如發現系病毒行爲,則會執行“回滾”機制,將病毒執行的動作和留下的痕跡抹去,恢復系統到正常狀態。
ARP***防護
江民ARP***防護功能,能夠有效防範ARP病毒進行ARP地址欺騙,有效防範局域網內ARP病毒的大肆傳播。並能夠防範ARP病毒僞裝成網關,通過在網頁嵌入惡意代碼的方式傳播病毒。 這款殺軟用戶使用的不多,我們就做億個瞭解吧。
金山毒霸:這款國內的殺軟用戶不少吧,記得它是數據流查殺,那麼它的免殺就不難這裏重點不是它,所以就提一下了,它的2010是極速版,就是佔用很少的內存聽說是普通殺軟的三分之一,所以建議由筆記本的用戶使用(怎麼聽着像是給金山做廣告啊——!)
大部分殺軟都是可以免費使用一個月,不想花錢的用戶可以時常換,當然還有類似於瑞星升級保姆,卡巴斯基key生成器.....這些東西可以大家去試驗,經常是這幾天能升級在過些日子就不能升級了。如果有好方法或者好的活動我會總結給大家的
隨着殺軟和***的較量,我們可以發現這樣一個趨勢由exe***到dll***.....Rootkit***(內核模式***),希望大家的知識學習永遠提前一步