殺毒軟件簡介
(Antivirus或Antivirus software)使用于偵測、移除電腦病毒、電腦蠕蟲、和特洛伊木馬。殺毒軟件通常集成監控識别、病毒掃描和清除和自動升級等功能,有的殺毒軟件還帶有數據恢複等功能,是計算機防禦系統(包含殺毒軟件,防火牆,特洛伊木馬和其他惡意軟件的查殺程序,入侵預防系統等)的重要組成部分。
原理
殺毒軟件的任務是實時監控和掃描磁盤。部分殺毒軟件通過在系統添加驅動程序的方式,進駐系統,并且随操作系統啟動。殺毒軟件的實時監控方式因軟件而異。有的殺毒軟件,是通過在内存裡劃分一部分空間,将電腦裡流過内存的數據與殺毒軟件自身所帶的病毒庫(包含病毒定義)的特征碼相比較,以判斷是否為病毒。另一些殺毒軟件則在所劃分到的内存空間裡面,虛拟執行系統或用戶提交的程序,根據其行為或結果作出判斷。
而掃描磁盤的方式,則和上面提到的實時監控的第一種工作方式一樣,隻是在這裡,殺毒軟件将會将磁盤上所有的(或者用戶自定義的掃描範圍内的文件)做一次檢查。另外,殺毒軟件的設計還涉及很多其他方面的技術。脫殼技術,即是對壓縮檔案和封裝好的文件作分析檢查的技術。自身保護技術,避免病毒程序殺死自身進程。修複技術,對被病毒損壞的文件進行修複的技術。
病毒加殼技術與脫殼技術
由于大量的殺毒軟件的出現,以及殺毒軟件病毒庫的不斷壯大,病毒被查殺的幾率也越來越大。所以有些病毒就開始通過加殼的方法來僞裝自己,企圖騙過殺毒軟件,蒙混過關。為了做好病毒防禦,我們就該了解什麼是加殼?加殼的對立面是不是脫殼?如何脫殼等?
一什麼是殼
計算機軟件裡有一段專門負責保護軟件不被非法修改或反編譯的程序。它們一般都是先于程序運行,拿到控制權,然後完成它們保護軟件的任務,大家就把這樣的程序稱為“殼”了。從功能上抽象的講,軟件的殼和自然界中的殼相差無幾。無非是保護、隐蔽殼内的東西。而從技術的角度出發,殼是一段執行于原始程序前的代碼。原始程序的代碼在加殼的過程中可能被壓縮、加密……。當加殼後的文件執行時,殼-這段代碼先于原始程序運行,他把壓縮、加密後的代碼還原成原始程序代碼,然後再把執行權交還給原始代碼。軟件的殼分為加密殼、壓縮殼、僞裝殼、多層殼等類,目的都是為了隐藏程序真正的OEP(入口點,防止被破解)。
作者編好軟件後,編譯成exe可執行文件。有一些版權信息需要保護起來,不想讓别人随便改動,如作者的姓名,即為了保護軟件不被破解,通常都是采用加殼來進行保護。加殼就需要把程序搞的小一點,從而方便使用。于是,需要用到一些軟件,它們能将exe可執行文件壓縮。而在黑客界中“殼”則被用在保護病毒,給木馬等軟件加殼脫殼以躲避殺毒軟件,給網民帶來很多的麻煩。
二病毒加殼
在好萊塢間諜電影裡,那些特工們往往以神奇莫測的化妝來欺騙别人,甚至變換成另一個身份,國内對于這種僞裝行為有個通俗的說法——“穿馬甲”。而這種正與邪的争鬥已經延伸到了病毒領域,很多病毒作者通過給病毒“穿馬甲”、甚至穿多個“馬甲”的方式,躲避殺毒軟件的查殺,這種技術就是“加殼”。病毒作者可以通過給老病毒加殼,大批量制造出殺毒軟件無法識别的新病毒。所謂加殼,是一種通過一系列數學運算,将可執行程序文件或動态鍊接庫文件的編碼進行改變(目前還有一些加殼軟件可以壓縮、加密驅動程序),以達到縮小文件體積或加密程序編碼的目的。當被加殼的程序運行時,外殼程序先被執行,然後由這個外殼程序負責将用戶原有的程序在内存中解壓縮,并把控制權交還給脫殼後的真正程序。
一切操作自動完成,用戶不知道也無需知道殼程序是如何運行的。一般情況下,加殼程序和未加殼程序的運行結果是一樣的。
既然加殼後的病毒不易被發現,那麼如何判斷一個可執行文件是否被加了殼呢?
有一個簡單的方法(對中文軟件效果較明顯)。用記事本打開一個可執行文件,如果能看到軟件的提示信息則一般是未加殼的,如果完全是亂碼,則多半是被加殼的。我們還可以使用一款叫做Fileinfo的工具來查看文件具體加的是什麼殼。目前,較常見到的殼有“UPX”、“ASPack”、“PePack”、“PECompact”、“UPack”、“NsPack”、“免疫007”、“木馬彩衣”等等。
病毒加殼的原理很簡單,現在黑客營中提供的多數病毒中,很多都是經過處理的,而這些處理就是所謂的加殼。我們知道當一個普通的EXE程序生成好後,很輕松的就可以利用諸如資源工具和反彙編工具對它進行修改,但如果程序員給EXE程序加一個殼的話,那麼至少這個加了殼的EXE程序就不是那麼好修改了,如果想修改就必須先脫殼。病毒加殼後也是同樣的道理,我們也必須先為病毒脫殼。
目前有很多加殼工具,既然有矛,自然就有盾,隻要我們收集全常用脫殼工具,那就不怕病毒加殼了。脫殼主要是通過工具來脫殼。
三常用脫殼工具有
1.文件分析工具(偵測殼的類型):Fi,GetTyp,peid,pe-scan,
2.OEP入口查找工具:SoftICE,TRW,ollydbg,loader,peid
3.dump工具:IceDump,TRW,PEditor,ProcDump32,LordPE
4.PE文件編輯工具PEditor,ProcDump32,LordPE
5.重建Import Table工具:ImportREC,ReVirgin
6.ASProtect脫殼專用工具:Caspr(ASPr V1.1-V1.2有效),Rad(隻對ASPr V1.1有效),loader,peid
(1)Aspack:用的最多,但隻要用UNASPACK或PEDUMP32脫殼就行了
(2)ASProtect+aspack:次之,國外的軟件多用它加殼,脫殼時需要用到SOFTICE+ICEDUMP,需要一定的專業知識,但最新版現在暫時沒有辦法。
(3)Upx:可以用UPX本身來脫殼,但要注意版本是否一緻,用-D參數
(4)Armadill:可以用SOFTICE+ICEDUMP脫殼,比較煩
(5)Dbpe:國内比較好的加密軟件,新版本暫時不能脫,但可以破解
(6)NeoLite:可以用自己來脫殼
(7)Pcguard:可以用SOFTICE+ICEDUMP+FROGICE來脫殼
(8)Pecompat:用SOFTICE配合PEDUMP32來脫殼,但不要專業知識
(9)Petite:有一部分的老版本可以用PEDUMP32直接脫殼,新版本脫殼時需要用到SOFTICE+ICEDUMP,需要一定的專業知識。
(10)WWpack32:和PECOMPACT一樣其實有一部分的老版本可以用PEDUMP32直接脫殼,不過有時候資源無法修改,也就無法漢化,所以最好還是用SOFTICE配合PEDUMP32脫殼
殺毒軟件相關
什麼是殺毒軟件
“殺毒軟件”是由國産的老一輩反病毒軟件廠商,如金山毒霸、江民、瑞星、360殺毒等起的名字,後來由于和世界反病毒業接軌統稱為“反病毒軟件”或“安全防護軟件”。
注意“殺毒軟件”是指電腦中毒,然後要殺掉病毒,反病毒則包括了殺毒和防毒兩種功能。
近年來陸續出現了集成防火牆的“互聯網安全套裝”、“全功能安全套裝”等名詞,都屬一類),是用于消除電腦病毒、特洛伊木馬和惡意軟件的一類軟件。反病毒軟件通常集成監控識别、病毒掃描和清除和自動升級等功能,有的反病毒軟件還帶有數據恢複等功能。後兩者同時具有黑客入侵,網絡流量控制等功能。
一種可以對病毒、木馬等一切已知的對計算機有危害的程序代碼進行清除的程序工具。
軟件原理
反病毒軟件的任務是實時監控和掃描磁盤。部分反病毒軟件通過在系統添加驅動程序的方式,進駐系統,并且随操作系統啟動。大部分的殺毒軟件還具有防火牆功能。
反病毒軟件的實時監控方式因軟件而異。有的反病毒軟件,是通過在内存裡劃分一部分空間,将電腦裡流過内存的數據與反病毒軟件自身所帶的病毒庫(包含病毒定義)的特征碼相比較,以判斷是否為病毒。另一些反病毒軟件則在所劃分到的内存空間裡面,虛拟執行系統或用戶提交的程序,根據其行為或結果作出判斷。
而掃描磁盤的方式,則和上面提到的實時監控的第一種工作方式一樣,隻是在這裡,反病毒軟件将會将磁盤上所有的文件(或者用戶自定義的掃描範圍内的文件)做一次檢查。
殺毒軟件常識
1.殺毒軟件不可能查殺所有病毒
2.殺毒軟件能查到的病毒,不一定能殺掉;
3.一台電腦每個操作系統下不能同時安裝兩套或兩套以上的殺毒軟件(除非有兼容或綠色版,且隻能有一個軟件開啟防護功能)
4.殺毒軟件現在對被感染的文件殺毒有多種方式:1清除,2删除,3禁止訪問,4隔離,5不處理
清除:清除被蠕蟲感染的文件,清除後文件恢複正常。
相當于如果人生病,清除是給這個人治病,删除是人生病後直接殺死。
删除:删除病毒文件
。這類文件不是被感染的文件,本身就含毒,無法清除,可以删除。
禁止訪問:禁止訪問病毒文件。
在發現病毒後用戶如選擇不處理則殺毒軟件可能将病毒禁止訪問。用戶打開時會彈出錯誤對話框,内容是“該文件不是有效的Win32文件”。
隔離:病毒删除後轉移到隔離區。
用戶可以從隔離區找回删除的文件。隔離區的文件不能運行。
不處理:不處理該病毒。
如果用戶暫時不知道是不是病毒可以暫時先不處理。
大部分殺毒軟件是滞後于計算機病毒的(像微點之類的第三代殺毒軟件可以查殺未知病毒,但仍需升級)。所以,除了及時更新升級軟件版本和定期掃描的同時,還要注意充實自己的計算機安全以及網絡安全知識,做到不随意打開陌生的文件或者不安全的網頁,不浏覽不健康的站點,注意更新自己的隐私密碼,配套使用安全助手與個人防火牆等等。這樣才能更好地維護好自己的電腦以及網絡安全!
雲安全技術
“雲安全(Cloud Security)”計劃是網絡時代信息安全的最新體現,它融合了并行處理、網格計算、未知病毒行為判斷等新興技術和概念,通過網狀的大量客戶端對網絡中軟件行為的異常監測,獲取互聯網中木馬、惡意程序的最新信息,推送到服務端進行自動分析和處理,再把病毒和木馬的解決方案分發到每一個客戶端。
未來殺毒軟件将無法有效地處理日益增多的惡意程序。來自互聯網的主要威脅正在由電腦病毒轉向惡意程序及木馬,在這樣的情況下,采用的特征庫判别法顯然已經過時。雲安全技術應用後,識别和查殺病毒不再僅僅依靠本地硬盤中的病毒庫,而是依靠龐大的網絡服務,實時進行采集、分析以及處理。整個互聯網就是一個巨大的“殺毒軟件”,參與者越多,每個參與者就越安全,整個互聯網就會更安全。
雲安全的概念提出後,曾引起了廣泛的争議,許多人認為它是僞命題。但事實勝于雄辯,雲安全的發展像一陣風,360殺毒、360安全衛士、瑞星殺毒軟件、趨勢、卡巴斯基、MCAFEE、SYMANTEC、江民科技、PANDA、金山毒霸、卡卡上網安全助手等都推出了雲安全解決方案。
雲安全技術是P2P技術、網格技術、雲計算技術等分布式計算技術混合發展、自然演化的結果。
值得一提的是,雲安全的核心思想,與劉鵬早在2003年就提出的反垃圾郵件網格非常接近。劉鵬當時認為,垃圾郵件泛濫而無法用技術手段很好地自動過濾,是因為所依賴的人工智能方法不是成熟技術。垃圾郵件的最大的特征是:它會将相同的内容發送給數以百萬計的接收者。為此,可以建立一個分布式統計和學習平台,以大規模用戶的協同計算來過濾垃圾郵件:首先,用戶安裝客戶端,為收到的每一封郵件計算出一個唯一的“指紋”,通過比對“指紋”可以統計相似郵件的副本數,當副本數達到一定數量,就可以判定郵件是垃圾郵件;其次,由于互聯網上多台計算機比一台計算機掌握的信息更多,因而可以采用分布式貝葉斯學習算法,在成百上千的客戶端機器上實現協同學習過程,收集、分析并共享最新的信息。
反垃圾郵件網格體現了真正的網格思想,每個加入系統的用戶既是服務的對象,也是完成分布式統計功能的一個信息節點,随着系統規模的不斷擴大,系統過濾垃圾郵件的準确性也會随之提高。用大規模統計方法來過濾垃圾郵件的做法比用人工智能的方法更成熟,不容易出現誤判假陽性的情況,實用性很強。反垃圾郵件網格就是利用分布互聯網裡的千百萬台主機的協同工作,來構建一道攔截垃圾郵件的“天網”。反垃圾郵件網格思想提出後,被IEEE Cluster2003國際會議選為傑出網格項目在香港作了現場演示,在2004年網格計算國際研讨會上作了專題報告和現場演示,引起較為廣泛的關注,受到了中國最大郵件服務提供商網易公司創辦人丁磊等的重視。既然垃圾郵件可以如此處理,病毒、木馬等亦然,這與雲安全的思想就相去不遠了。
國産軟件
目前國内反病毒軟件,有三大巨頭:360殺毒、金山毒霸、瑞星殺毒軟件。反響都不錯。但是都有優缺點(均已實施雲安全方案),評價與介紹如下:
360殺毒
360殺毒是永久免費,性能超強的殺毒軟件。中國市場占有率第一。360殺毒采用領先的四引擎:國際領先的常規反病毒引擎—國際性價比排名第一的BitDefender引擎+修複引擎+360雲引擎+360QVM人工智能引擎,強力殺毒,全面保護您的電腦安全擁有完善的病毒防護體系,且唯一真正做到徹底免費、無需任何激活碼。360殺毒輕巧快速、查殺能力超強、獨有可信程序數據庫,防止誤殺,誤殺率遠遠低于其它殺軟,依托360安全中心的可信程序數據庫,實時校驗,為您的電腦提供全面保護。最新版本特有全面防禦U盤病毒功能,徹底剿滅各種借助U盤傳播的病毒,第一時間阻止病毒從U盤運行,切斷病毒傳播鍊。現可查殺660多萬種病毒。在最新VB100測試中,雙核360殺毒大幅領先名列國産殺軟第一。
360殺毒采用領先的病毒查殺引擎及雲安全技術,不但能查殺數百萬種已知病毒,還能有效防禦最新病毒的入侵。360殺毒病毒庫每小時升級,讓您及時擁有最新的病毒清除能力。360殺毒有優化的系統設計,對系統運行速度的影響極小,獨有的“遊戲模式”還會在您玩遊戲時自動采用免打擾方式運行,讓您擁有更流暢的遊戲樂趣。360殺毒和360安全衛士配合使用,是安全上網的“黃金組合”。
金山毒霸
金山公司推出的電腦安全産品,監控、殺毒全面、可靠,占用系統資源較少。其軟件的組合版功能強大(金山毒霸2011、金山網盾、金山衛士),集殺毒、監控、防木馬、防漏洞為一體,是一款具有市場競争力的殺毒軟件。金山毒霸2011是世界首款應用”可信雲查殺”的殺毒軟件,颠複了金山毒霸20年傳統技術,全面超于主動防禦及初級雲安全等傳統方法,采用本地正常文件白名單快速匹配技術,配合金山可信雲端體系,實現了安全性、檢出率與速度。
金山毒霸2011極速輕巧,安裝包不到20MB,内存占用隻有19MB。配合中國互聯網最大雲安全體系。
金山毒霸2011技術亮點
1.可信雲查殺:增強互聯網可信認證,海量樣本自動分析鑒定,極速快速匹配查詢。
2.藍芯II引擎:微特征識别(啟發式查殺2.0),将新病毒扼殺于搖籃中,針對類型病毒具有不同的算法,減少資源占用,多模式快速掃描匹配技術,超快樣本匹配
3.白名單優先技術:準确标記用戶電腦所有安全文件,無需逐一比對病毒庫,大大提高效率,雙庫雙引擎,首家在殺毒軟件中内置安全文件庫,與可信雲安全緊密結合,安全少誤殺;
4.個性功能體驗:下載保護、聊天軟件保護、U盤病毒免疫防禦、文件粉碎機、自定義安全區,提升性能、可定制的免打擾模式、自動調節資源占用、針對筆記本電源優化使續航更久;
5.自我保護:多于40個自保護點,免疫病毒使殺軟失效方法
6.全面安全功能,下載(支持迅雷、QQ旋風、快車)、聊天(支持MSN)、U盤安全保護,免打擾模式,自動調節資源占用。
瑞星殺毒
其監控能力是十分強大的,但同時占用系統資源較大。瑞星采用第八代殺毒引擎,能夠快速、徹底查殺大小各種病毒,這個絕對是全國頂尖的。但是瑞星的網絡監控不行,最好再加上瑞星防火牆彌補缺陷。另外,瑞星2009的網頁監控更是疏而不漏,這是雲安全的結果。
擁有後台查殺(在不影響用戶工作的情況下進行病毒的處理)、斷點續殺(智能記錄上次查殺完成文件,針對未查殺的文件進行查殺)、異步殺毒處理(在用戶選擇病毒處理的過程中,不中斷查殺進度,提高查殺效率)、空閑時段查殺(利用用戶系統空閑時間進行病毒掃描)、嵌入式查殺(可以保護MSN等即時通訊軟件,并在MSN傳輸文件時進行傳輸文件的掃描)、開機查殺(在系統啟動初期進行文件掃描,以處理随系統啟動的病毒)等功能;并有木馬入侵攔截和木馬行為防禦,基于病毒行為的防護,可以阻止未知病毒的破壞。還可以對電腦進行體檢,幫助用戶發現安全隐患。并有工作模式的選擇,家庭模式為用戶自動處理安全問題,專業模式下用戶擁有對安全事件的處理權。缺點是卸載後注冊表殘留一些信息。
