前言
前几天正好在学习免杀,这两天工作上的需要,要做恶意代码分析,所以就简单的学了一下,入了个门,发现还是非常有趣的,这篇博客主要是对学习过程中一些概念知识点的总结和整理,也方便以后自己复习和回忆,之后还会深入探究,其实已经也了很多课程实验,由于内容是作为公司收费课程的,那部分就不放上来了,但是会持续更新,写一个系统全面的总结,也会掺杂自己的一些理解去解释,如果解释有误也欢迎大家在下方评论留言,共同学习成长!
预备知识
反病毒软件一般由扫描器、病毒库和虚拟机组成,并由主程序将它们整合为一体
- 扫描器用于查杀病毒,是反病毒软件的核心。描器的技术与算法是否先进对反病毒软件的效果有直接的影响。
- 病毒库存储着恶意软件的
特征码,病毒库的存储形式决定了扫描器的扫描方式。 - 虚拟机与现实的CPU、硬盘等物理设备完全隔离,更加深入的检测文件的安全性。
常见的基于文件扫描技术
基于文件扫描
- 第一代扫描技术
- 字符串扫描技术
- 通配符扫描技术
第二代扫描技术
智能扫描法
会忽略检测文件中nop等无意义的指令,文本格式病毒会替换掉多余的字符,这些操作都是在缓冲区中执行的,大大提高了扫描器的检测能力)
近似精确识别法
多套特征码:采用两个或者更多字符集检测病毒
检验和:安全的文件生成一个校验和,扫描进行简单的校验和匹配,如果有变化再进一步扫描,否则说明未感染,这种方法大大提高了扫描器的效率。还可以对病毒文件采取分块校验,提高准确性骨架扫描法
由卡巴斯基发明,检测宏病毒时效果特别好,无需特征码和校验和,逐行解析宏语句,丢弃非必要字符,剩下代码骨架,通过对代码骨架的分析,提高对病毒的检测能力。
精确识别扫描法
保证扫描器精确识别病毒变种的唯一办法,常与第一代扫描技术相结合。精准识别法也是利用校验技术,应用更广泛,更复杂。它可以对整个病毒进行校验和计算生成特征图。
算法扫描
- 第一代扫描技术
基于内存扫描
内存扫描反病毒技术是一种原理复杂的扫描技术,内存扫描器一般与实时监控扫描器协作
基于行为监控
基于行为监控的反病毒技术一般需要与虚拟机、主动防御等技术配合工作。其原理是主要针对病毒木马行为进行分析对比,如果某些程序在执行后会进行一些非常规的、可疑的操作,那么及时这不是一个新生病毒,也会被拥有这种技术的反病毒产品拦截。
