科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道病毒识别技术浅析

病毒识别技术浅析

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

病毒的识别是介于两种要素的平衡:避免漏报(没有检测出存在的病毒感染)和误报(错误地报告不存在的病毒感染)。

来源:ESET 2008年8月14日

关键字: 高启发 启发式 ESET 病毒

  • 评论
  • 分享微博
  • 分享邮件

病毒的识别是介于两种要素的平衡:避免漏报(没有检测出存在的病毒感染)和误报(错误地报告不存在的病毒感染)。2006年初的几个月中,数款主流杀毒软件都出现了一系列的误报现象,这说明扫描技术的优化和进步并没有消除误报的风险。 

使用启发式是不太可能消除误报的,启发式的定义说明了其在一定程度上需要进行错误的尝试。前 面谈到,启发式编程的目的在于,能够达到 ―足够好∥的检测结果,而并非完美的结果。那么,问题出在哪里呢? 检测已知病毒最安全的手段,是扫描文件的每一个字节,并与病毒体中共同 存在的校验码进行比对,从而确定是否遭受感染。这一过程常被称作―精确 识别∥。 

识别率是一种衡量标准,用来考验杀毒软件检测并认定病毒样本为某个病毒 或其变种的能力。因此,精确识别首先是精确度,病毒代码的每一个恒定字节都要考虑到。尽管人们都希望这种精确度能够应用到针对每个病毒的扫描当中,在现实世界中却 很少这样做,因为这意味着对扫描时间和系统资源带来潜在的负面影响,而且通常来说,这种精确 程度也是不必要的。 

―半精确识别∥这一术语,特指识别方法在应用过程中,只能保证不会因为使用了不当的清除方法, 造成目标文件的损坏[2]。检测和清除带来的问题不尽相同。一些杀毒软件厂商长期以来,提倡替换程序被感染的二进制字节,而不是清除染毒部分,主张将精力更多的集中在检测上。对于有些情况, 比如内核后门和 stealthkits就是很好的例子,将木马程序替换为合法程序就意味着安全软件只能删 除文件,而不能清除文件。这时候,通常管理员或者用户就必须还原合法程序,因为自动还原是不 现实的,甚至也是不安全的。 

近年来,恶意软件的发展已经从单一感染文件,演变成对用户操作系统的控制(比如修改注册表)。 这使得恶意软件一旦得逞,彻底清除起来要困难的多。清除不干净(或不正确)的话,可能会使操 作系统受损,甚至无法使用,有时不得不采取极端的做法,比如重新安装操作系统或应用软件,并 恢复数据备份。 

然而,当恶意软件可以采用启发式或广谱特征法主动检测到时(即有机会感染 目标系统以前),这个问题不会大量涌现,除非恶意目标(病毒或木马病毒) 需要用非感染的形式保留(比如说,目标文件含有用数据)。 

―广谱检测∥是指通过扫描,寻找一系列已知变种的方法,使用的是可以检测 到所有变种的搜索字符串。找到相同的字符串就可以检测出已知变种,如果需 要按照分值机制来认定的话就是启发式检测。否则就是一种特殊的特征码检 测。一些检测系统使用的是综合的方法,在广谱检测的基础上添加了分值认定 系统,以确定病毒变种或族群的类属关系,并按照不同近似等级排比。例如,近似度达到一定程度 时,扫描会报告―某个的变种∥,如果低于这个程度,就会报告―可能是某个的变种∥。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章