2、“免杀”技术开始被采用
所谓“免杀”,是指通过特殊技术处理,修改病毒文件,使已知病毒逃过杀毒软件的查杀。
目前,杀毒软件大多采用特征码技术进行查毒,当发现被扫描的文件中包含有杀毒软件病毒库中的特征时就会报告相应的病毒名称。目前,许多黑客和病毒制造者通过查找病毒文件中被杀毒软件扫描的特征部分,加以修改,使其特征值与杀毒软件的病毒库不匹配,从而躲过杀毒软件的查杀。
以上两点是2006年上半年病毒、木马所广泛采用的技术手段。
“魔高一尺,道高一丈”,各个反病毒厂商也在针对病毒的新特点进行着不懈的努力。
1、增强杀毒软件引擎的“脱壳”能力
由于目前大多数病毒都会采用“加壳”的手段进行自我保护,因此需要杀毒软件具有“脱壳”能力。脱壳引擎通过一些算法将“加壳加密”的病毒还原成原始状态,再对其原始状态进行查毒。
瑞星一直在“脱壳”技术上进行着不懈努力,经过长时间的技术积累,目前瑞星杀毒软件新的杀毒引擎已经进入到公测阶段,该引擎同时具备硬脱壳和虚拟脱壳的能力,支持目前常见的所有流行的壳程序,并且能够对加了多层壳的病毒进行查杀。
2、Generic和“变种共性特征比对”技术将被大量采用
Generic技术是广谱查毒技术的一种,其主要是针对变种病毒的查杀。有时用杀毒软件扫描病毒时会报出以“gen”作为结尾的名称,如“Backdoor.Gpigeon.gen”,就是使用了这一技术。病毒分析工程师通过对大量病毒样本特征进行分析,提取出它们之间相同的特征值,从而对一个群族的病毒进行查杀。
“变种共性特征比对”技术是瑞星独家研发的一种新的广谱查毒技术,它与Generic技术存在相似之处,也是对大量病毒样本进行特征分析,提取相同的特征。但是“变种共性特征比对”具有更强的抗“免杀”能力和智能判断能力。往往,黑客用技术手段能够绕开Generic技术的查杀,却不能逃脱“变种共性特征比对”技术的检测。同时“变种共性特征比对”还可以报告出病毒变种与该病毒家族的相似程度,查毒结果更为精确。目前,“变种共性特征比对”技术已经全面应用于“瑞星听诊器 4.3版”及以上版本当中,对“灰鸽子(Backdoor.Gpigeon)”等木马的变种识别率能够达到九成以上。
3、“虚拟机技术”将在成为检测未知病毒的主要手段
无论病毒文件如何修改,其病毒的破坏行为都是不变的。“虚拟机技术”是指用软件模拟出一个虚拟机的计算机(包含虚拟的CPU、内存、硬盘等),让被检测的文件在虚拟机中执行,对病毒在虚拟机中的行为进行判断,一旦发现符合病毒的特征就给予告警。
目前,真正采用虚拟机技术进行病毒查杀的软件全世界只有为数不多的几家。瑞星早在几年前就已经开始对虚拟机技术的研究,并已将该技术运用到产品当中。而具有虚拟程度更高,更加智能化的虚拟机系统也在研发当中。
网友评论