|
|
第一章 扫描技术
一、基于文件扫描的反病毒技术
第一代扫描技术:
- 字符串;
- 通配符 //*,%3(扫描接下来3位尝试后面的)、“??”(忽略) 常支持版字节匹配;
- 不匹配字节扫描 //允许字符串中N个字节为任意值;
- 通用检测法扫描技术//简单字符串扫描已知病毒或变种;
- 散列扫描//首/16/32字节计算-》后面字节允许通配符;
- 书签检测;
- 首尾检测 //仅扫描文件头与尾;
- 入口点与固定点扫描;
- 文件名扫描 文件名、文件名所在路径;
第二代扫描技术:
- 近似精确识别;
- 精确识别:a.多套特征码 b.校验和(md5 hash等);
- 智能扫描:忽略“NOP”、制表符、空格、回车等;
- 骨架扫描:常用于宏病毒(逐行解析语句,将非必须字符丢弃,剩骨架)
代表作:《计算机病毒与防范艺术》 Peter Szor著
二、基于内存监控
预加载-》进内存区-》初始化环境执行(暴露行为) 针对免杀:A.文件扫描免杀 B.内存扫描免杀
三、基于行为监控:指非正规、可疑操作代表性木马行为:A 释放文件到系统关键目录 B 修改系统设置使新释放的文件能自启动 C 删除自身
四、基于新兴技术
云查杀:“可信继承,群策能力”。 双引擎多引擎查杀 -》拆分VIROUS来免杀
|
|
发表于 2019-10-21 21:01:51
