病毒木马查杀的问与答
2015-03-31 13:12
225 查看
1 哪种类型病毒难以处理
感染性的病毒,因为这种病毒会破坏文件系统,而如果要恢复文件系统就需要对病毒进行逆向分析。如果是普通的病毒感染,不需要进行逆向分析,就可以编写出来专杀软件。2 对病毒进行分析的主要方法有哪些
对病毒查杀的主要思路是:(1)终止病毒进程 (2)删除自启动项目 (3)删除病毒文件 (4)修改注册表关联
(5)恢复感染文件
因此分析病毒的主要方法有两种
行为分析:在虚拟机上运行病毒文件,通过systeminternal提供的各类工具找到可疑行为,其中还可以通过系统比对工具完成上述工作。这种方式就是常见的手工杀毒方法。
逆向分析:如果病毒感染了可执行文件,它可以在正常文件的PE结构中嵌入可执行代码,因此无法通过进程监控的方法对病毒进行行为分析,所以此时需要借助于逆向分析工具了。
3 病毒查杀方法有哪些
基本原理:杀毒引擎+特征码匹配查杀方法 | 时间 | 首创 | 方法 | 优点 | 缺点 | 采用此技术公司 |
---|---|---|---|---|---|---|
特征码 | 1989—90年代中期 | Mcafee | 一串表明病毒自身特征的十六进制的字串,一般都选得很长,有时可达数十字节 | 简单快捷 | 对变形病毒容易产生错误判断 | 百度 腾讯 |
广谱特征 | 90年代中期—1998年 | 江民 | 广谱特征码是一类病毒程序中通用的特征字符串。比如,有10种病毒都使用了一段相同的破坏硬盘的程序,那么把这段程序代码提取出来作特征码,就能达到用一个特征码查10个病毒的功效。 | 早期使用 | 无法预判 容易错报 | 江民 |
启发式杀毒 | 1998—2007年 | 未知 | 重点在于特征值识别技术上的更新、解决单一特征码比对的缺陷。目的不在于检测所有的未知病毒,只是对特征值扫描技术的补充。 | 可部分预判未知病毒 | 有误判,误判率不高 | 现主流厂商 |
云查杀 | 2008—2010年 | 趋势科技 | 把原来放在客户端的分析计算能力转移到了服务器端,从而使得客户端变轻了,但要解决服务器计算能力问题 | 当前流行 | 无法进入压缩包检测 | 360 百度 腾讯 |
人工智能引擎 | 2010年—至今 | 360 | 先通过对病毒样本的分析和分类形成样本向量和向量机,然后建立一个机器学习的决策机模型,利用决策树和向量机对大量样本进行学习,从而识别恶意程序或非恶意程序。 | 当前 | 仍有误报 | 360 百度 |
病毒与杀软的那些事:杀毒引擎的26年发展史, http://goo.gl/b1V9Pi
揭秘杀毒软件20年潜规则:穷则思变,2009年10月, http://goo.gl/0L2UxU
病毒木马查杀第001篇:基本查杀理论与实验环境配置,2014年12月,http://goo.gl/0L2UxU
相关文章推荐
- EXERT.exe、LSASS.exe病毒木马查杀
- 杀毒软件的查杀病毒的原理以及木马、病毒的免杀伎俩(论杀或者不杀 )
- 手工杀毒-手工查杀病毒木马
- 手动查杀病毒和木马的通用方法
- 病毒木马查杀实战第021篇:Ring3层主动防御之编程实现
- 病毒木马 查杀三剑客
- 杀毒软件的查杀病毒的原理以及木马、病毒的免杀伎俩(论杀或者不杀 )
- 病毒木马查杀实战第022篇:txt病毒研究
- 病毒木马查杀实战第025篇:JS下载者脚本木马的分析与防御
- 病毒木马查杀实战第004篇:熊猫烧香之专杀工具的编写
- 病毒木马查杀实战第006篇:熊猫烧香之逆向分析(中)
- 病毒木马查杀实战第012篇:QQ盗号木马之逆向分析
- 病毒木马查杀实战第027篇:“白加黑”恶意程序研究(中)
- [病毒防治]图文详解“高级木马的自我保护技术与查杀之策”
- 病毒与木马的查杀
- 病毒木马查杀实战第001篇:基本查杀理论与实验环境配置
- 病毒木马查杀实战第007篇:熊猫烧香之逆向分析(下)
- 杀毒软件的查杀病毒的原理以及木马、病毒的免杀伎俩(论杀或者不杀 )
- 病毒木马查杀实战第023篇:MBR病毒之引导区的解析
- 病毒木马查杀实战第002篇:熊猫烧香之手动查杀