关于杀毒的胡乱看法(非专业)
鄙人非电脑专业出生。逛一些杀毒论坛,总是看到“入库”,“入库”……
个人觉得,“行为防御”就是监测程序行为,一旦遇到可疑动作,就予以拦截。特征码查杀也行呀,电脑中不管什么高级语言,归根结底,都会表示成机器可识别的“0、1”模式。
比如一个程序做了危险动作ABCD,不管动作先后,只要做了,”行为防御“就会拦截。特征码查杀也行,动作ABCD,只要搜索出一段代码内含有危险动作ABCD的”0、1“模式,不分先后,进行隔离或者查杀就行了。
我混一些杀毒论坛的感觉,好像是动作先后一乱,特征码查杀就歇菜了。
个人文化水平不高,可能有概念上错误,请见谅。 回复 1# liningaigo
先大赞一下楼主,因为你的思路确实是目前的一种杀毒方法,学术界一直在进行相关的研究,也有非常多的产品实际采用了这一技术。
但实际会遇到的困难比楼主想象的要复杂很多。
比如说:绝大部分动作是正常软件也有的,怎么分辨是病毒还是正常软件产生了这一动作?(分辨不准是这种技术造成误报的主要原因之一)
一种解决方法是,定义一个动作序列,这一系列动作的依次执行在正常软件中不常见,实际效果又是很危险的,就可以认为是病毒。为了降低误报,必须是完全匹配这一序列(不止是单个的动作,还包括动作的先后顺序),才能认为是。这也是楼主所说“动作先后一乱,就搞不定了”的原因。
这只是其中会碰到的一个问题,和一种解决思路。其他问题和应对措施有很多,具体的情况楼主可以搜索一下专门的文章。这种技术一般不叫“特征码查杀”,而是基于“API序列”的病毒检测。 还有关于“收集库”的看法。
目前“首发杀软",估计都带有”行为防御“,想绕过,必然会研究”行为防御“的严密性。或者安软以及其它装机必备软件的漏洞。(安软对自身的行为不拦截)
能不能这样,只要研究软件漏洞,或者探求未来”病毒木马恶意程序“的发展趋势,推测出可能的”攻击“,进行防范。
还有安天,能不能分两拨人,(最了解安天的就是安天自己人)一拨主攻,如何让”安天“查不出;还有一拨就是守啦。
请不要介意,就当歪侃吧。 反复的做免杀处理,怕被泄露利用,所以也只能积极获取新出现的病毒样本来处理,安天有一套国内领先的病毒样本捕获体系在24小时不间断的积极捕获,当然体系中也包括网友提供,这也是一个不可缺少的重要组成部分,这里要感谢广大网友对反病毒工作的贡献,尤其是提供给安天或其他兄弟厂商的病毒样本,感谢大家对反病毒事业的支持与期待。 支持安天,支持反病毒事业。
页:
[1]