另外,值得一提的是现在不少病毒已经支持对压缩文件的感染 。如Win32.crypto病毒就可以感染ZIP,ARJ,RAR,ACE,CAB等类型的压缩文件 。这些病毒的代码中,含有对特定压缩文件类型解压并压缩的代码段,可以先把压缩文件中的内容解压出来,然后对合适的文件进行感染,最后再将感染后文件压缩回去并同时修改压缩文件头部的校验和 。目前不少反病毒软件都支持扫描多种格式的压缩文件,但是对有些染毒的压缩文件无法杀除 。
目前,杀毒软件在对待加壳病毒的时候,表现比较差的是瑞星 。可能是瑞星的杀毒引擎对加壳的程序不灵敏,瑞星自己甚至加壳了很多病毒放到病毒库里 。
三、杀毒引擎的实现
杀毒引擎目前主流有以下一些实现方式:虚拟机技术,实时监控技术,智能码标识技术,行为拦截技术 。其中,后面两个为近年来出现的技术 。采用智能码标识技术的目的是提高杀毒速度并且预防未知病毒,但就现实而言,除了东方卫士不成功的试验外,其余厂商并未开发完全基于该技术的引擎,Norton的开发人员认为:“没有足够的技术手段来实现这种杀毒理念 。而行为拦截技术(或者别的什么智能杀毒技术)也是一种预防未知病毒的方法,与虚拟机技术相似,通过对程序行为的分析来判断其是否为病毒 。
对于未知病毒的判断,实际上代表着杀毒软件厂商在引擎研究方面的最高能力 。业界公认,防止未知病毒是“代表研究水平的” 。业界上,对于杀毒软件防止未知病毒能力是按照如下方法衡量的:以评测当日的杀毒软件最新版本为该厂商的供测试版本,未知病毒通常由以下途径得来:
⑴、病毒作者提供 。有些病毒作者在将自己的病毒发布前,也许为了炫耀技术,总爱送给一些业界的安全杂志供其评测(最佩服这种人) 。
⑵、专业研究实验室 。大部分业界安全杂志都有自己的研究实验室,他们的研究人员会根据最新的趋势和技术手段及工具,编写一些病毒 。一般情况下,这些病毒不会泄漏到网上 。
⑶、假病毒 。一些类似于病毒行为的文件,程序等 。测试的时候病毒库被置空(就是杀毒软件试图调用病毒库时采用程序方法向其返回一个空结果),在这种情况下进行测试 。如果有人有兴趣,可以到病毒论坛上搞点新手写的小病毒(一般也就100-200行),弄上几十个拿自己的杀毒软件试一试,就会发现在平均状态下,从Norton病毒库被置空时起,对未知病毒判断能力还是挺强的 。对于其他许多杀毒软件,就没有那么好远了,尤其在对付比较复杂的蠕虫病毒时,某些厂商的产品近乎全军覆没 。
杀毒引擎最主要的两种技术――虚拟机和实时监控进行介绍
1、虚拟机
虚拟机,在反病毒界也被称为通用解密器,已经成为反病毒软件中最重要的组成部分之一 。杀毒引擎中的虚拟机,和那些诸如VMWare的“虚拟机”是有区别的 。
其实,对于虚拟机,其设计思想是有渊源可寻的 。VMWare作为原操作系统下的一个应用程序,可以为运行于其上的目标操作系统创建出一部虚拟的机器,目标操作系统就象运行在单独一台真正机器上,丝毫察觉不到自己处于VMWare的控制之下 。当在VMWare中按下电源键(Power On)时,窗口里出现了机器自检画面,接着是操作系统的载入,一切都和一台真正的计算机一样 。至于Win XP,则是采用区域内存访问,来实现对16位程序的支持 。VM是一个完全由软件虚构出来的东西,以和真实电脑完全相同的方式来对应用程序所提出的需求进行响应 。从某种角度来看,你可以将一部标准的PC的结构视为一套 API 。这套API的元素包括硬件I/O系统,和以中断为基础的BIOS和MS-DOS 。Win 9X常常以它自己的软件,来代理这些传统的API元素,以便能够对珍贵的硬件多重发讯 。在VM上运行的应用程序认为自己独占整个机器,它们相信自己是从真正的键盘和鼠标获得输入,并从真正的屏幕上输出 。稍被加一点限制,它们甚至可以认为自己完全拥有CPU和全部内存 。
推荐阅读
- 千窟城被毁主力是谁
- 经典说说句子每一句都值得珍藏
- 碧蓝航线格罗斯特建造时间 碧蓝航线格罗斯特属性技能一览
- win10更新失败屏幕不亮进不了系统解决方法
- 豆腐和金针菇可以一起吃吗
- JavaScript对搜索引擎优化的影响和解决方案
- 碧蓝航线黛朵建造时间 SSR皇家轻巡黛朵属性技能一览
- 问道手游八仙曹国舅怎么过
- 碧蓝航线朴是谁 碧蓝航线重樱驱逐浦波原型介绍