【摘要】:启发式扫描是手动分析病毒方法的延伸:通过识别可疑的程序指令实现病毒特性的检测,比如格式化磁盘类操作,搜索和定位各种可执行程序的操作,实现驻留内存的操作和发现非常规的、未公开的系统功能调用的操作,等等。早期的行为阻断技术的形式主要有:防病毒卡,在系统引导的时候取得系统部分资源控制权;一般意义的文件读写监控。现在的行为阻断技术主要是全方位的行为监控:通过所有可能的异常行为进行病毒判断,适合于Windows等系统。
3.4.7 有害程序防范技术
有害程序防范技术包括:
·恶意代码特征扫描;
·完整性检查;
·系统检测;
·启发式扫描;
·行为阻断。
1.恶意代码特征扫描
通过对已知恶意代码特征的精确定义,使用“签名字符串”在系统中搜索已知的恶意代码。恶意代码特征扫描器的运行必须依靠大量的已知恶意代码的特征库。如图3-23所示。
图3-23 恶意代码特征扫描
2.完整性检验
指以操作系统关键位置数据、程序及可执行文件等是否被更改作为依据来判断是否被有害程序感染的方法。
主要检验目标包括:
(1)操作系统关键位置数据校验主要指对操作系统硬盘主引导分区、磁盘分区表、设备驱动、系统内核文件等进行校验。
(2)程序或可执行文件校验主要指对EXE、COM、BAT等程序或可执行文件进行校验。
主要的检验方法是通过对关键位置、程序及可执行文件计算哈希值并进行比对或者逐字节比对完成,如图3-24所示。
图3-24 完整性检验
3.启发式扫描
启发式扫描是手动分析病毒方法的延伸:通过识别可疑的程序指令实现病毒特性的检测,比如格式化磁盘类操作,搜索和定位各种可执行程序的操作,实现驻留内存的操作和发现非常规的、未公开的系统功能调用的操作,等等。
4.行为阻断
早期的行为阻断技术的形式主要有:防病毒卡,在系统引导的时候取得系统部分资源控制权(通常就是文件的读写);一般意义的文件读写监控。
现在的行为阻断技术主要是全方位的行为监控:通过所有可能的异常行为(文件读写、文件读写、注册读写、进程访问、网络访问等)进行病毒判断,适合于Windows等系统。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
