防病毒軟件如何工作:四種病毒偵測(cè)技術(shù)
防病毒工具是大多數(shù)防惡意軟件套裝的必備組件之一。它必須能夠辨識(shí)已知的和未見過的惡意文件,并且在造成破壞前阻止它們。盡管這些工具在實(shí)現(xiàn)惡意軟件偵測(cè)機(jī)制方面有所不同,但它們趨向于融合同樣的病毒偵測(cè)技術(shù)。熟悉這些技術(shù)有助于你理解防病毒軟件是如何工作的。
基于簽名的偵測(cè)技術(shù):使用已檢查過文件的關(guān)鍵特征來創(chuàng)建已知惡意軟件的靜態(tài)指紋。該簽名可能以文件的一系列字節(jié)來表示。它也可能是整個(gè)文件或部分文件加密后的哈希值。這個(gè)偵測(cè)惡意軟件的方法,是防病毒軟件工具誕生以來必要的方面之一。作為許多工具的一部分該技術(shù)保留至今,盡管它的重要性在逐漸減弱。基于簽名的偵測(cè)技術(shù)的主要局限在于,從它自身來說,這個(gè)方法無法標(biāo)記那些還沒有開發(fā)簽名的惡意文件。考慮到這點(diǎn),現(xiàn)今的攻擊者們經(jīng)常通過改變文件的簽名來對(duì)病毒進(jìn)行變異并保留惡意的功能。
基于啟發(fā)式的偵測(cè)技術(shù):該技術(shù)目的在于通過靜態(tài)地檢查文件的可疑特征,來一般性地偵測(cè)新的惡意軟件而無需精確的簽名匹配。例如,某個(gè)防病毒工具可能在被檢查的文件中尋找罕見的指令或花指令(junk code)。該工具還可能模擬運(yùn)行該文件,以便確認(rèn)如果執(zhí)行該文件,它會(huì)在不明顯拖慢系統(tǒng)的情況下嘗試做些什么。單獨(dú)的可疑屬性可能還不足以把這個(gè)文件標(biāo)記為惡意的。然而好幾個(gè)這樣的特征可能會(huì)超出期望的風(fēng)險(xiǎn)閾值,導(dǎo)致該工具把該文件劃分為惡意軟件。啟發(fā)式方法最大的弊處在于它可能無意地把合法的文件標(biāo)記為惡意的。
行為偵測(cè)技術(shù):該技術(shù)觀察程序如何執(zhí)行,而不是僅僅模擬它的執(zhí)行。這個(gè)方法嘗試通過尋找可疑的行為如解壓惡意代碼、修改主機(jī)的文件或是進(jìn)行鍵盤記錄來辨識(shí)惡意軟件。值得注意的是,這樣的操作能夠讓防病毒工具在受保護(hù)系統(tǒng)上偵測(cè)到事先未見過的惡意軟件。對(duì)于啟發(fā)式技術(shù)來說,這些操作的每一個(gè)可能不足以劃分程序?yàn)閻阂廛浖欢阉鼈円黄鹂紤]的話可能意味著是一個(gè)惡意的程序。使用基于行為技術(shù)讓防病毒軟件更加接近于主機(jī)入侵預(yù)防系統(tǒng)(host intrusion prevention systems,HIPS)的類別,后者傳統(tǒng)上以單獨(dú)的產(chǎn)品類別存在。
基于云的偵測(cè)技術(shù):該技術(shù)通過從受保護(hù)的計(jì)算機(jī)上收集數(shù)據(jù)、同時(shí)在服務(wù)提供商的基礎(chǔ)設(shè)施上分析、而不是在本地進(jìn)行分析來辨識(shí)惡意軟件。這通常是通過捕捉文件的相關(guān)細(xì)節(jié)和在終端上文件執(zhí)行時(shí)的情境來實(shí)現(xiàn),并把這些信息提供給云引擎進(jìn)行處理。本地的防病毒代理只需進(jìn)行最小化的處理工作。此外,廠商的云引擎能夠通過關(guān)聯(lián)來自多個(gè)系統(tǒng)的數(shù)據(jù)獲取與惡意軟件特征和行為相關(guān)的模式。相比之下,其它防病毒軟件的組件大多數(shù)基于本地觀察到的屬性和行為進(jìn)行決策。基于云的引擎能讓使用防病毒軟件的單個(gè)用戶從社區(qū)的其他成員的經(jīng)驗(yàn)中獲益。
盡管根據(jù)上述各自的標(biāo)題列出了這些方法,但各種技術(shù)之間的差異往往是模糊不清的。例如,術(shù)語“基于啟發(fā)式”和“行為偵測(cè)”經(jīng)常被交互地使用。此外,當(dāng)工具融合基于云的能力時(shí),這些方法——包括簽名偵測(cè)技術(shù)——趨向于扮演活躍的角色。為了跟上不斷變化的惡意軟件樣本,防病毒軟件廠商們必須在他們的工具中融合多層防御,依賴于單個(gè)方法是不可行的。
【編輯推薦】
