面对木马病毒的肆虐我们应该如何应对

  • 时间:
  • 浏览:0
  • 来源:极速1分6合下注平台_极速1分6合注册平台_极速1分6合官网平台





作者: eNet硅谷动力

CNETNews.com.cn

1008-09-01 18:09:27

关键词: 虚拟机 防病毒 木马病毒

  随着游戏产业,网上购物,证券交易等网上交易活动的不能广泛,太满的病毒作者加入到了木马的制作行列中,企图通过盗取游戏帐号,银行帐号,网银密码等信息获得实际收入。时候利益的驱使,各种灰色职业也在网络上应运而生,比如售卖木马进程,抓肉鸡,售卖各种黑客技术入门教程等五花八门。木马的病毒也由高深的黑客技术,普及到只会基本的电脑操作知识即可定制某些人的木马。从某安全软件公司宣告的数据来看,去年一年捕获的病毒,木马数量超过了100万。比如去年到今天相继爆发的威金,熊猫烧香,灰鸽子,机器狗,磁碟机等木马,每一次大的病毒爆发,前会 有数十万至百万电脑受到感染。

  网络上爆发的病毒数量我觉得巨大,假使 其中绝大次责是由时候单一的病毒或木马经过病毒制造者的各种加壳、加花、组装等手段后成为“变种”再次老出 的。假使 变种的传播性、破坏性都更加强大。下面就来针对各种技术做一下简单介绍。

  加壳,是通过一系列数学运算,将可执行进程文件或DLL文件的代码进行改变、压缩、加密驱动等,达到缩小文件体积或加密进程代码的目的。(常见加壳工具有北斗、aspcak、 upx)。

  加花,可是对进程进行汇编指令的改动或上加,让汇编语录进行某些跳转。通过这个种生活土办法,让杀软不能正常的判断病毒文件的构造、执行土办法,祈求不能躲避查杀。

  更改特征码,通过某些黑客工具,不能定位到杀毒软件对某个病毒查杀的土办法-----特征码。从而对被定位的进程段进行改编,达到躲避查杀的目的。

  传统的杀毒软件在面对哪些经过改编的木马时,它们都要再次抓取哪些样本,假使 再提取特征码,加入到病毒库,用户在更新病毒库时候即可查杀了。目前的间题在于木马爆发的数量巨大,采用传统的这个土办法一是不不能力一一进行分析,二是都要等到有用户感染了病毒,厂商获取了样本不不能查杀,周期比较长。三是软件的病毒库数量不能庞大,对系统资源的占用可是能大。不能哪些好的土办法不能除理以上间题呢?

  答案可是启发式技术,它不能智能的根据进程的行为来判断是不是病毒,并进行查杀。目前业内启发式技术应用最成功的当属ESET NOD32,其启发式引擎融合了基因码技术、虚拟机技术、代码分析三大技术,构建起立体的防护架构。无论在扫描速率单位还是查杀能力上都独占鳌头。

  所谓基因码,可是指同一病毒族群中的不同变种,多半中有 相同的病毒特征。不少病毒最初是以单一品种老出 ,后经由其它病毒作者修改或自行演化,最后变成数十种以上的病毒变种。若以传统特征检测土办法除理,病毒数据库便要为每有有一种病毒变种制作一份独立的特征数据;而较新的基因码检测技术,则会从各变种中找出一并之处,包括某些非连续的进程代码,以此找出同一类型病毒的普遍特征。

  针对变形病毒、未知病毒等复杂的病毒状况,极少数防病毒软件采用了虚拟机技术,达到了对未知病毒良好的查杀效果。它实际上是有有一种可控的,由软件模拟出来的进程虚拟运行环境。在这个环境中虚拟执行的进程。我觉得病毒通过各种土办法来躲避防病毒软件,假使 当它运行在虚拟机中时,它并谁能谁能告诉我某些人的一切行为全是被虚拟机所监控,所以当它在虚拟机中脱去伪装入去 行传染时,就会被虚拟机所发现,不能一来,利用虚拟机技术就不能发现大次责的变形病毒和几滴 的未知病毒。

  代码分析扫描是通过分析指令老出 的顺序,或特定组合状况等常见病毒的标准特征来决定文件是不是感染未知病毒。时候病毒要达到感染和破坏的目的,通常的行为前会 有一定的特征,例如于读写敏感文件,自我删除、自我好友克隆,获取操作系统底层权限等等。所以不能根据扫描特定的行为或多种行为的组合来判断俩个进程是不是病毒。

  在国际权威机构AV-Comparatives的主动式防护测试(最主可是针对未知病毒及防护能力的测试)中,ESET NOD32的ThreatSense.Net 杀毒引擎均能成功拦截超过 9 成以上的零日攻击蠕虫与病毒 (Zero-day worms and virus),表现卓越。引用一位ESET NOD32粉丝语录:“做免杀难,做过ESET NOD32的免杀更难,做过ESET NOD32的免杀DLL文件是难上加难!”。可见不管是病毒、木马还是其它恶意变种,要想躲过ESET NOD32 防病毒引擎的三道关卡不能俩个字形容——难!