激情五月天婷婷,亚洲愉拍一区二区三区,日韩视频一区,a√天堂中文官网8

<ul id="buwfs"><strike id="buwfs"><strong id="buwfs"></strong></strike></ul>
    <output id="buwfs"></output>
  • <dfn id="buwfs"><source id="buwfs"></source></dfn>
      <dfn id="buwfs"><td id="buwfs"></td></dfn>
      <div id="buwfs"><small id="buwfs"></small></div>
      <dfn id="buwfs"><source id="buwfs"></source></dfn>
      1. <dfn id="buwfs"><td id="buwfs"></td></dfn>
        始創(chuàng)于2000年 股票代碼:831685
        咨詢熱線:0371-60135900 注冊有禮 登錄
        • 掛牌上市企業(yè)
        • 60秒人工響應(yīng)
        • 99.99%連通率
        • 7*24h人工
        • 故障100倍補(bǔ)償
        全部產(chǎn)品
        您的位置: 網(wǎng)站首頁 > 幫助中心>文章內(nèi)容

        主動防御型殺毒軟件技術(shù)的深入探討

        發(fā)布時間:  2012/7/4 15:37:01

        以下的文章主要是闡述主動防御型殺毒軟件的技術(shù)探討,間諜程序、游戲木馬、以及黑客程序等網(wǎng)絡(luò)病毒的不斷爆發(fā),從而使國內(nèi)外反病毒領(lǐng)域意識到,單純依靠“特征碼技術(shù)”已經(jīng)不能適應(yīng)反病毒需求。

        間諜程序、游戲木馬、黑客程序等網(wǎng)絡(luò)病毒的頻頻爆發(fā),使國內(nèi)外反病毒領(lǐng)域開始意識到,單純依靠“特征碼技術(shù)”已經(jīng)不能適應(yīng)反病毒需求。

        那么什么是“主動防御”,它的實現(xiàn)技術(shù)又是怎樣的呢?本人在這里簡單獻(xiàn)丑一下,說得不對的地方歡迎扔鞋砸雞蛋!

        所謂“主動防御”,就是全程監(jiān)視進(jìn)程的行為,一但發(fā)現(xiàn)“違規(guī)”行為,就通知用戶,或者直接終止進(jìn)程。它類似于警察判斷潛在罪犯的技術(shù),在成為一個罪犯之前,大多數(shù)的人都有一些異常行為,比如“性格孤僻,有暴力傾向,自私自利,對現(xiàn)實不滿”等先兆,但是并不是說有這些先兆的人就都會發(fā)展為罪犯,或者罪犯都有這些先兆。

        因此“主動防御”并不能100%發(fā)現(xiàn)病毒,它的成功率大概在60%-80%之間。如果再加上傳統(tǒng)的“特征碼技術(shù)”,幾乎可以發(fā)現(xiàn)100%的惡意程序了。在國外,諾頓,Kaspersky,McAfee等等殺毒巨頭,都已經(jīng)向“主動防御”+“特征碼技術(shù)”過渡了,這是殺毒軟件的必然發(fā)展趨勢。

        防火墻是一個運(yùn)用“主動防御”技術(shù)的典型例子,大家都用過防火墻了,對于防火墻經(jīng)常詢問用戶是否放行一個進(jìn)程訪問網(wǎng)絡(luò),或者有不明連接進(jìn)入本機(jī)而發(fā)出警告是否印象深刻呢?其實防火墻就是在全程監(jiān)視進(jìn)程的網(wǎng)絡(luò)行為,一但發(fā)現(xiàn)違反規(guī)則的行為就發(fā)出警告,或者直接根據(jù)用戶設(shè)定拒絕進(jìn)程訪問網(wǎng)絡(luò)。

        當(dāng)然,現(xiàn)在的防火墻一般都把系統(tǒng)網(wǎng)絡(luò)進(jìn)程(比如services.exe,svchost.exe,lsass.exe等)記在“受信名單”里,這些進(jìn)程是默認(rèn)允許訪問網(wǎng)絡(luò)的,如果禁止的話,操作系統(tǒng)就不正常了,這也是現(xiàn)在很多病毒和木馬都喜歡遠(yuǎn)程注入這些系統(tǒng)進(jìn)程以突破防火墻而訪問網(wǎng)絡(luò)的原因。

        下面重點說一下“主動防御”的實現(xiàn)技術(shù)。大家都寫過程序,知道在一個程序里如果要實現(xiàn)自己的功能就必須要通過接口調(diào)用操作系統(tǒng)提供的功能函數(shù),在DOS里幾乎所有的系統(tǒng)功能或第三方插件都是通過中斷提供的,在WINDOWS里一般是通過DLL里的API提供,也有少數(shù)通過INT

        2E或SYSENTER提供。一個進(jìn)程有怎么樣的行為,通過看它調(diào)用了什么樣的API就大概清楚了,比如它要讀寫文件就必然要調(diào)用CreateFile(),OpenFile(),NtOpenFile(),ZwOpenFile()等函數(shù),要訪問網(wǎng)絡(luò)就必然要使用Socket函數(shù)。

        因此只要掛接系統(tǒng)API(盡量掛接RING0層的API,如果掛接RING3層的API將有可能被繞過),就可以知道一個進(jìn)程將有什么動作,如果有危害系統(tǒng)的動作該怎么樣處理等等。例如瑞星殺毒,大家可以在它的安裝目錄里找到幾個驅(qū)動文件,其實這些驅(qū)動就是掛接了ntoskrnl.exe,ndis.sys等系統(tǒng)關(guān)鍵模塊里的API,從而對進(jìn)程的普通行為,網(wǎng)絡(luò)行為,注冊表行為進(jìn)行監(jiān)視的。

        最后讓我們設(shè)想一下一個“主動防御”型殺毒軟件的一般流程:通過掛接系統(tǒng)建立進(jìn)程的API,殺毒軟件就在一個進(jìn)程建立前對進(jìn)程的代碼進(jìn)行掃描,如果發(fā)現(xiàn)SGDT,SIDT,自定位指令(一般正常軟件不會有這些指令),就提示,如果用戶放行,就讓進(jìn)程繼續(xù)運(yùn)行;接下來監(jiān)視進(jìn)程調(diào)用API的情況,如果發(fā)現(xiàn)以讀寫方式打開一個EXE文件。


        本文出自:億恩科技【mszdt.com】

        服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM]

      2. 您可能在找
      3. 億恩北京公司:
      4. 經(jīng)營性ICP/ISP證:京B2-20150015
      5. 億恩鄭州公司:
      6. 經(jīng)營性ICP/ISP/IDC證:豫B1.B2-20060070
      7. 億恩南昌公司:
      8. 經(jīng)營性ICP/ISP證:贛B2-20080012
      9. 服務(wù)器/云主機(jī) 24小時售后服務(wù)電話:0371-60135900
      10. 虛擬主機(jī)/智能建站 24小時售后服務(wù)電話:0371-60135900
      11. 專注服務(wù)器托管17年
        掃掃關(guān)注-微信公眾號
        0371-60135900
        Copyright© 1999-2019 ENKJ All Rights Reserved 億恩科技 版權(quán)所有  地址:鄭州市高新區(qū)翠竹街1號總部企業(yè)基地億恩大廈  法律顧問:河南亞太人律師事務(wù)所郝建鋒、杜慧月律師   京公網(wǎng)安備41019702002023號
          0
         
         
         
         

        0371-60135900
        7*24小時客服服務(wù)熱線