主动防御型杀毒软件的技术探讨

  特工步伐、游戏木马、黑客步伐等网络病毒的频频爆发，使国表里反病毒范畴开始意识到，单纯寄托“特性码技能”已经不能顺应反病毒需求。
  那么什么是“自动防御”，它的实现技能又是怎样的呢?自己在这里简略献丑一下，说得不对的地方接待扔鞋砸鸡蛋!
  所谓“自动防御”，便是全程监视历程的行为，一但发现“违规”行为，就关照用户，大约直接终止历程。它雷同于警察果断潜伏罪犯的技能，在成为一个罪犯之前，大多数的人都有一些非常行为，比如“性情孤僻，有暴力倾向，自私自利，对现实不满”等前兆，但是并不是说有这些前兆的人就都会发展为罪犯，大约罪犯都有这些前兆。因此“自动防御”并不能100%发现病毒，它的乐成率大约在60%-80%之间。要是再加上传统的“特性码技能”，几乎可以发现100%的恶意步伐了。在外洋，诺顿，Kaspersky，McAfee等等杀毒巨头，都已经向“自动防御”+“特性码技能”过渡了，这是杀毒软件的必然发展趋向。
  防火墙是一个运用“自动防御”技能的典范例子，大家都用过防火墙了，对于防火墙每每询问用户能否放行一个历程拜访网络，大约有不明毗连进入本机而收回警告能否印象深刻呢?实在防火墙便是在全程监视历程的网络行为，一但发现违背规矩的行为就收回警告，大约直接凭据用户设定拒绝历程拜访网络。固然，如今的防火墙一般都把体系网络历程(比如services.exe，svchost.exe，lsass.exe等)记在“受信名单”里，这些历程是默认容许拜访网络的，要是禁止的话，操作体系就不正常了，这也是如今很多病毒和木马都喜欢长途注入这些体系历程以打破防火墙而拜访网络的原因。
  上面重点说一下“自动防御”的实现技能。大家都写过步伐，知道在一个步伐里要是要实现本身的功能就必须要经过接口调用操作体系提供的功能函数，在DOS里几乎所有的体系功能或第三方插件都是经过停止提供的，在WINDOWS里一般是经过DLL里的API提供，也有少数经过INT
  2E或SYSENTER提供。一个历程有怎样样的行为，经过看它调用了什么样的API就大约明白了，比如它要读写文件就必然要调用CreateFile()，OpenFile()，NtOpenFile()，ZwOpenFile()等函数，要拜访网络就必然要使用Socket函数。因此只需挂接体系API(只管即便挂接RING0层的API，要是挂接RING3层的API将有可能被绕过)，就可以知道一个历程将有什么动作，要是有危害体系的动作该怎样样处置惩罚等等。例如瑞星杀毒，大家可以在它的安装目录里找到几个驱动文件，实在这些驱动便是挂接了ntoskrnl.exe，ndis.sys等体系要害模块里的API，从而对历程的平凡行为，网络行为，注册表行为举行监视的。
  最后让我们假想一下一个“自动防御”型杀毒软件的一般流程:经过挂接体系建立历程的API，杀毒软件就在一个历程建立前对历程的代码举行扫描，要是发现SGDT，SIDT，自定位指令(一般正常软件不会有这些指令)，就提示，要是用户放行，就让历程连续运转;接上去监视历程调用API的环境，要是发现以读写方法打开一个EXE文件，可能历程的线程想感染PE文件，就收回警告;要是收发数据违背了规矩，收回提示;要是历程调用了CreateRemoteThread()，则收回警告(由于CreateRemoteThread()是一个非常危险的API，正常历程很少用到，却是被病毒木马用得最多)。...。可以想象，将来我们运转步伐可能要被提示屡次，拜访网络也被提示屡次，种种各样的提示将大多数人搞的昏头转向。想宁静就要管严，抓紧就不宁静了!
 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

评论加载中... 内容： 评论者： 验证码：