热门问题
时间线
聊天
视角
杀毒软件
对抗恶意软体的软体 来自维基百科,自由的百科全书
Remove ads
杀毒软件(英语:antivirus software)是一种用于预防、侦测及移除恶意软件的程式。[1]防毒软体通常提供即时监控和手动扫描功能,且能自动更新病毒资料库。有些防毒软体则附加档案修复、防火墙、VPN等额外功能。
 |
原理
防毒软体一般实时监控电脑程式的举动,及扫瞄系统是否含有恶意程式。[2]部分防毒软体可经由作业系统开机后随常驻程式启动。
它们的即时监控技术不尽相同。防毒软体通常会将档案特征码作比较,以判断是否为恶意程式。[2][3]有的防毒软体会利用一些空间,模拟作业系统和执行受测程序,根据程序的动作判断是否恶意软件。
手动扫描硬碟的方式,则和上面提到的即时监控的第一种方式一样,只是在这里,防毒软体会根据使用者选择的扫描类别作检查。
另外,防毒软体更涉及更多技术:
- 扫描压缩档技术:对压缩档案和封装文件作分析检查。
- 程序窜改防护:防止恶意程式窜改或删除防毒软件。[4]
- 修复技术:还原被恶意程式损坏的档案。[5]
- 急救盘杀毒:利用空白U盘制作急救启动盘,以检测电脑病毒。[6]
- 智能扫描:仅扫描最常用的磁盘、系统关键位置,耗时较短。[7]
- 全盘扫描:扫描电脑全部磁盘,耗时较长。[7]
- 勒索软件防护:保护电脑中的文件不被勒索软件恶意加密。[8]
- 开机扫描:在电脑开机时扫描,用于对抗难以移除的恶意程式,如Rootkit。[7]
杀毒软件充当了信息分析系统,它监控着所有数据流动,在发现系统受恶意软件感染后,就会采取行动,将其清除。杀毒软件监控的位置包括:
Remove ads
基本功能
- 防范:预防病毒侵入计算机。
- 查找:在内存、文件、引导区(含主导区)、网络等环境查找恶意软件,并准确地报出恶意软件名称。
- 清除:根据不同类型恶意软件,清除或修复受感染区域,包括:内存、引导区(含主引导区)、可执行文件、文档文件、网络等。
病毒扫描引擎
- 机制:防毒软件会对比档案内容与病毒特征库(即资料库),如果匹配到任何病毒特征码,则判断该文件为恶意软件。扫描过程中,防毒软件会从档案内挑选部分代码作为病毒特征码[3],这些特征码通常从病毒样本中提取,并具备较高独特性,不易与一般程式码混淆,长度需适中,既要确保其唯一性,又要避免在扫描过程中产生过大的空间与时间开销。[12]
- 特征码类别:
- 1.文件特征码:针对病毒在文件中的存在形式,分为单一档案特征码与利用多个特征码进行判断的复合档案特征码。
- 2.内存特征码:对应病毒在主记忆体的存在形式,同样分为单一和复合两种情形。
- 优点:分析速度快、准确率高、误判相对较少;较少需要用户参与[13]
- 缺点:面对不断出现的新病毒,必须不断更新病毒库,否则便会逐渐失去用途;无法检测到未知的新病毒[3]
- 启发式分析是用于捕捉恶意软件变种的规则,其透过通用特征辨识恶意软件家族。[14]
- 机制:按照预先建立的规则阻止或提醒用户程式的恶意行为。[15]
- 优点:不依赖特征码,可侦测未知病毒。
- 缺点:较易出现误判、不能准确分类病毒、可能需要用户参与判断。
- 优点:不依赖特征码,可侦测未知病毒;较行为监测更主动。
- 缺点:恶意软件可透过延迟启动、侦测沙盒技术逃避分析;病毒可逃逸本地沙盒,对系统造成伤害;分析耗时较长
- 机器学习可以应用于静态二进制分析及动态行为分析,实现内容与行为相结合的检测模式。随着深度学习迅速发展,各大防毒软件厂商也开始使用深度学习技术来提升病毒辨识的准确度与效率。[16]
EICAR防毒测试档案
EICAR防毒测试档案是欧洲反电脑病毒协会(EICAR)和电脑安全公司共同推出的测试档案,用于测试病毒扫描引擎。档案不会危害电脑安全,而其特征码已被各家防毒软件收录。
防毒软体评比
参见
参考文献
外部链接
Wikiwand - on
Seamless Wikipedia browsing. On steroids.
Remove ads