热门问题
时间线
聊天
视角
殺毒軟件
来自维基百科,自由的百科全书
Remove ads
殺毒軟件(英語:antivirus software)是一種用於預防、偵測及移除惡意軟件的程式。[1]防毒軟體通常提供即時監控和手動掃描功能,且能自動更新病毒資料庫。有些防毒軟體則附加檔案修復、防火牆、VPN等額外功能。
 |
原理
防毒軟體一般實時監控電腦程式的舉動,及掃瞄系統是否含有惡意程式。[2]部分防毒軟體可經由作業系統開機後隨常駐程式啟動。
它們的即時監控技術不盡相同。防毒軟體通常會將檔案特徵碼作比較,以判斷是否為惡意程式。[2][3]有的防毒軟體會利用一些空間,模擬作業系統和執行受測程序,根據程序的動作判斷是否惡意軟件。
手動掃描硬碟的方式,則和上面提到的即時監控的第一種方式一樣,只是在這裡,防毒軟體會根據使用者選擇的掃描類別作檢查。
另外,防毒軟體更涉及更多技術:
- 掃描壓縮檔技術:對壓縮檔案和封裝文件作分析檢查。
- 程序竄改防護:防止惡意程式竄改或刪除防毒軟件。[4]
- 修復技術:還原被惡意程式損壞的檔案。[5]
- 急救盤殺毒:利用空白U盤製作急救啟動盤,以檢測電腦病毒。[6]
- 智能掃描:僅掃描最常用的磁盤、系統關鍵位置,耗時較短。[7]
- 全盤掃描:掃描電腦全部磁盤,耗時較長。[7]
- 勒索軟件防護:保護電腦中的文件不被勒索軟件惡意加密。[8]
- 開機掃描:在電腦開機時掃描,用於對抗難以移除的惡意程式,如Rootkit。[7]
殺毒軟件充當了信息分析系統,它監控着所有數據流動,在發現系統受惡意軟件感染後,就會採取行動,將其清除。殺毒軟件監控的位置包括:
Remove ads
基本功能
- 防範:預防病毒侵入計算機。
- 查找:在內存、文件、引導區(含主導區)、網絡等環境查找惡意軟件,並準確地報出惡意軟件名稱。
- 清除:根據不同類型惡意軟件,清除或修復受感染區域,包括:內存、引導區(含主引導區)、可執行文件、文檔文件、網絡等。
病毒掃描引擎
- 機制:防毒軟件會對比檔案內容與病毒特徵庫(即資料庫),如果匹配到任何病毒特徵碼,則判斷該文件為惡意軟件。掃描過程中,防毒軟件會從檔案內挑選部分代碼作為病毒特徵碼[3],這些特徵碼通常從病毒樣本中提取,並具備較高獨特性,不易與一般程式碼混淆,長度需適中,既要確保其唯一性,又要避免在掃描過程中產生過大的空間與時間開銷。[12]
- 特徵碼類別:
- 1.文件特徵碼:針對病毒在文件中的存在形式,分為單一檔案特徵碼與利用多個特徵碼進行判斷的複合檔案特徵碼。
- 2.內存特徵碼:對應病毒在主記憶體的存在形式,同樣分為單一和複合兩種情形。
- 優點:分析速度快、準確率高、誤判相對較少;較少需要用戶參與[13]
- 缺點:面對不斷出現的新病毒,必須不斷更新病毒庫,否則便會逐漸失去用途;無法檢測到未知的新病毒[3]
- 啟發式分析是用於捕捉惡意軟件變種的規則,其透過通用特徵辨識惡意軟件家族。
- 機制:按照預先建立的規則阻止或提醒用戶程式的惡意行為。[14]
- 優點:不依賴特徵碼,可偵測未知病毒。
- 缺點:較易出現誤判、不能準確分類病毒、可能需要用戶參與判斷。
- 機制:將可疑檔案放在本地或雲端沙盒中運行一段時間,以觀察其行為並判斷是否存在惡意行為。
- 優點:不依賴特徵碼,可偵測未知病毒;較行為監測更主動。
- 缺點:惡意軟件可透過延遲啟動、偵測沙盒技術逃避分析;病毒可逃逸本地沙盒,對系統造成傷害;分析耗時較長
- 機器學習可以應用於靜態二進制分析及動態行為分析,實現內容與行為相結合的檢測模式。隨着深度學習迅速發展,各大防毒軟件廠商也開始使用深度學習技術來提升病毒辨識的準確度與效率。[15]
EICAR防毒測試檔案
EICAR防毒測試檔案是歐洲反電腦病毒協會(EICAR)和電腦安全公司共同推出的測試檔案,用於測試病毒掃描引擎。檔案不會危害電腦安全,而其特徵碼已被各家防毒軟件收錄。
防毒軟體評比
參見
參考文獻
外部連結
Wikiwand - on
Seamless Wikipedia browsing. On steroids.
Remove ads