概述
防毒軟體(Antivirus 或Antivirus software)使用於偵測、移除電腦病毒、電腦蠕蟲、和特洛伊木馬的軟體。防毒軟體通常集成監控識別、病毒掃描和清除和自動升級等功能,有的防毒軟體還帶有數據恢復等功能,是計算機防禦系統(包含防毒軟體,防火牆,特洛伊木馬和其他惡意軟體的查殺程式,入侵預防系統等)的重要組成部分。
防毒原理
防毒軟體的任務是實時監控和掃描磁碟。部分防毒軟體通過在系統添加驅動程式的方式,進駐系統,並且隨作業系統啟動。防毒軟體的實時監控方式因軟體而異。有的防毒軟體,是通過在記憶體里劃分一部分空間,將電腦里流過記憶體的數據與防毒軟體自身所帶的病毒庫(包含病毒定義)的特徵碼相比較,以判斷是否為病毒。另一些防毒軟體則在所劃分到的記憶體空間裡面,虛擬執行系統或用戶提交的程式,根據其行為或結果作出判斷。防毒軟體將會將磁碟上所有的(或者用戶自定義的掃描範圍內的檔案)做一次檢查。另外,防毒軟體的設計還涉及很多其他方面的技術。脫殼技術,即是對壓縮檔案和封裝好的檔案作分析檢查的技術。自身保護技術,避免病毒程式殺死自身進程。 修復技術,對被病毒損壞的檔案進行修復的技術。
病毒防禦
由於大量的防毒軟體的出現,以及防毒軟體病毒庫的不斷壯大,病毒被查殺的幾率也越來越大。所以有些病毒就開始通過加殼的方法來偽裝自己,企圖騙過防毒軟體,矇混過關。為了做好病毒防禦,我們就該了解什麼是加殼?加殼的對立面是不是脫殼?如何脫殼等?
什麼是殼
計算機軟體里有一段專門負責保護軟體不被非法修改或反編譯的程式。它們一般都是先於程式運行,拿到控制權,然後完成它們保護軟體的任務,大家就把這樣的程式稱為“殼”了。從功能上抽象的講,軟體的殼和自然界中的殼相差無幾。無非是保護、隱蔽殼內的東西。而從技術的角度出發,殼是一段執行於原始程式前的代碼。原始程式的代碼在加殼的過程中可能被壓縮、加密……。當加殼後的檔案執行時,殼-這段代碼先於原始程式運行,他把壓縮、加密後的代碼還原成原始程式代碼,然後再把執行權交還給原始代碼。軟體的殼分為加密殼、壓縮殼、偽裝殼、多層殼等類,目的都是為了隱藏程式真正的OEP(入口點,防止被破解)。
作者編好軟體後,編譯成exe執行檔。有一些版權資訊需要保護起來,不想讓別人隨便改動,如作者的姓名,即為了保護軟體不被破解,通常都是採用加殼來進行保護。加殼就需要把程式搞的小一點,從而方便使用。於是,需要用到一些軟體,它們能將exe執行檔壓縮。而在黑客界中“殼”則被用在保護病毒,給木馬等軟體加殼脫殼以躲避防毒軟體,給網民帶來很多的麻煩。
病毒加殼
在好萊塢間諜電影裡,那些特工們往往以神奇莫測的化妝來欺騙別人,甚至變換成另一個身份,國內對於這種偽裝行為有個通俗的說法——“穿馬甲”。而這種正與邪的爭鬥已經延伸到了病毒領域,很多病毒作者通過給病毒“穿馬甲”、甚至穿多個“馬甲”的方式,躲避防毒軟體的查殺,這種技術就是“加殼”。 病毒作者可以通過給老病毒加殼,大批量製造出防毒軟體無法識別的新病毒。所謂加殼,是一種通過一系列數學運算,將可執行程式檔案或動態程式庫檔案的編碼進行改變(還有一些加殼軟體可以壓縮、加密驅動程式),以達到縮小檔案體積或加密程式編碼的目的。當被加殼的程式運行時,外殼程式先被執行,然後由這個外殼程式負責將用戶原有的程式在記憶體中解壓縮,並把控制權交還給脫殼後的真正程式。一切操作自動完成,用戶不知道也無需知道殼程式是如何運行的。一般情況下,加殼程式和未加殼程式的運行結果是一樣的。
既然加殼後的病毒不易被發現,那么如何判斷一個執行檔是否被加了殼呢?
有一個簡單的方法(對中文軟體效果較明顯)。用記事本打開一個執行檔,如果能看到軟體的提示信息則一般是未加殼的,如果完全是亂碼,則多半是被加殼的。我們還可以使用一款叫做Fileinfo的工具來查看檔案具體加的是什麼殼。較常見到的殼有“UPX”、“ASPack”、“PePack”、“PECompact”、“UPack”、“NsPack”、“免疫007”、“木馬彩衣”等等。
病毒加殼的原理很簡單,黑客營中提供的多數病毒中,很多都是經過處理的,而這些處理就是所謂的加殼。我們知道當一個普通的EXE程式生成好後,很輕鬆的就可以利用諸如資源工具和反彙編工具對它進行修改,但如果程式設計師給EXE程式加一個殼的話,那么至少這個加了殼的EXE程式就不是那么好修改了,如果想修改就必須先脫殼。病毒加殼後也是同樣的道理,我們也必須先為病毒脫殼。
脫殼方法
有很多加殼工具,既然有矛,自然就有盾,只要我們收集全常用脫殼工具,那就不怕病毒加殼了。脫殼主要是通過工具來脫殼。
常用脫殼工具有
1.檔案分析工具(偵測殼的類型):Fi,GetTyp,peid,pe-scan,
2.OEP入口查找工具:SoftICE,TRW,ollydbg,loader,peid
3.dump工具:IceDump,TRW,PEditor,ProcDump32,LordPE
4.PE檔案編輯工具PEditor,ProcDump32,LordPE
5.重建Import Table工具:ImportREC,ReVirgin
6.ASProtect脫殼專用工具:Caspr(ASPr V1.1-V1.2有效),Rad(只對ASPr V1.1有效),loader,peid
(1)Aspack:用的最多,但只要用UNASPACK或PEDUMP32脫殼就行了
(2)ASProtect+aspack:次之,國外的軟體多用它加殼,脫殼時需要用到SOFTICE+ICEDUMP,需要一定的專業知識,但最新版暫時沒有辦法。
(3)Upx: 可以用UPX本身來脫殼,但要注意版本是否一致,用-D 參數
(4)Armadill: 可以用SOFTICE+ICEDUMP脫殼,比較煩
(5)Dbpe: 國內比較好的加密軟體,新版本暫時不能脫,但可以破解
(6)NeoLite: 可以用自己來脫殼
(7)Pcguard: 可以用SOFTICE+ICEDUMP+FROGICE來脫殼
(8)Pecompat: 用SOFTICE配合PEDUMP32來脫殼,但不要專業知識
(9)Petite: 有一部分的老版本可以用PEDUMP32直接脫殼,新版本脫殼時需要用到SOFTICE+ICEDUMP,需要一定的專業知識。
(10)WWpack32: 和PECOMPACT一樣其實有一部分的老版本可以用PEDUMP32直接脫殼,不過有時候資源無法修改,也就無法漢化,所以最好還是用SOFTICE配合PEDUMP32脫殼
防毒軟體
軟體含義
國內也稱防毒軟體“防毒軟體”是由國產的老一輩反病毒軟體廠商,如金山毒霸、江民、瑞星、360防毒等起的名字,後來由於和世界反病毒業接軌統稱為“反病毒軟體”或“安全防護軟體”。 注意“防毒軟體”是指電腦中毒,然後要殺掉病毒,反病毒則包括了防毒和防毒兩種功能。
二十一世紀陸續出現了集成防火牆的“網際網路安全套裝”、“全功能安全套裝”等名詞,都屬一類),是用於消除電腦病毒、特洛伊木馬和惡意軟體的一類軟體。反病毒軟體通常集成監控識別、病毒掃描和清除和自動升級等功能,有的反病毒軟體還帶有數據恢復等功能。後兩者同時具有黑客入侵,網路流量控制等功能。
一種可以對病毒、木馬等一切已知的對計算機有危害的程式代碼進行清除的程式工具。
軟體原理
反病毒軟體的任務是實時監控和掃描磁碟。部分反病毒軟體通過在系統添加驅動程式的方式,進駐系統,並且隨作業系統啟動。大部分的防毒軟體還具有防火牆功能。
反病毒軟體的實時監控方式因軟體而異。有的反病毒軟體,是通過在記憶體里劃分一部分空間,將電腦里流過記憶體的數據與反病毒軟體自身所帶的病毒庫(包含病毒定義)的特徵碼相比較,以判斷是否為病毒。另一些反病毒軟體則在所劃分到的記憶體空間裡面,虛擬執行系統或用戶提交的程式,根據其行為或結果作出判斷。
而掃描磁碟的方式,則和上面提到的實時監控的第一種工作方式一樣,只是在這裡,反病毒軟體將會將磁碟上所有的檔案(或者用戶自定義的掃描範圍內的檔案)做一次檢查。
軟體常識
1.防毒軟體不可能查殺所有病毒
2.防毒軟體能查到的病毒,不一定能殺掉;
3.一台電腦每個作業系統下不能同時安裝兩套或兩套以上的防毒軟體(除非有兼容或綠色版,且只能有一個軟體開啟防護功能)
4.防毒軟體對被感染的檔案防毒有多種方式:1清除,2刪除,3禁止訪問,4隔離,5不處理
清除:清除被蠕蟲感染的檔案,清除後檔案恢復正常。相當於如果人生病,清除是給這個人治病,刪除是人生病後直接殺死。
刪除:刪除病毒檔案。這類檔案不是被感染的檔案,本身就含毒,無法清除,可以刪除。
禁止訪問:禁止訪問病毒檔案。在發現病毒後用戶如選擇不處理則防毒軟體可能將病毒禁止訪問。用戶打開時會彈出錯誤對話框,內容是“該檔案不是有效的Win32檔案”。
隔離:病毒刪除後轉移到隔離區。用戶可以從隔離區找回刪除的檔案。隔離區的檔案不能運行。
不處理:不處理該病毒。如果用戶暫時不知道是不是病毒可以暫時先不處理。
大部分防毒軟體是滯後於計算機病毒的(像微點之類的第三代防毒軟體可以查殺未知病毒,但仍需升級)。所以,除了及時更新升級軟體版本和定期掃描的同時,還要注意充實自己的計算機安全以及網路安全知識,做到不隨意打開陌生的檔案或者不安全的網頁,不瀏覽不健康的站點,注意更新自己的隱私密碼,配套使用安全助手與個人防火牆等等。這樣才能更好地維護好自己的電腦以及網路安全!
雲安全技術
“雲安全(Cloud Security)”計畫是網路時代信息安全的最新體現,它融合了並行處理、格線計算、未知病毒行為判斷等新興技術和概念,通過網狀的大量客戶端對網路中軟體行為的異常監測,獲取網際網路中木馬、惡意程式的最新信息,推送到服務端進行自動分析和處理,再把病毒和木馬的解決方案分發到每一個客戶端。
未來防毒軟體將無法有效地處理日益增多的惡意程式。來自網際網路的主要威脅正在由電腦病毒轉向惡意程式及木馬,在這樣的情況下,採用的特徵庫判別法顯然已經過時。雲安全技術套用後,識別和查殺病毒不再僅僅依靠本地硬碟中的病毒庫,而是依靠龐大的網路服務,實時進行採集、分析以及處理。整個網際網路就是一個巨大的“防毒軟體”,參與者越多,每個參與者就越安全,整個網際網路就會更安全。
雲安全的概念提出後,曾引起了廣泛的爭議,許多人認為它是偽命題。但事實勝於雄辯,雲安全的發展像一陣風,360防毒、360安全衛士、瑞星防毒軟體、趨勢、卡巴斯基、MCAFEE、SYMANTEC、江民科技、PANDA、金山毒霸、卡卡上網安全助手等都推出了雲安全解決方案。
雲安全技術是P2P技術、格線技術、雲計算技術等分散式計算技術混合發展、自然演化的結果。
值得一提的是,雲安全的核心思想,與劉鵬早在2003年就提出的反垃圾郵件格線非常接近。劉鵬當時認為,垃圾郵件泛濫而無法用技術手段很好地自動過濾,是因為所依賴的人工智慧方法不是成熟技術。垃圾郵件的最大的特徵是:它會將相同的內容傳送給數以百萬計的接收者。為此,可以建立一個分散式統計和學習平台,以大規模用戶的協同計算來過濾垃圾郵件:首先,用戶安裝客戶端,為收到的每一封郵件計算出一個唯一的“指紋”,通過比對“指紋”可以統計相似郵件的副本數,當副本數達到一定數量,就可以判定郵件是垃圾郵件;其次,由於網際網路上多台計算機比一台計算機掌握的信息更多,因而可以採用分散式貝葉斯學習算法,在成百上千的客戶端機器上實現協同學習過程,收集、分析並共享最新的信息。反垃圾郵件格線體現了真正的格線思想,每個加入系統的用戶既是服務的對象,也是完成分散式統計功能的一個信息節點,隨著系統規模的不斷擴大,系統過濾垃圾郵件的準確性也會隨之提高。用大規模統計方法來過濾垃圾郵件的做法比用人工智慧的方法更成熟,不容易出現誤判假陽性的情況,實用性很強。反垃圾郵件格線就是利用分布網際網路里的千百萬台主機的協同工作,來構建一道攔截垃圾郵件的“天網”。反垃圾郵件格線思想提出後,被IEEE Cluster 2003國際會議選為傑出格線項目在香港作了現場演示,在2004年格線計算國際研討會上作了專題報告和現場演示,引起較為廣泛的關注,受到了中國最大郵件服務提供商網易公司創辦人丁磊等的重視。既然垃圾郵件可以如此處理,病毒、木馬等亦然,這與雲安全的思想就相去不遠了。
國產軟體
目前國內反病毒軟體,有三大巨頭:360防毒、金山毒霸、瑞星防毒軟體。反響都不錯。但是都有優缺點(均已實施雲安全方案),評價與介紹如下:
360防毒
360防毒是永久免費,性能超強的防毒軟體。中國市場占有率第一。360防毒採用領先的四引擎:國際領先的常規反病毒引擎—國際性價比排名第一的BitDefender引擎+修復引擎+360雲引擎+360QVM人工智慧引擎,強力防毒,全面保護您的電腦安全擁有完善的病毒防護體系,且唯一真正做到徹底免費、無需任何激活碼。360防毒輕巧快速、查殺能力超強、獨有可信程式資料庫,防止誤殺,誤殺率遠遠低於其它殺軟,依託360安全中心的可信程式資料庫,實時校驗,為您的電腦提供全面保護。最新版本特有全面防禦隨身碟病毒功能,徹底剿滅各種藉助隨身碟傳播的病毒,第一時間阻止病毒從隨身碟運行,切斷病毒傳播鏈。現可查殺660多萬種病毒。在最新VB100測試中,雙核360防毒大幅領先 名列國產殺軟第一。
360防毒採用領先的病毒查殺引擎及雲安全技術,不但能查殺數百萬種已知病毒,還能有效防禦最新病毒的入侵。360防毒病毒庫每小時升級,讓您及時擁有最新的病毒清除能力。360防毒有最佳化的系統設計,對系統運行速度的影響極小,獨有的“遊戲模式”還會在您玩遊戲時自動採用免打擾方式運行,讓您擁有更流暢的遊戲樂趣。360防毒和360安全衛士配合使用,是安全上網的“黃金組合”。
金山毒霸
金山公司推出的電腦安全產品,監控、防毒全面、可靠,占用系統資源較少。其軟體的組合版功能強大(金山毒霸2011、金山網盾、金山衛士),集防毒、監控、防木馬、防漏洞為一體,是一款具有市場競爭力的防毒軟體。金山毒霸2011是世界首款套用”可信雲查殺”的防毒軟體,顛覆了金山毒霸20年傳統技術,全面超於主動防禦及初級雲安全等傳統方法,採用本地正常檔案白名單快速匹配技術,配合金山可信雲端體系,實現了安全性、檢出率與速度。
金山毒霸2011極速輕巧,安裝包不到20MB,記憶體占用只有19MB。配合中國網際網路最大雲安全體系。
金山毒霸2011技術亮點1. 可信雲查殺:增強網際網路可信認證,海量樣本自動分析鑑定,極速快速匹配查詢。
2 .藍芯II引擎:微特徵識別(啟發式查殺2.0), 將新病毒扼殺於搖籃中,針對類型病毒具有不同的算法,減少資源占用,多模式快速掃描匹配技術,超快樣本匹配
3. 白名單優先技術:準確標記用戶電腦所有安全檔案,無需逐一比對病毒庫,大大提高效率,雙庫雙引擎,首家在防毒軟體中內置安全檔案庫,與可信雲安全緊密結合,安全少誤殺;
4.個性功能體驗:下載保護、聊天軟體保護、隨身碟病毒免疫防禦、檔案粉碎機、自定義安全區,提升性能、可定製的免打擾模式、自動調節資源占用、針對筆記本電源最佳化使續航更久;
5.自我保護:多於40個自保護點,免疫病毒使殺軟失效方法
6.全面安全功能,下載(支持迅雷、QQ鏇風、快車)、聊天(支持MSN)、隨身碟安全保護,免打擾模式,自動調節資源占用。
瑞星防毒
其監控能力是十分強大的,但同時占用系統資源較大。瑞星採用第八代防毒引擎,能夠快速、徹底查殺大小各種病毒,這個絕對是全國頂尖的。但是瑞星的網路監控不行,最好再加上瑞星防火牆彌補缺陷。另外,瑞星2009的網頁監控更是疏而不漏,這是雲安全的結果。
擁有後台查殺(在不影響用戶工作的情況下進行病毒的處理)、斷點續殺(智慧型記錄上次查殺完成檔案,針對未查殺的檔案進行查殺)、異步防毒處理(在用戶選擇病毒處理的過程中,不中斷查殺進度,提高查殺效率)、空閒時段查殺(利用用戶系統空閒時間進行病毒掃描)、嵌入式查殺(可以保護MSN等即時通訊軟體,並在MSN傳輸檔案時進行傳輸檔案的掃描)、開機查殺(在系統啟動初期進行檔案掃描,以處理隨系統啟動的病毒)等功能;並有木馬入侵攔截和木馬行為防禦,基於病毒行為的防護,可以阻止未知病毒的破壞。還可以對電腦進行體檢,幫助用戶發現安全隱患。並有工作模式的選擇,家庭模式為用戶自動處理安全問題,專業模式下用戶擁有對安全事件的處理權。缺點是卸載後註冊表殘留一些信息。