病毒掃描是如何檢測DLL文件中的木馬/病毒的?

看了看360安全衛士的安全防禦掃描,分了很多類。那麼他再檢測病毒的時候,是單純是掃文件的MD5,還是文件內容?全盤磁碟掃描掃描病毒又是如何和病毒特徵庫進行對比的呢?每一個文件片段都要對比,還是進行什麼別的對比?對於系統內存的掃描和系統文件掃描的機制是一樣的嗎?

什麼是「易感染區」呢?


這並不是一個純技術活,有不少體力活和數據量活在裡邊。

配特徵就是體力活,雲掃描就是數據量活。

也並不是說整個文件取md5,而是有技巧地取某些片段的md5,然後組合起來,上報雲掃描。

本地引擎能做的事已經越來越有限了,就一個脫殼就足夠本地引擎煩很長時間了。如果斷網廢了360的雲引擎,本地做一個免殺還是比較簡單的,

至於內存掃描,跟磁碟掃描差別並不會很大,因為本質還是一個映射。

所以我覺得殺軟還是要做成主動防禦型的,論跡不論心嘛。不過既然如此,哪些該報警,哪些該由用戶選擇,這些東西越來越像操作系統該做的事了。

殺毒軟體這種東西早該消失了


dll 本質是動態鏈接庫,是一些函數的執行介面。函數和普通的程序一樣,也是有一系列的執行代碼構成的,只是必須要有一個主體程序來引用它而已。那麼和檢測 exe 是同樣一個道理,都是判斷特徵,比如你的程序里有某些代碼涉及到對系統文件的修改,或者是涉及推送危險內容、上傳用戶信息什麼的,有這一類的代碼就會被判為病毒。

PS: 別咬文嚼字,我只是舉個例子,為了說明問題而已。沒有其他任何意思。


dll 和 exe 不是一模一樣的文件格式么。


那個……據說360是掃文件名的


文件名 特徵碼 行為規則 簽名


比較md5我隨便改下指令順序你不就檢測不出來了嗎︶︿︶。好十年前的技術都是檢測特定代碼段特徵,例如某api調用,危險的文件讀寫,尤其是重定位行為捕捉什麼的。

現在基本上都是病毒行為捕捉了吧(我實驗室里的老師搞入侵檢測都是這個)。虛擬機技術加上雲行為特徵庫。。。。


推薦閱讀:

恐怖襲擊有刺激示範作用嗎?
網路安全比賽,如何獲取伺服器上的文件?
為什麼現在提醒注意安全會被很多人撕政治不正確?
李嘉誠大肆投資英國基礎設施,英國政府是否擔心國家安全?

TAG:計算機 | 安全 | 計算機病毒 |