病毒掃描是如何檢測DLL文件中的木馬/病毒的？

01-26

看了看360安全衛士的安全防禦掃描，分了很多類。那麼他再檢測病毒的時候，是單純是掃文件的MD5，還是文件內容？全盤磁碟掃描掃描病毒又是如何和病毒特徵庫進行對比的呢？每一個文件片段都要對比，還是進行什麼別的對比？對於系統內存的掃描和系統文件掃描的機制是一樣的嗎？
什麼是「易感染區」呢？

這並不是一個純技術活，有不少體力活和數據量活在裡邊。

配特徵就是體力活，雲掃描就是數據量活。

也並不是說整個文件取md5，而是有技巧地取某些片段的md5，然後組合起來，上報雲掃描。

本地引擎能做的事已經越來越有限了，就一個脫殼就足夠本地引擎煩很長時間了。如果斷網廢了360的雲引擎，本地做一個免殺還是比較簡單的，

至於內存掃描，跟磁碟掃描差別並不會很大，因為本質還是一個映射。

所以我覺得殺軟還是要做成主動防禦型的，論跡不論心嘛。不過既然如此，哪些該報警，哪些該由用戶選擇，這些東西越來越像操作系統該做的事了。

殺毒軟體這種東西早該消失了

dll 本質是動態鏈接庫，是一些函數的執行介面。函數和普通的程序一樣，也是有一系列的執行代碼構成的，只是必須要有一個主體程序來引用它而已。那麼和檢測 exe 是同樣一個道理，都是判斷特徵，比如你的程序里有某些代碼涉及到對系統文件的修改，或者是涉及推送危險內容、上傳用戶信息什麼的，有這一類的代碼就會被判為病毒。

PS: 別咬文嚼字，我只是舉個例子，為了說明問題而已。沒有其他任何意思。

dll 和 exe 不是一模一樣的文件格式么。

那個……據說360是掃文件名的

文件名特徵碼行為規則簽名

比較md5我隨便改下指令順序你不就檢測不出來了嗎︶︿︶。好十年前的技術都是檢測特定代碼段特徵，例如某api調用，危險的文件讀寫，尤其是重定位行為捕捉什麼的。

現在基本上都是病毒行為捕捉了吧(我實驗室里的老師搞入侵檢測都是這個)。虛擬機技術加上雲行為特徵庫。。。。