防病毒软件的那些事

 

序言

防病毒软件本质上也是一个软件程序，它的主要实现功能就是防止、检测、网络和IT系统上的恶意软件感染。

防病毒软件最初设计用于检测和清除计算机中的恶意软件也就是病毒，还可以防御各种威胁，包括其他类型的恶意软件，例如 键盘记录程序、浏览器劫持程序、特洛伊木马、蠕虫、rootkit、间谍软件、广告软件、僵尸网络和勒索软件。

 

工作原理

防病毒软件通常作为后台进程一直在计算机中运行，扫描计算机、服务器或移动设备以检测和限制恶意软件的传播。许多防病毒软件程序包括实时威胁检测和保护，以防止潜在漏洞的发生，以及监控设备和系统文件以寻找可能的风险的系统扫描。

为了全面扫描系统，通常必须授予防病毒软件对整个系统的特权访问权限。这使得防病毒软件本身成为攻击者的共同目标，研究人员近年来在防病毒软件产品中发现了远程代码执行和其他严重漏洞。

防病毒软件通常执行以下4个基本功能：

1、扫描目录或特定文件以查找表明存在恶意软件的已知恶意模式；

2、允许用户安排扫描以便它们自动运行；

3、允许用户随时启动新的扫描；

4、删除它检测到的任何恶意软件。一些防病毒软件程序会在后台自动执行此操作，而另一些会通知用户感染并询问他们是否要清理文件。 

技术点

 

最初，防病毒软件更多是依靠基于校验签名(病毒软件的特征码)来检测并标记恶意软件。防病毒程序依赖于存储的病毒签名(已知恶意软件特征的唯一数据字符串,也就是特征码)。防病毒软件使用这些签名信息识别，经过安全专家已经识别和分析的病毒样本。

基于签名机制的检测恶意软件，它只能检测到已获取到的恶意软件，无法检测到新的恶意软件，包括现有恶意软件的变种。基于特征的检测只能在定义文件更新了新病毒的信息后才能检测到新病毒。现代签名数据库可能包含数亿甚至数十亿的条目，这使得仅基于签名的防病毒软件变得不切实际。但是，基于签名的检测通常不会产生误报匹配。

基于启发式的检测恶意软件，通过使用算法将已知病毒的签名与潜在威胁进行比较。通过启发式检测，防病毒软件可以检测到尚未发现的病毒，以及已经存在的病毒被伪装或修改并作为新病毒发布的病毒。但是，当防病毒软件检测到行为与恶意程序相似的程序并将其错误地识别为病毒时，此方法也会产生误报匹配。

基于行为的检测，分析恶意软件对象的行为或可疑活动的潜在行为，并根据这些观察推断恶意意图。例如，尝试执行未经授权或异常操作的代码将表明该对象是恶意的，或者至少是可疑的。一些可能发出危险信号的行为示例包括修改或删除大量文件、监控击键、更改其他程序的设置以及远程连接到计算机。 

阅读完毕

 

原文始发于微信公众号（安全架构）：防病毒软件的那些事