我发现这个问题详细说明了防病毒软件的工作原理。但我刚刚有一个客户问我这个问题,我真的无法给他一个好的、简单、容易理解的答案。我能想到的最好的事情是每个病毒都有一个特定的“指纹”,软件会在已知的感染区域扫描它们。
我如何以简单易懂的方式解释这一点?
Wil*_*sum 10
检测机制,或者说他们在更深层次上如何?
当人们跟我说恶意软件是如何进入他们的机器的,为什么一旦它进入系统就不能总是删除,而且几乎所有与恶意软件有关的事情我总是用组合/类似于这个比喻来回答:
(当我写下来的时候,我一定听起来有点像白痴,但我希望你喜欢它!)
想象一下你的房子就是电脑,一个反病毒程序是几种不同的安全机制。
想象一下你前门上的保镖 - 任何进入房子的人(文件进入你的机器)都会经过他,他会检查他们是否干净*。如果他发现一些不好的事情,他通常会让你选择做什么。
想象一下,一个内部安全团队正在监视您家中的每个人(活动进程),他们接触的任何对象(文件)都会被检查以确保它们是干净的*
当无事可做或您选择时,您可以让安全团队检查房屋中的每个物体,以确保它们不受最新威胁的影响。
虽然您的家庭安全总是会尽力而为,但没有什么是 100% 有效的。一旦有人进了屋子,如果不被拦住,他们可以为所欲为。虽然可以在他们之后进行清理,并且在大多数情况下,可以消除所有损坏……他们可能会留下自己的安全团队,从而干扰您自己的安全团队。
`* 正如 Randolph 在他的回答中所说的,它通常是指纹和启发式的混合)
我似乎找不到它,但微软曾经有一个关于创建 AV 软件的 API 文档,我只能找到指向 MS Office/IE API 指南的链接。我猜是由于伪造的 AV/Root 工具包,他们已经删除了这些信息。
(另外,赛门铁克有一篇有趣的文章供进一步阅读)
编辑 - 刚刚发现一个有趣的堆栈溢出问题... Windows 防病毒软件如何挂钩文件访问过程?
小智 5
它们在几个层面上运作,包括:
指纹定义,如您所述,用于检查与数据库匹配的活动或文件签名
可疑行为,例如,引导扇区被无法识别的东西修改,或者内存被不应访问的进程覆盖
Rootkit 检测,它要求 AV 几乎像病毒本身一样运行(* 这就是为什么 AVG 不喜欢 ComboFix,例如 - 它所做的事情与病毒行为无法区分),因为它必须将自己隐藏起来以免受 rootkit 的影响。
这当然不是一个完整的列表,我欢迎对答案进行编辑。
| 归档时间: |
|
| 查看次数: |
925 次 |
| 最近记录: |