防病毒软件是如何工作的？

Question

所以我最近在考虑病毒，想知道防病毒软件到底是如何跟上的？考虑到任何已经编码了几个星期的人都可以一起破解一些对某人的 PC 做讨厌的、讨厌的事情，仅此数量就会使简单的哈希列表令人望而却步，那么防病毒软件是如何做到的呢？他们是否监控流程活动并制定 3 次打击规则来执行类似病毒的操作？如果是这样，是什么阻止它触发完全无害的事情（比如我在 \system32 中移动文件）？

我做了一些谷歌搜索，但常规的地方并没有特别的帮助，而且我在这里找不到骗子，所以我想问问 :)

Answer 1

这条约建立一个反病毒引擎2002年的谈判。

本文将从开发人员/软件工程师的角度描述从头开始开发防病毒程序所涉及的基本思想、概念、组件和方法。它将侧重于反病毒引擎（以下称为 AV 引擎）的主要元素，并将排除图形用户界面、实时监视器、文件系统驱动程序和某些应用程序软件（如 Microsoft Exchange 或微软办公软件。虽然针对单平台（如 Palm OS 或 EPOC/Symbian OS）运行/扫描的 AV 引擎可以采用相同的方式设计，但本文将重点介绍设计复杂得多的多平台扫描引擎。

还有一篇关于检测感染的启发式技术的文章。这也是一个有趣的阅读。

Answer 2

大约一年前，我参加了 F-Secure 的主要研究人员之一 Mikko Hyyppönen 的讲座。他展示了他们的自动化测试网络，在那里他们为发送给他们的每个样本创建虚拟机，分析它的结构，让它运行，记录它所做的一切，将它与以前的样本交叉引用，并生成一个摘要供以后检查。如果人类断定它是病毒，系统会自动生成检测签名并向客户发送更新。我想其他供应商也有类似的系统来保持他们的签名数据库是最新的。