木马肆虐应该如何应对? 随着游戏产业,网上购物,证券交易等网上交易活动的越来越广泛,越来越多的病毒作者加入到了木马的制作行列中,企图通过盗取游戏帐号,银行帐号,网银密码等信息获得实际收入。由于利益的驱使,各种灰色职业也在网络上应运而生,比如售卖木马程序,抓肉鸡,售卖各种黑客技术入门教程等五花八门。木马的病毒也由高深的黑客技术,普及到只会基本的电脑操作知识即可定制自己的木马。从某安全软件公司公布的数据来看,去年一年捕获的病毒,木马数量超过了30万。比如去年到今天相继爆发的威金,熊猫烧香,灰鸽子,机器狗,磁碟机等木马,每一次大的病毒爆发,都会有数十万至百万电脑受到感染。
网络上爆发的病毒数量虽然巨大,但是其中绝大部分是由原本单一的病毒或木马经过病毒制造者的各种加壳、加花、组装等手段后成为“变种”再次出现的。而且变种的传播性、破坏性都更加强大。下面就来针对各种技术做一下简单介绍。
加壳,是通过一系列数学运算,将可执行程序文件或DLL文件的代码进行改变、压缩、加密驱动等,达到缩小文件体积或加密程序代码的目的。(常见加壳工具有北斗、aspcak、 upx)。
加花,就是对程序进行汇编指令的改动或添加,让汇编语句进行一些跳转。通过这两种方式,让杀软不能正常的判断病毒文件的构造、执行方式,祈求能够躲避查杀。
更改特征码,通过一些黑客工具,可以定位到杀毒软件对某个病毒查杀的依据-----特征码。从而对被定位的程序段进行改编,达到躲避查杀的目的。
传统的杀毒软件在面对这些经过改编的木马时,它们需要再次抓取这些样本,然后再提取特征码,加入到病毒库,用户在更新病毒库之后即可查杀了。目前的问题在于木马爆发的数量巨大,采用传统的这种方式一是没有能力一一进行分析,二是必须等到有用户感染了病毒,厂商获取了样本才可以查杀,周期比较长。三是软件的病毒库数量越来越庞大,对系统资源的占用也越来越大。那么有什么好的方法可以避免以上问题呢?
答案就是启发式技术,它能够智能的根据程序的行为来判断是否是病毒,并进行查杀。目前业内启发式技术应用最成功的当属ESET NOD32,其启发式引擎融合了基因码技术、虚拟机技术、代码分析三大技术,构建起立体的防护架构。无论在扫描速度还是查杀能力上都独占鳌头。
谓基因码,就是指同一病毒族群中的不同变种,多半含有相同的病毒特征。不少病毒最初是以单一品种出现,后经由其它病毒作者修改或自行演化,最后变成数十种以上的病毒变种。若以传统特征检测方式处理,病毒数据库便要为每一种病毒变种制作一份独立的特征数据;而较新的基因码检测技术,则会从各变种中找出共同之处,包括一些非连续的程序代码,以此找出同一类型病毒的普遍特征。
针对变形病毒、未知病毒等复杂的病毒情况,极少数防病毒软件采用了虚拟机技术,达到了对未知病毒良好的查杀效果。它实际上是一种可控的,由软件模拟出来的程序虚拟运行环境。在这一环境中虚拟执行的程序。虽然病毒通过各种方式来躲避防病毒软件,但是当它运行在虚拟机中时,它并不知道自己的一切行为都在被虚拟机所监控,所以当它在虚拟机中脱去伪装进行传染时,就会被虚拟机所发现,如此一来,利用虚拟机技术就可以发现大部分的变形病毒和大量的未知病毒。
代码分析扫描是通过分析指令出现的顺序,或特定组合情况等常见病毒的标准特征来决定文件是否感染未知病毒。因为病毒要达到感染和破坏的目的,通常的行为都会有一定的特征,例如读写敏感文件,自我删除、自我复制,获取操作系统底层权限等等。所以可以根据扫描特定的行为或多种行为的组合来判断一个程序是否是病毒。
在国际权威机构AV-Comparatives的主动式防护测试(最主要是针对未知病毒及防护能力的测试)中,ESET NOD32的ThreatSense.Net 杀毒引擎均能成功拦截超过 9 成以上的零日攻击蠕虫与病毒 (Zero-day worms and virus),表现卓越。引用一位ESET NOD32粉丝的话:“做免杀难,做过ESET NOD32的免杀更难,做过ESET NOD32的免杀DLL文件是难上加难!”。可见不管是病毒、木马还是其它恶意变种,要想躲过ESET NOD32 防病毒引擎的三道关卡只能一个字形容——难!
| 1、本网所发布的一切资源,旨在服务网友,其来源包括收集、原创、分享等途径,如果您认为触犯到您的权益,请来信批评指正。
2、凡转载自其他媒体,或为网友投稿的资料,其目的在于促进信息交流,并不代表本网赞同其观点和对其内容的真实性负责。 3、如因作品内容、版权或其他问题需要同本网联系,请在30日内进行。联系QQ:946734 |
♀ 木马肆虐应该如何应对? (07-25)
♀ 假如江民2008是 (06-11)
♀ 05.21病毒快报:天眼广告控制后门 (05-24)
♀ 解决卡巴斯基误杀导致winnet丢失 (05-24)
♀ 5.19病毒快报:办公室伪装者 (05-24)
♀ 怎样才能彻底屏蔽恶意网站地址? (05-24)
♀ QQ尾巴广告器骗用户点击挂马网址 (05-24)
♀ 仿冒腾讯建立诈骗网页利用震灾敛 (05-24)
♀ 播放器漏洞下载者用漏洞下载病毒 (05-24)
♀ 小偷下载器下载大量木马程序 (05-24)
♀ 卡巴斯基近20种实用使用方法放送 (05-11)
♀ 文件夹邮递员伪装文件夹发送病毒 (05-11)
♀ 大蜘蛛成功侦查病毒Win32.Ntldrb (05-09)
♀ 梦幻西游盗号木马下载病毒并盗号 (05-07)
♀ 瑞星杀毒2008主动防御的详细设置 (05-07)
♀ 卡巴斯基6.0key杀毒软件下载 (05-07)
♀ 卡巴斯基6.0下载卡巴斯基6.0key (05-07)
♀ 卡巴斯基Kaspersky 6.0半年免费 (05-07)
♀ VBS脚本病毒原理分析与防范 (1 (05-07)
♀ 104种木马的清除方法 (05-07)
♀ 木马肆虐应该如何应对? (07-25)
♀ 假如江民2008是 (06-11)
♀ 05.21病毒快报:天眼广告控制后门 (05-24)
♀ 解决卡巴斯基误杀导致winnet丢失 (05-24)
♀ 5.19病毒快报:办公室伪装者 (05-24)
♀ 怎样才能彻底屏蔽恶意网站地址? (05-24)
♀ QQ尾巴广告器骗用户点击挂马网址 (05-24)
♀ 仿冒腾讯建立诈骗网页利用震灾敛 (05-24)
♀ 播放器漏洞下载者用漏洞下载病毒 (05-24)
♀ 小偷下载器下载大量木马程序 (05-24)
♀ 卡巴斯基近20种实用使用方法放送 (05-11)
♀ 文件夹邮递员伪装文件夹发送病毒 (05-11)
♀ 大蜘蛛成功侦查病毒Win32.Ntldrb (05-09)
♀ 梦幻西游盗号木马下载病毒并盗号 (05-07)
♀ 瑞星杀毒2008主动防御的详细设置 (05-07)
♀ 卡巴斯基6.0key杀毒软件下载 (05-07)
♀ 卡巴斯基6.0下载卡巴斯基6.0key (05-07)
♀ 卡巴斯基Kaspersky 6.0半年免费 (05-07)
♀ VBS脚本病毒原理分析与防范 (1 (05-07)
♀ 104种木马的清除方法 (05-07)
♀ Mytob变种BD海外归来最新变种席 (05-07)
♀ 报告:美国全民身患“电子邮件中 (05-07)
♀ QQ“艳照门”病毒分析及解决办法 (05-07)
♀ 工具箱蛀虫感染程序并打开后门 (05-07)
♀ 色情网站全打倒之三大步骤 (05-07)
♀ 上网要注意防范隐藏在网页的病毒 (05-07)
♀ 360安全卫士初始化失败的解决方 (05-07)
♀ 飘雪恶意程序猖獗 360发布专杀工 (05-07)
♀ 冒充专家门诊 “婚礼”病毒最新 (05-07)
♀ 简单几招对付捆绑木马的技巧 (05-07)
♀ “六步法”彻底将“熊猫烧香”赶 (05-07)
♀ 自己动手 删除病毒在计算机中的 (05-07)
♀ NOD32 AntiVirus v2.70.37 发布 (05-07)
♀ 伪装法正版反病毒软件特洛伊木马 (05-07)
♀ 专家警告上网慎点美女JPE图片 (05-07)
♀ 卡巴斯基6.0key杀毒软件下载 (05-07)
♀ 从修复about:blank默认页面到RES (05-07)
♀ 震荡波及冲击波病毒专杀工具 (05-07)
♀ recycle.exe病毒手动解决的方法 (05-07)
♀ 简简单单两步法 誓把天下流氓都 (05-07)
♀ 回头的爱 (08-26)
♀ 回头的爱 (08-26)
♀ 猪八戒探亲 (08-12)
♀ 不知错的吴志 (08-12)
♀ 阿P的小聪明 (08-12)
♀ 哭嫁 (08-12)
♀ 借 (08-12)
♀ 房子有鬼 (01-01)
♀ 红包缘 (08-12)
♀ 猛男兄 (08-12)
♀ 真假难辨 (08-12)
♀ 中学趣事(八) 不想结婚 (08-12)
♀ 阿风擒贼记 (01-01)
♀ 厕所问题 (08-12)
♀ 歪打正着 (08-12)
♀ 阿P重庆当棒棒 (08-12)
♀ 高档身份 (08-12)
♀ “精包装”征婚 (08-12)
♀ 难忘的地理课 (08-12)
♀ 中学趣事(九) 中老年妇女的偶 (08-12)
全文检索