如题所述
第1个回答 2024-06-16
传统的反病毒特征值扫描技术,是基于专家们通过逆向工程手段,借助反编译工具如Ollydbg、IDA、IDA Pro等,对可疑的文件进行深入检查。这些专家会寻找潜在的恶意代码,以确定文件是正常程序还是病毒或恶意软件。一旦识别出恶意行为,不同的安全厂商会根据自己的标准提取特征并命名样本,每个厂商的特征提取点和命名规则可能会有所不同。
经过严格测试验证后,这些特征会被加入到服务器的病毒库中,用户在日常使用中,无论是系统监控还是手动扫描,杀毒引擎会自动提取文件的特征值,与病毒库中的记录进行比对。如果匹配成功,就会判断出该文件与病毒库中的特定病毒名称相对应,从而将其识别为已知的恶意软件。
病毒和恶意软件往往以直接读写磁盘、解码指令或获取系统资源如目录路径、磁盘类型、服务管理权限等作为初始行为。这些行为模式是病毒样本分析专家通过对大量样本的分析得出的经验,是识别和防御此类威胁的关键依据。
经过严格测试验证后,这些特征会被加入到服务器的病毒库中,用户在日常使用中,无论是系统监控还是手动扫描,杀毒引擎会自动提取文件的特征值,与病毒库中的记录进行比对。如果匹配成功,就会判断出该文件与病毒库中的特定病毒名称相对应,从而将其识别为已知的恶意软件。
病毒和恶意软件往往以直接读写磁盘、解码指令或获取系统资源如目录路径、磁盘类型、服务管理权限等作为初始行为。这些行为模式是病毒样本分析专家通过对大量样本的分析得出的经验,是识别和防御此类威胁的关键依据。
