什么是计算机病毒动态防御和静态防御
有没有什么资料说明计算机病毒动态防御和静态防御
80年代末期,由于电脑病毒的出现,就有了它的克星——反病毒软件的诞生。从此,开始了“猫”与“鼠”、“矛”与“盾”的博弈。这一时期,病毒制作者所使用的技术还比较“小儿科”,因而反病毒软件对其检测、查杀相对容易。当时,广泛使用的就是“特征码匹配方法”。此后,为了躲避杀毒软件的查杀,病毒开始了进化,逐渐演变为变形的形式:每感染一次,就像“变形金刚”一样改换一次面孔,以此来躲避反病毒软件的“追杀”。
由于同一种病毒的变种病毒大量增加,单纯依靠病毒库和特征码技术已经不能适应网络安全需要。于是,便出现了广谱特征码的概念。这个技术在一段时间内,对于处理某些变形病毒提供了一种方法,但是也使误报率大大增加,所以采用广谱特征码技术也不能有效对新病毒和未知病毒进行查杀。正中了“魔高一尺,道高一丈”的古训,新的查毒技术应运而生——这就是能够主动检测和拦截未知威胁的防御方法,即“主动防御技术”。
主动防御技术是在没有病毒样本的情况下,针对未知病毒研发的病毒防杀技术:1。在未知病毒和未知程序方面,通过“行为判断”技术识别大部分未被截获的未知病毒和变种。2。通过对漏洞攻击行为进行监测,可防止病毒利用系统漏洞对计算机进行的攻击。说到主动防御,不得不提起启发式查毒技术。启发式查毒技术属于主动防御的一种,是当前对付未知病毒的主要手段,从工作原理上可分为静态启发和动态启发两种——
静态启发,是指在静止状态下通过病毒的典型指令特征识别病毒的方法,是对传统特征码扫描的一种补充。由于病毒程序与正常的应用程序在启动时有很多区别,通常一个正常应用程序在最初的指令,是检查命令行并输入有关参数项、清屏和保存原来屏幕显示等;而病毒程序最初的指令通常是直接写盘操作、解码指令,或搜索某路径下的可执行程序等相关操作指令序列。静态启发就是通过简单的反编译,在不运行病毒程序的情况下,核对病毒头静态指令从而确定病毒的一种技术。
相对静态启发技术,动态启发技术要复杂和先进很多。动态启发通过杀软内置的虚拟机技术,给病毒构建一个仿真的运行环境,诱使病毒在杀软的模拟缓冲区中运行,如运行过程中检测到可疑的动作,则判定为危险程序并进行拦截。这种方法更有助于识别未知病毒,对加壳病毒依然有效,但如果控制得不好,就会出现较多的误判误报。尽管如此,由于动态启发式判断技术具有许多不可替代的优势,因此仍然是目前检测未知病毒最有效、最可靠的方法之一,并在各大杀软产品中得到了广泛应用。
由于同一种病毒的变种病毒大量增加,单纯依靠病毒库和特征码技术已经不能适应网络安全需要。于是,便出现了广谱特征码的概念。这个技术在一段时间内,对于处理某些变形病毒提供了一种方法,但是也使误报率大大增加,所以采用广谱特征码技术也不能有效对新病毒和未知病毒进行查杀。正中了“魔高一尺,道高一丈”的古训,新的查毒技术应运而生——这就是能够主动检测和拦截未知威胁的防御方法,即“主动防御技术”。
主动防御技术是在没有病毒样本的情况下,针对未知病毒研发的病毒防杀技术:1。在未知病毒和未知程序方面,通过“行为判断”技术识别大部分未被截获的未知病毒和变种。2。通过对漏洞攻击行为进行监测,可防止病毒利用系统漏洞对计算机进行的攻击。说到主动防御,不得不提起启发式查毒技术。启发式查毒技术属于主动防御的一种,是当前对付未知病毒的主要手段,从工作原理上可分为静态启发和动态启发两种——
静态启发,是指在静止状态下通过病毒的典型指令特征识别病毒的方法,是对传统特征码扫描的一种补充。由于病毒程序与正常的应用程序在启动时有很多区别,通常一个正常应用程序在最初的指令,是检查命令行并输入有关参数项、清屏和保存原来屏幕显示等;而病毒程序最初的指令通常是直接写盘操作、解码指令,或搜索某路径下的可执行程序等相关操作指令序列。静态启发就是通过简单的反编译,在不运行病毒程序的情况下,核对病毒头静态指令从而确定病毒的一种技术。
相对静态启发技术,动态启发技术要复杂和先进很多。动态启发通过杀软内置的虚拟机技术,给病毒构建一个仿真的运行环境,诱使病毒在杀软的模拟缓冲区中运行,如运行过程中检测到可疑的动作,则判定为危险程序并进行拦截。这种方法更有助于识别未知病毒,对加壳病毒依然有效,但如果控制得不好,就会出现较多的误判误报。尽管如此,由于动态启发式判断技术具有许多不可替代的优势,因此仍然是目前检测未知病毒最有效、最可靠的方法之一,并在各大杀软产品中得到了广泛应用。
温馨提示:答案为网友推荐,仅供参考
第1个回答 2010-06-01
动态是针对行为,静态是特征码(代码的描述)
