盘点即将过去的2006年,计算机病毒多变种,恶意软件、流氓软件的泛滥,钓鱼欺诈网站的频繁出现,都给网民留下深刻印象。为在新的一年里对杀毒市场展开新一轮争夺,主流杀毒软件也纷纷发布了新一代产品。纵观各厂商提供的解决方案,技术定义虽各不相同,但实质是对变种病毒、流氓软件提供了新的解决方案。本文就金山毒霸2007的相关功能做一简单点评,揭密金山毒霸2007的技术亮点。
立即下载金山毒霸2007 体验七大技术亮点
亮点一 脱壳查杀技术
2006年,被截获的计算机病毒数量激增,据金山反病毒中心提供的数据,今年一个季度截获的病毒数量,大致相当于去年一年截获的数量。其中大量病毒是被传播者利用加壳打包工具处理过的,其目的是逃避杀毒软件的追杀。
杀毒软件处理加壳病毒,通常采取两种方法:一是对加过壳的病毒按新病毒处理,在病毒库中新增一个变种的特征。二是杀毒引擎提供脱壳算法,分析病毒加壳的类型,杀毒引擎完成解壳杀毒过程,也称静态脱壳。两者各有利弊,加新特征就需要获取新样本,没有样本之前,杀毒软件就可能无法检测到加壳病毒。静态脱壳检测速度快,资源占用少,是业界通行的作法。但开发周期较长,一种脱壳算法,只支持一种或一类相关加壳软件处理的病毒。如果病毒使用新壳,静态脱壳就需要时间来分析新的算法。杀毒厂商通常二者兼用,相互取长补短。
有别于虚拟机脱壳技术,金山采用数据流脱壳。虚拟机脱壳,是在正常的系统内存中 僖桓鲂槟饣肪常在虚拟环境运行病毒程序本身的脱壳代码。这种方法的好处是减少了静态脱壳的开发周期,但缺点也是显而易见的,就是需要消耗更多的系统资源,特别是在一个病毒经过多层加壳,或者多种加壳软件嵌套加壳之后,虚拟机消耗的系统资源急剧上升,系统性能也会明显变差。
金山采用的数据流则更大胆,直接分析病毒运行过程中生成的数据流特征。在病毒程序运行时,首先会自行脱壳,从而暴露出程序原始特征,在病毒原始代码现身后,杀毒引擎会及时做出响应,将病毒程序清除,这种方式避免了虚拟机需要的资源开销,内存耗损。此外,数据流杀毒技术还具有逆向检测原始加壳带毒文件的能力。比如,病毒A是一个加壳病毒,脱壳后生成病毒B,那么只要能够清除病毒B,就可以清除与A具有相同特征的加壳病毒C,而无论C脱壳后生成的是病毒D还是F。对于静态病毒文件,由于不产生数据流,对系统不具有破坏威胁,采用数据流杀毒技术将不会被检测到。
[责任编辑:KV_ddvip]
本栏更新相关链接