¡Buscando conocimiento! Software antivirus ¿Cuáles son los principios de funcionamiento de la "comprobación de virus" y el "antivirus"? ¡Gracias por la orientación!
¿Sobre qué base determina y elimina el software antivirus los virus?
Métodos de detección de virus
En la lucha contra los virus, la detección temprana de los virus es muy importante. La detección temprana y el tratamiento temprano pueden reducir las pérdidas. Los métodos para detectar virus incluyen: método de código de firma, método de suma de verificación, método de monitoreo de comportamiento, método de simulación de software
Estos métodos se basan en diferentes principios, requieren diferentes gastos generales durante la implementación, tienen diferentes rangos de detección y cada uno tiene sus propias ventajas propias.
Método de código de característica
El método de código de característica se utilizó tempranamente en herramientas de detección de virus famosas como SCAN y CPAV. Los expertos extranjeros creen que el método del código de firma es el método más sencillo y económico para detectar virus conocidos.
Los pasos para implementar el método del código de firma son los siguientes:
Recopilar muestras de virus conocidos Si el virus infecta tanto archivos COM como EXE, los virus de tipo COM deben recolectarse en. al mismo tiempo. muestras y muestras de virus de tipo EXE.
Extrae códigos característicos de muestras de virus. Basado en los siguientes principios:
El código extraído es bastante especial y es poco probable que coincida con el código de programa normal. El código extraído debe tener una longitud adecuada. Por un lado, mantiene la unicidad del código de característica y, por otro lado, no consume demasiado espacio ni tiempo. Si el código de firma de un virus aumenta en un byte y es necesario detectar 3000 virus, el espacio adicional será de 3000 bytes. Bajo la premisa de mantener la unicidad, intente mantener la longitud del código de característica lo más corta posible para reducir la sobrecarga de espacio y tiempo.
En muestras de virus que infectan tanto archivos COM como EXE, es necesario extraer los códigos únicos de ambas muestras. Incorporar códigos de firma en bases de datos de virus.
Abra el archivo detectado, busque en el archivo y verifique si el archivo contiene códigos de firma de virus en la base de datos de virus. Si se encuentra un código de firma de virus, dado que el código de firma corresponde al virus uno a uno, se puede determinar qué tipo de virus está presente en el archivo que se está verificando.
Las herramientas de detección que utilizan el método del código de firma de virus deben actualizar constantemente sus versiones ante los nuevos virus que surgen constantemente; de lo contrario, las herramientas de detección envejecerán y perderán gradualmente su valor práctico. Naturalmente, el método del código de firma de virus no puede conocer los códigos de firma de nuevos virus que nunca antes se han visto, por lo que es imposible detectar estos nuevos virus.
Las ventajas del método del código característico son: detección rápida y precisa, identificación del nombre del virus, baja tasa de falsas alarmas y desintoxicación basada en los resultados de la detección. Sus desventajas son: no puede detectar virus desconocidos ni recopilar códigos de firma de virus conocidos, es costoso e ineficiente en la red (en el servidor de la red, la recuperación a largo plazo deteriorará el rendimiento de toda la red).
Sus características:
A. Lento. A medida que aumenta el número de tipos de virus, el tiempo de búsqueda se hace más largo. Si se recuperan 5.000 virus, se deben comprobar uno por uno 5.000 códigos de firma de virus. Si aumenta el número de tipos de virus, el coste de tiempo de detección del virus será muy considerable. La alta velocidad de detección mediante tales herramientas será cada vez más difícil.
B. La tasa de falsas alarmas es baja.
No se pueden comprobar los virus polimórficos que no sean C. Es imposible detectar virus polimórficos utilizando el método del código de firma. Los expertos extranjeros creen que los virus polimórficos son los culpables del método del código de firma de virus.
D. No puede lidiar con virus ocultos. Si un virus encubierto primero reside en la memoria y luego ejecuta una herramienta de detección de virus, el virus encubierto puede eliminar el código del virus del archivo que se está verificando antes de que la herramienta de detección esté verificando un "archivo bueno" falso y no puede llamar al. policía y déjate engañar por un virus oculto.
Método de suma de verificación
Calcula la suma de verificación a partir del contenido de un archivo normal y escribe la suma de verificación en un archivo o escríbela en otro archivo para almacenarla.
Durante el uso de un archivo, regularmente o antes de cada uso del archivo, verifique si la suma de verificación calculada a partir del contenido actual del archivo es consistente con la suma de verificación guardada originalmente, para que pueda averiguar si el archivo está infectado. Este método es. llamado método de suma de comprobación. Puede encontrar virus conocidos y desconocidos. En versiones posteriores de las herramientas SCAN y CPAV, además del método de firma de virus, también se incluyó un método de suma de comprobación para mejorar sus capacidades de detección.
Este método puede encontrar tanto virus conocidos como virus desconocidos. Sin embargo, no puede identificar tipos de virus ni informar nombres de virus. Dado que la infección por virus no es la única razón para los cambios en el contenido del archivo, los cambios en el contenido del archivo pueden ser causados por programas normales, por lo que el método de suma de comprobación a menudo genera falsas alarmas. Y este método también afectará la velocidad de ejecución del archivo.
De hecho, la infección por virus provocará cambios en el contenido del archivo, pero el método de suma de comprobación es demasiado sensible a los cambios en el contenido del archivo y no puede distinguir los cambios causados por programas normales, lo que provoca alarmas frecuentes. Monitorear las sumas de verificación de archivos para detectar virus no es el mejor enfoque.
Este método encuentra las siguientes situaciones: actualizar la versión de software existente, cambiar la contraseña, modificar los parámetros operativos y el método de suma de verificación causarán falsas alarmas.
El método de suma de comprobación es ineficaz contra virus encubiertos. Una vez que el virus oculto ingresa a la memoria, automáticamente eliminará el código del virus en el programa infectado por el virus, engañando al método de suma de verificación y calculando una suma de verificación normal para un archivo venenoso.
Hay tres formas de utilizar el método de suma de comprobación para detectar virus:
① Incorpore el método de suma de comprobación en la herramienta de detección de virus y calcule el estado normal del archivo objeto comprobado. , escriba el valor de la suma de verificación en el archivo verificado o en la herramienta de detección y luego compare.
②En la aplicación, coloque la función de autoverificación del método de suma de verificación, escriba la suma de verificación del estado normal del archivo en el archivo mismo y compare la suma de verificación actual con la suma de verificación actual cada vez que se inicia la aplicación. Valor de suma de comprobación original. Implementar el autotest de aplicaciones.
③ Mantenga el programa de verificación de suma de verificación en la memoria Cada vez que la aplicación comience a ejecutarse, comparará y verificará automáticamente las sumas de verificación almacenadas de antemano dentro de la aplicación o en otros archivos.
La ventaja del método de suma de verificación es que es simple y puede detectar virus desconocidos, y también puede detectar cambios sutiles en los archivos que se están verificando. Sus desventajas son: emitir sumas de verificación normales de los registros de acceso, falsas alarmas, incapacidad para reconocer nombres de virus e incapacidad para lidiar con virus ocultos.
Método de monitoreo del comportamiento
El método de monitorear virus utilizando sus características de comportamiento únicas se llama método de monitoreo del comportamiento. A través de muchos años de observación e investigación sobre los virus, hemos descubierto que algunos comportamientos son similares a los de los virus y son bastante especiales. En la programación normal, estos comportamientos son relativamente raros. Cuando el programa se está ejecutando, se monitorea su comportamiento y, si se descubre el comportamiento del virus, se emite una alarma inmediatamente.
Las características de comportamiento de estos virus monitoreados son las siguientes:
A. Ocupa INT 13H
Todos los virus de arranque atacan el sector de arranque o los sectores de arranque principales. Cuando se inicia el sistema, cuando el sector de inicio o el sector de inicio maestro obtienen derechos de ejecución, el sistema acaba de iniciarse. Generalmente, los virus de arranque ocuparán la función INT 13H porque otras funciones del sistema no están configuradas y no se pueden utilizar. Los virus de arranque ocupan la función INT 13H, donde colocan el código necesario para el virus.
B. Cambie la cantidad total de memoria en el sistema DOS al área de datos
Después de que el virus reside en la memoria, para evitar que el sistema DOS lo sobrescriba, el Se debe modificar la cantidad total de memoria del sistema.
C. Escribir en archivos COM y EXE
Para ser infectado por un virus, debes escribir en archivos COM y EXE.
D. Cambiar entre programa de virus y programa host
Cuando el programa infectado por el virus se está ejecutando, primero se ejecuta el virus y luego se ejecuta el programa host. Hay muchos comportamientos característicos al cambiar entre los dos.
Ventajas del método de seguimiento del comportamiento: puede detectar virus desconocidos y predecir la mayoría de los virus desconocidos con bastante precisión.
Desventajas del método de seguimiento del comportamiento: pueden producirse falsas alarmas, no se pueden identificar los nombres de los virus y la implementación es difícil.
Método de simulación de software
Los virus polimórficos cambian sus contraseñas de virus cada vez que se infectan. Para combatir este tipo de virus, el método del código de firma es ineficaz. Debido a que los códigos de virus polimórficos están cifrados y las claves utilizadas son diferentes cada vez, al comparar los códigos de virus infectados entre sí no se puede encontrar el mismo código estable que pueda usarse como característica. Aunque los métodos de detección conductual pueden detectar virus polimórficos, una vez detectado el virus, es difícil realizar la desinfección porque se desconoce el tipo de virus.
Estrategias de Prevención y Control de Virus Informáticos
La prevención y control de los virus informáticos debe realizarse desde los tres aspectos de antivirus, detección de virus y desintoxicación; y las capacidades de control y los efectos de los virus informáticos del sistema también deben basarse en el antivirus. El juicio se basa en tres aspectos: capacidad de detección de drogas y capacidad de desintoxicación.
"Antivirus" se refiere a tomar las medidas de seguridad correspondientes del sistema basadas en las características del sistema para evitar que los virus invadan la computadora. "Comprobación de virus" se refiere a poder informar con precisión el nombre del virus en un entorno determinado, incluida la memoria, los archivos, el área de inicio (incluida el área principal), la red, etc. "Desintoxicación" se refiere a la modificación de objetos infectados según diferentes tipos de virus y la recuperación en función de las características de infección del virus. El proceso de recuperación no puede destruir contenido que no haya sido modificado por el virus. Los objetos de infección incluyen: memoria, área de inicio (incluida el área de inicio principal), archivos ejecutables, archivos de documentos, red, etc.
Las capacidades antivirus se refieren a la capacidad de evitar que los virus invadan los sistemas informáticos. Al tomar medidas antivirus, debería ser posible monitorear y advertir con precisión y en tiempo real contra descargas de archivos a través de CD, disquetes, entre diferentes directorios en discos duros, LAN, Internet (incluido FTP, CORREO ELECTRÓNICO, HTTP) u otras formas de transmisión de archivos; puede enviar una alarma cuando un virus invade el sistema, registrar los archivos que contienen el virus y eliminarlo inmediatamente de la red; puede enviar información sobre la invasión del virus al administrador de la red; , registre la estación de trabajo donde invadió el virus y, cuando sea necesario, también debe poder cerrar sesión en la estación de trabajo y aislar la fuente del virus.
La capacidad de detección de virus se refiere a la capacidad de descubrir y rastrear el origen de los virus. Mediante la verificación de virus, debería ser posible descubrir con precisión si el sistema informático está infectado con virus, encontrar con precisión la fuente del virus y proporcionar informes estadísticos; la capacidad de detectar virus debe juzgarse por la tasa de detección de virus y la tasa de falsas alarmas; .
La capacidad de desintoxicación se refiere a la capacidad de eliminar virus de objetos infectados y restaurar la información original antes de ser infectado por el virus; la capacidad de desintoxicación debe juzgarse por la tasa de desintoxicación.