免殺是指:對病毒的處理,使之躲過殺毒軟件查殺的一種技術。 通常病毒剛從病毒作者手中傳播出去前,本身就是免殺的,甚至可以說“病毒比殺毒軟件還新,所以殺毒軟件根本無法識別它是病毒”,但由於傳播後部分用戶中毒向殺毒軟件公司舉報的原因,就會引起安全公司的注意並將之特徵碼收錄到自己的病毒庫當中,病毒就會被殺毒軟件所識別。 [30] 病毒作者可以通過對病毒進行再次保護如使用彙編加花指令或者給文檔加殼就可以輕易躲過殺毒軟件的病毒特徵碼庫而免於被殺毒軟件查殺。 美國的Norton Antivirus 、 McAfee 、 PC-cillin ,俄羅斯的Kaspersky Anti-Virus ,斯洛伐克的NOD32等產品在國際上口碑較好,但殺毒、查殼能力都有限,目前病毒庫總數量也都僅在數十萬個左右。 自我更新性是近年來病毒的又一新特徵。 病毒可以藉助於網絡進行變種更新,得到最新的免殺版本的病毒並繼續在用戶感染的計算機上運行,比如熊貓燒香病毒的作者就創建了“病毒升級服務器 ”,在最勤時一天要對病毒升級8次,比有些殺毒軟件病毒庫的更新速度還快,所以就造成了殺毒軟件無法識別病毒。 除了自身免殺自我更新之外,很多病毒還具有了對抗它的“天敵”殺毒軟件和防火牆產品反病毒軟件的全新特徵,只要病毒運行後,病毒會自動破壞中毒者計算機上安裝的殺毒軟件和防火牆產品,如病毒自身驅動級Rootkit保護強制檢測並退出殺毒軟件進程,可以過主流殺毒軟件“主動防禦”和穿透軟、 硬件還原的機器狗 ,自動修改系統時間導致一些殺毒軟件廠商的正版認證作廢以致殺毒軟件作廢,從而病毒生存能力更加強大。 免殺技術的氾濫使得同一種原型病毒理論上可以派生出近乎無窮無盡的變種,給依賴於特徵碼技術檢測的殺毒軟件帶來很大困擾。 近年來,國際反病毒行業普遍開展了各種前瞻性技術研究,試圖扭轉過分依賴特徵碼所產生的不利局面。 目前比較有代表性產品的是基於server4.htm' style='text-decoration:none;' >虛擬機技術的啟發式掃描軟件,代錶廠商NOD32,Dr.Web,和基於行為分析技術的主動防禦軟件,代錶廠商中國的微點主動防禦軟件等。

創作者介紹

qiqichoi的部落格

qiqichoi 發表在 痞客邦 PIXNET 留言(0) 人氣()