20155206《網絡攻防》第三次實驗_免殺及其原理

時間 2019-12-14

原文原文鏈接

20155206《網絡攻防》第三次實驗_免殺及其原理

惡意代碼的免殺

、首先明確一點，惡意代碼是如何被殺的，只有知道了如何查殺病毒才能夠去談如何避免咱們作的病毒不被查殺，如今咱們大衆接觸到的殺毒軟件國內國外有不少種，其實他們根本的方法都是同樣的，只是各家對於如今留存於世的惡意代碼的研究深度不一樣，並且對於不一樣環境下的可疑文件分析方式也是不一樣，因此纔有目前咱們見到的各類各樣的殺毒軟件。java

查殺方式

、基於特徵碼的檢測方式，所謂的特徵碼就是你們在研究惡意代碼的時候，發現不少的惡意代碼，他們的底層文件信息，也就是機器語言，上都有一些字段是相同的，由於如今的人們的系統中，不少的端口規範化使用，並且防火牆禁止了許多開放端口服務，不少的惡意代碼混進來都是靠着一些一直開放的端口服務，並且惡意代碼的功能老是大同小異，因此老是有一些類似的底層代碼，也就是咱們所說的特徵碼，經過掃描可疑文件的底層代碼進行惡意代碼的識別和查殺就是咱們所說的基於特徵碼的查殺了。並且後來你們發現有些惡意代碼可能傳播具備地區侷限性，或是先出來跳了幾天，風頭緊就躲了起來，爲了防止這些惡意代碼，殺軟的工做人員創建了一個名叫病毒庫的強大後臺，省的每次都要那麼的麻煩的進行掃描分析。這樣一來，對於被檢測出來的惡意代碼的查殺便得就像是打卡上班同樣的輕鬆。shell

、啓發式的惡意代碼查殺，這樣查殺我感受就是當年你們剛剛設計出互聯網時，只是單單對於通訊傳輸方面進行了完善的設計，忘記了確定有人就是搞事情這樣的萬年不變的定律，而後被一干惡意代碼搞了好幾波以後，對於惡意代碼是深惡痛絕，只要你敢和惡意軟件長得幾分類似，我就要收拾你丫的，啓發式查殺就是給我一種這樣的感受，經過對於軟件和現有病毒庫中的各個樣本們進行比對，要是類似程度大於一個殺軟設計者給定值後，就把這個軟件查殺了，可是原本不少惡意軟件就是基於不少軟件進行的代碼重構或是暗地捆綁，這樣作的話讓一些原本只是老老實實的軟件也跟着遭了秧，這是殺軟行業中的「寧肯錯殺三千，不能放過一個惡意代碼」政策。編程

、基於軟件行爲的查殺，其實吧，這種方式就像是，一個敵方的間諜混入到了咱們廣大人民羣衆中去了，可是吧，這個間諜並無天天干着各類壞事，也像是咱們普通人同樣，天天該幹啥幹啥，可是吧，間諜老是間諜，老是要體現如下職業道德的，可是隻要他幹了壞事，咱們就立馬抓住他，而後處理他。基於行爲的查殺也是同樣，由於惡意代碼要乾的事情，其實就是那麼幾個，要不透露個我的信息，悄咪咪發出去；或是給賊人開個後門，讓賊人進入咱們自家地方，可是咱們的殺軟可謂是把控着進出的每一個通道，只要有人敢這樣作，殺軟就二話不說查殺了就是了。這樣的查殺方式，就顯得非常全面了，有些新型的惡意代碼沒有在病毒庫中備案，也沒有和哪一個惡意代碼長得有幾分相像，可是隻要是幹了壞事，那就是咱們的敵人，堅定幹掉不留情面。windows