杀毒软件
杀毒软件 |
中文名: 杀毒软件 外文名: anti-virus software 别 名: 反病毒软件 作 用: 消除电脑病毒、特洛伊木马和恶意软件等计算机威胁 |
杀毒软件,也称反病毒软件或防毒软件,是用于消除电脑病毒、特洛伊木马和恶意软件等计算机威胁的一类软件。
杀毒软件通常集成监控识别、病毒扫描和清除、自动升级、主动防御等功能,有的杀毒软件还带有数据恢复、防范黑客入侵、网络流量控制等功能,是计算机防御系统(包含杀毒软件,防火墙,特洛伊木马和恶意软件的查杀程序,入侵预防系统等)的重要组成部分。
杀毒软件是一种可以对病毒、木马等一切已知的对计算机有危害的程序代码进行清除的程序工具。“杀毒软件”由国内的老一辈反病毒软件厂商起的名字,后来由于和世界反病毒业接轨统称为“反病毒软件”、“安全防护软件”或“安全软件”。集成防火墙的“互联网安全套装”、“全功能安全套装”等用于消除电脑病毒、特洛伊木马和恶意软件的一类软件,都属于杀毒软件范畴。[1]
目录
软件原理
反病毒软件的任务是实时监控和扫描磁盘。部分反病毒软件通过在系统添加驱动程序的方式,进驻系统,并且随操作系统启动。大部分的杀毒软件还具有防火墙功能。反病毒软件的实时监控方式因软件而异。有的反病毒软件,是通过在内存里划分一部分空间,将电脑里流过内存的数据与反病毒软件自身所带的病毒库(包含病毒定义)的特征码相比较,以判断是否为病毒。另一些反病毒软件则在所划分到的内存空间里面,虚拟执行系统或用户提交的程序,根据其行为或结果作出判断。
而扫描磁盘的方式,则和上面提到的实时监控的第一种工作方式一样,只是在这里,反病毒软件将会将磁盘上所有的文件(或者用户自定义的扫描范围内的文件)做一次检查。
对于杀毒软件的实时监控,其工作方式因软件而异:
有的杀毒软件在内存里划分一部分空间,将计算机中流过内存的数据与杀毒软件自身所带的病毒库(包含病毒定义)的特征码相比较,以判断是否为病毒。
有的杀毒软件在所划分到的内存空间里,虚拟执行系统或用户提交的程序,根据其行为或结果作出判断。
而扫描磁盘的方式,则和上面提到的实时监控的第一种工作方式一样,只是扫描磁盘时,杀毒软件将会将磁盘上所有的文件(或者用户自定义的扫描范围内的文件)做一次检查。
脱壳技术是一种十分常用的技术,可以对压缩文件、加壳文件、加花文件、封装类文件进行分析的技术。
自我保护技术
自我保护技术基本在各个杀毒软件均含有,可以防止病毒结束杀毒软件进程或篡改杀毒软件文件。进程的自我保护有两种:单进程自我保护,多进程自我保护。
修复技术
对被病毒损坏的文件进行修复的技术,如病毒破坏了系统文件,杀毒软件可以修复或下载对应文件进行修复。没有这种技术的杀毒软件往往删除被感染的系统文件后计算机崩溃,无法启动。
实时升级技术
最早由金山毒霸提出,每一次连接互联网,反病毒软件都自动连接升级服务器查询升级信息,如需要则进行升级。但是有更先进的云查杀技术,实时访问云数据中心进行判断,用户无需频繁升级病毒库即可防御最新病毒。用户不应被厂商所说的每天实时更新病毒库的大肆宣传而选择。
主动防御技术
主动防御技术是通过动态仿真反病毒专家系统对各种程序动作的自动监视,自动分析程序动作之间的逻辑关系,综合应用病毒识别规则知识,实现自动判定病毒,达到主动防御的目的。
启发技术
常规所使用的杀毒方法是出现新病毒后由杀毒软件公司的反病毒专家从病毒样本中提取病毒特征,通过定期升级的形式下发到各用户电脑里达到查杀效果,但是这种方法费时费力。于是有了启发技术,在原有的特征值识别技术基础上,根据反病毒样本分析专家总结的分析可疑程序样本经验(移植入反病毒程序),在没有符合特征值比对时,根据反编译后程序代码所调用的win32API函数情况(特征组合、出现频率等)判断程序的具体目的是否为病毒、恶意软件,符合判断条件即报警提示用户发现可疑程序,达到防御未知病毒、恶意软件的目的。解决了单一通过特征值比对存在的缺陷。
智能技术
采用人工智能算法,具备“自学习、自进化”能力,无需频繁升级特征库,就能免疫大部分的变种病毒,查杀效果优良,而且一定程度上解决了“不升级病毒库就杀不了新病毒”的技术难题。
改进方面
反病毒软件有待改进的方面有:更加智能识别未知病毒,从而更好的发现未知病毒;
发现病毒后能够快速、彻底清除病毒;
增强自我保护功能,即使大部分反病毒软件都有自我保护功能,不过依然有病毒能够屏蔽它们的进程,致使其瘫痪而无法保护电脑。
更低的系统资源占用,很多杀毒软件都需要大量的系统资源如内存资源、CPU资源,虽然保证了系统的安全,但是却降低了系统速度。
数据保护
杀毒技术在不断的进步,但是众多杀毒软件只能杀死病毒,杀死木马,并且在病毒查杀过程中存在着文件误杀,数据破坏的问题。如何实现系统杀毒与数据保护并存是现有杀毒技术需要改进的方面之一。有些产品通过桌面虚拟化技术实现了上述目标,具体思路是:安装该产品后会生成现有主机操作系统的全新虚拟镜像,该镜像具有真实操作系统完全一致的功能。桌面虚拟化技术具有独立分挡操作系统压力,通过该技术可以实现运行过程中垃圾文件为零的目标,同时生成的虚拟环境与主机操作系统完全隔离,这种隔离的效果很好的实现了,保护主机不被病毒感染,减少了系统被破坏的概率,因此我们只需要在主机安装好杀毒软件,并且安装好这类产品就可以实现系统杀毒与数据保护并存。
软件常识
1.杀毒软件不可能查杀所有病毒;
2.杀毒软件能查到的病毒,不一定能杀掉;
3.一台电脑每个操作系统下不必同时安装两套或两套以上的杀毒软件(除非有兼容或绿色版,其实很多杀软兼容性很好,国产杀软几乎不用担心兼容性问题),另外建议查看不兼容的程序列表:
4.杀毒软件对被感染的文件杀毒有多种方式:1清除,2删除,3禁止访问,4隔离,5不处理
清除:清除被蠕虫感染的文件,清除后文件恢复正常。相当于如果人生病,清除是给这个人治病,删除是人生病后直接杀死。
删除:删除病毒文件。这类文件不是被感染的文件,本身就含毒,无法清除,可以删除。
禁止访问:禁止访问病毒文件。在发现病毒后用户如选择不处理则杀毒软件可能将病毒禁止访问。用户打开时会弹出错误对话框,内容是“该文件不是有效的Win32文件”。
隔离:病毒删除后转移到隔离区。用户可以从隔离区找回删除的文件。隔离区的文件不能运行。
不处理:不处理该病毒。如果用户暂时不知道是不是病毒可以暂时先不处理。
大部分杀毒软件是滞后于计算机病毒的。所以,除了及时更新升级软件版本和定期扫描的同时,还要注意充实自己的计算机安全以及网络安全知识,做到不随意打开陌生的文件或者不安全的网页,不浏览不健康的站点,注意更新自己的隐私密码,配套使用安全助手与个人防火墙等等。这样才能更好地维护好自己的电脑以及网络安全!
云安全
“云安全(Cloud Security)”计划是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
未来杀毒软件将无法有效地处理日益增多的恶意程序。来自互联网的主要威胁正在由电脑病毒转向恶意程序及木马,在这样的情况下,采用的特征库判别法显然已经过时。云安全技术应用后,识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库,而是依靠庞大的网络服务,实时进行采集、分析以及处理。整个互联网就是一个巨大的“杀毒软件”,参与者越多,每个参与者就越安全,整个互联网就会更安全。
云安全的概念提出后,曾引起了广泛的争议,许多人认为它是伪命题。但事实胜于雄辩,云安全的发展像一阵风,很多大型公司都推出了云安全解决方案。