wengyang 发表于 2009-6-2 23:34:11

认识与使用杀毒软件

般来说,大家查杀木马的手段主要是通过杀毒软件来进行查杀的。选择好的杀毒软件基本就做到了防护木马的第一步。

杀毒软件的查杀方式一般分为,启发式杀毒,特征码匹配杀毒,行为杀毒。以及最新的主动防御技术和木马云查杀技术。其中特征码匹配杀毒又分为文件特征码查杀,和内存特征码查杀。

杀毒软件的组成很复杂,简单来说他是由杀毒引擎,虚拟机,和病毒代码特征库来组成的。理论上来说,杀毒引擎的好坏直接关系到杀毒软件查杀病毒的能力,在杀毒软件的引擎开发上,欧美和俄罗斯一直保持在世界前列。

启发式杀毒是将可执行程序装载到杀毒软件的虚拟机中,逐步执行。如果这个可执行程序调用了一些敏感函数,比如说用来截取密码的SendMessage()。就判断此可执行程序为木马病毒,从而进行删除和隔离。启发式杀毒的杀软代表做就是:NOD32。

特征码匹配杀毒,首先当杀毒软件的工程师截取到病毒的样本后,会对病毒进行逆向分析,从病毒的运行文件中抽取病毒文件的特征代码。然后加入到病毒库中去,这样杀毒软件在查杀病毒的过程中就会对文件进行校对。发现符合特征码的文件则判定为病毒。这里特别有代表的就是卡巴斯基。内存特征码就是根据木马在运行中,从其所占用的内存里抽取特征代码来进行查杀。其最偶代表性的就是瑞星。
行为杀毒 这个就简单说下,就是根据木马的运行特征来进行判断,比如说一般的木马会有弹窗啊,记录密码啊,开放端口等各种行为,一般具有这些行为的程序则判定为木马。其代表为绿盟的“绿鹰万用精灵”但是随着软件的发展,很多广告或者是正常软件的插件都具备以上的特征,所以逐渐淘汰掉了,现在已不多见。
主动防御 主动防御是杀毒软件通过检测一些API函数,如果有些程序调用了这些API函数,这些函数一般是只有木马才会经常使用到的。就判定此程序为木马病毒,进行删除和查杀。其代表为“东方微点”。
木马云查杀 木马云查杀是将每个安装杀毒软件的计算机做为木马的监控平台,进行查杀的时候会对系统核心的DLL和常用文件进行检测。如果发现有改边,在不知道具体为何种病毒的情况下,由杀毒软件自身上报到杀毒软件的技术团队,进行分析,然后来决定是否删除此文件,简单来说,就是用撒网捕鱼的策略来快的速度发现正在传播中的木马,从而进行查杀。其代表为“360安全卫士”
说了这么多,那么如何在自己的计算机设置防线来拦截木马呢?这里传授一个小窍门,叫多款杀软共用,一起拦截木马。要查杀最多种类的木马,就一定选病毒库全的,先选上卡巴斯基。下来该要查杀未知病毒的,那就选NOD32吧。监控要好,最起码要能监控注册表和系统服务的,另外木马云查杀也确实不错,我们就选上360吧。好了,现在搭配下来,我需要在自己的系统上安装
360+NOD32+卡巴斯基。会死机不?要全按软件设置装下来,当然会死机,下来说下步骤。
第一步 3中杀毒软件的安装包都准备好。 (废话)
第二步 安装卡巴斯基 一步步确省安装下来。
第三步 安装卡巴斯基要求重起后,做如下修改
<1>关闭卡巴斯基的所有监控。(文件,网页,反钓鱼)
<2>关闭主动防御
<3>关闭自动更新
<4>关闭开机自启动 (MSCONFIG)
第四步 安装NOD32
第五步 安装NOD32要求重起后,做如下修改
<1>关闭NOD32的所有监控。(文件,网页,反钓鱼)
<2>关闭主动防御
<3>关闭自动更新
<4>关闭开机自启动 (MSCONFIG)
第六步 安装360安全卫士(别忘了保险箱)
第七步 开启360的所有监控 (ARP防护可选,看自己是不是在局域网内了)
使用说明 一般在下载软件或者电影或者其他什么的时候,请在下载完毕后用卡巴和NOD32查杀,(自己要手动更新的,不更新病毒库的杀软是垃圾)。最后在运行完后,请用360做次云查杀。小心驶得万年船,这话绝对没错
页: [1]
查看完整版本: 认识与使用杀毒软件