1.开始免杀的步骤:
目标反病毒软件强度如何?
目标反病毒软件有何弱点?
目标反病毒软件使用了什么独特的反病毒技术?
要怎样才能突破它?
待处理的恶意程序是用什么语言写的?
待处理的恶意程序的二进制代码是否已经被混淆或者加密过了?
待处理的恶意程序的使用人群是否广泛?
2. intel的特权级别有四层
Ring0:底层,内核层,也是操作系统的底层,只供操作系统使用
Ring3:高级层,也就是用户层,谁都可以用
3.反病毒软件的工作原理
3.1反病毒软件一般由扫描器、病毒库、虚拟机组成,并有主程序将他们整合为一体。(此结构是抽象出来的)
3.2扫描器用于查杀病毒,是反病毒软件的核心。扫描器的技术和算法是否先进决定了一个反病毒软件的效果好坏。反病毒软件不同的功能对应着不同的扫描器,大多数反病毒软件都是由多个扫描器组成的。
3.3病毒库中存储着病毒所具有的独一无二的特征字符,即“特征码”。其存储形式取决于扫描器采用哪种扫描技术。eg. exe文件、rmvb文件、jpg文件、txt文件。都有可能被查杀。
3.4虚拟机可以让病毒在一个由反病毒软件构建的虚拟环境中执行,与现实的CPU、硬盘等物理设备隔离。
4.基于文件的反病毒扫描技术
4.1第一代扫描技术
在文件中检索病毒特征序列。主要分为字符串扫描技术和通配符扫描技术。
4.2第二代扫描技术
近似精确识别法、精确识别法、智能扫描法、骨架扫描法。
4.3算法扫描。
5.基于内存的文件扫描方法
内存扫描器一般与实时监控扫描器协作。
反病毒软件的文件扫描组件能识别的病毒,内存扫描器也能识别。就算对一个文件木马免杀成功,如果不对其内存进行免杀,大多数在运行中的木马文件仍然会被反病毒软件杀掉。
6.基于行为检测的反病毒技术
原理:主要针对病毒木马的行为进行分析对比,如果某些程序在执行后会进行一些非正规的、可疑的操作,即便这是一个新生的病毒,也会被拥有这种技术的反病毒产品拦截。
一个典型的木马程序:
①释放一些文件到系统关键目录中。
②修改系统设置使这些新释放的文件可以自启动。
③删除自身。
7.基于新兴技术的反病毒技术
7.1 云查杀
基本思路:以服务器为脑,以所有用户的机器为触角,从而使得服务器可以随时知道每个用户的情况,如果其中某一个用户与其他用户对比发生了异常,那么服务器就会发出指令,让发生异常的机器检查出问题所在,并将问题反馈给服务器,从而在这个问题干扰其他用户之前将其扼杀掉。
7.2双引擎/多引擎查杀
同时运用两个反病毒引擎查杀病毒,其扫描的准确度会比单一反病毒引擎有所提高。