主流的木马检测技术有哪些
主流的木马检测技术有以下这些:
特征码检测技术:特征码技术是反病毒反木马领域最早使用的技术,也是目前公认的最成熟、最有效的恶意代码检测技术。即便现在动态检测技术发展得如此迅速,也没有撼动特征码检测技术的地位。特征码技术准确性高、误报率低、检测速度快的优点是其他检测技术无法比拟的,因此一直被杀毒软件广泛使用并且沿用至今。特征码检测技术主要包括基于特征码的静态扫描、广谱特征码扫描和内存特征码比对技术3类。
基于文件静态特征的检测技术:木马程序的本质是可执行文件。通常Windows操作系统中的EXE和32位的DLL文件都采用的是PE(Portable Executable)格式。由于PE文件具有规范的结构,因此可以利用数据挖掘等信息处理技术分析木马文件与正常的可执行文件的静态特征,研究两者的区别,找出木马文件不同于正常文件的特征,用于木马的检测。目前,基于此思想的木马检测方法主要有PE文件API分析法和静态特征法。
文件完整性检测技术:由于木马感染计算机后通常会修改某些系统文件,因此可以通过检查系统文件的完整性判断木马是否存在。文件完整性检测技术又称校验和检测技术,其基本原理是在系统正常的情况下对所有的系统文件做校验,得到每个系统文件的校验和,并保存到数据库中。在后续检测时,首先计算当前状态下系统文件的校验和,然后与数据库中保存的完整的校验和做比较,如果出现某个系统文件的两个校验和不一致,则认为此文件的完整性被破坏,即此文件被修改过,则当前计算机有可能感染了木马。
虚拟机检测技术:虚拟机检测技术的原理和VMWare有些类似,都是一种模仿操作系统环境的虚拟环境。虚拟机技术用于木马检测的方法是诱使木马把虚拟机当作真正的主机环境,开始安装、运行以及破坏操作,这样木马就把运行的流程以及行为特征都暴露在分析人员的眼前,这样病毒分析人员就可以根据这些信息判断是否为木马并制定反木马的策略。
行为分析技术:行为分析(Behavior Analysis)技术是一种基于程序行为的动态分析技术,主要用于未知木马的检测,在一定程度上解决了信息安全领域防御落后于攻击的难题,是主动防御技术的一种实现方法。行为分析是根据可疑程序运行过程中所体现的一系列行为来判断此程序是否为木马。这些行为包括对文件、注册表的操作以及网络通信的动作等。因此首先要动态监控并获取运行程序的行为,然后分析行为之间的逻辑关系,并运用一定的算法计算出此程序的可疑度,从而决定是否把该程序判定为木马。
入侵检测技术:入侵检测是用于检测损害或企图损害系统的机密性、完整性或可用性等行为的一类安全技术。此类技术通过在受保护网络或系统中部署检测设备来监视受保护网络或系统的状态与活动,根据所采集的数据,采用相应的检测方法发现非授权或恶意的系统及网络行为,并为防范入侵行为提供技术支持方法。
云安全技术:根据互联网发展的趋势可以预测不久的将来杀毒软件可能无法有效地处理日益增多的恶意程序。来自互联网的主要威胁正在由电脑病毒转向恶意程序及木马,在这样的情况下,仅仅采用传统的特征库判别法显然已经过时。云安全技术应用后,识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库,而是依靠庞大的网络服务,实时进行采集、分析以及处理。