恶意代码防治技术主要包括什么
恶意代码防治技术主要包括:
基于特征的扫描技术:这源于模式匹配的思想。扫描程序工作之前,必须先建立恶意代码的特征文件,根据特征文件中的特征串,在扫描文件中进行匹配查找。用户通过更新特征文件更新执行扫描的恶意代码防治软件,查找最新版本的恶意代码。
恶意代码分析技术:可以分为静态分析方法和动态分析方法。其中,静态分析方法有反恶意代码软件的检查、字符串分析、脚本分析、静态反汇编分析和反编译分析;动态分析包括文件检测、进程检测、注册表检测、网络活动检测和动态反汇编分析等。静态分析和动态分析是互补的,对恶意代码分析先执行静态分析后再进行动态分析比单独执行任一种更为有效。
基于沙箱的防治技术:是指根据系统中每一个可执行程序的访问资源,以及系统赋予的权限建立应用程序的沙箱,从而限制恶意代码的运行。每个应用程序都运行在自己的且受保护的“沙箱”中,不能影响其他程序的运行。虚拟机就可以看成一种“沙箱”.
误用检测技术:误用检测也被称为基于特征字的检测。他是目前检测恶意代码最常用的技术,主要源于模式匹配的思想。误用检测的实现过程为根据已知恶意代码的特征关键字建立一个恶意代码特征库;对计算机程序代码进行扫描;与特征库中的已知恶意代码关键字进行匹配比较,从而判断被扫描程序是否感染恶意代码。
权限控制技术:恶意代码要实现入侵、传播和破坏等必须具备足够权限。首先,恶意代码只有被运行才能实现其恶意目的,所以恶意代码进入系统后必须具有运行权限。其次,被运行的恶意代码如果要修改、破坏其他文件,则他必须具有对该文件的写权限,否则会被系统禁止。另外,如果恶意代码要窃取其他文件信息,他也必须具有对该文件的读权限.
校验技术:主要使用Hash和循环冗余码等检查文件的完整性。未有恶意代码的系统首先会生成检测数据,然后周期性地使用校验和法检测文件的改变情况。校验和法可以检测未知恶意代码对文件的修改。
完整性技术:恶意代码感染、破坏其他目标系统的过程,也是破坏这些目标完整性的过程。完整性技术就是通过保证系统资源,特别是系统中重要资源的完整性不受破坏,来阻止恶意代码对系统资源的感染和破坏。