ESET NOD32杀毒软件最新防护技术介绍

  • 来源: 天极网 作者: xuqingzhong   2008-06-20/16:48
  •       我们常常会听到“某某杀毒软件品牌比其它品牌优越”、“某某品牌屡获权威测试机构的最高评价”之类的宣传,但说到杀毒软件品牌之间有何差异,却未必人人说得出来。事实上,优秀的杀毒软件究竟采用了怎样的压倒性技术,让它在各种测试中脱颖而出?这些技术又有何革命性的意义,更全面地保护我们的计算机安全呢?在这篇文章中,我们将会深入剖析 ESET NOD32 已获得专利的 ThreatSense引擎与崭新的 ThreatSense.Net 系统。

    ESET NOD32高效能的综合性防护架构简介

    不少使用过 ESET NOD32 的用户,都会惊讶它体积轻巧与速度惊人,其中一个成功之处在于ESET NOD32 采用综合性防护架构 (Integrated Protection)。ESET NOD32 采用ThreatSense引擎处理病毒、蠕虫、广告软件、木马、间谍软件、网络钓鱼等各类恶意程序,大大简化了工序并提高了执行效能。

    图1

    图1

    某些杀毒软件采用多套独立的软件处理不同的恶意程序,整套软件高达数百 MB 之巨,这样不仅加重了系统负担,复杂的架构也造成管理困难,甚至在重叠的防护机制里造成安全漏洞。相比之下, Virus Bulletin 的测试指出,ESET NOD32 的综合性防护架构的扫毒速度往往比其它杀毒软件快 2 至 5 倍,表现非常出众。

    ESET NOD32采用的ThreatSense引擎介绍

    1.基因码检测技术

    直到现在,几乎所有的杀毒软件主要还是通过病毒数据库里的病毒特征数据,与被扫描的文件加以对照,从而把符合条件的真正的病毒区分出来。由于几乎每天都有新病毒或变种出现,各杀毒软件厂商也只有不断进行特征更新 (Signature Update) 与扩充自己的病毒数据库,才能确保尽快把最新的病毒特征数据收录其中。

    这种处理方法看似简单有效,但网络世界里出现过的病毒高达7万多种,即使是仍活跃的病毒种类也达到数千种以上;若病毒数据库要一口气全部收录,数据库体积必然非常庞大,就是在扫描系统时进行逐个数据对照,过程也极为费时。因此,像ESET NOD32 等先进的杀毒软件,已逐渐改变这种特征检测 (Signature-based Detection) 的查毒方式,进而采用较新型的基因码 (Generic Signature) 检测技术。采用基因码技术后,病毒特征和病毒库的大小都得到了简化。

    病毒特征化繁为简

    所谓基因码,就是指同一病毒族群中的不同变种,多半含有相同的病毒特征。不少病毒最初是以单一品种出现,后经由其它病毒作者修改或自行演化,最后变成数十种以上的病毒变种。若以传统特征检测方式处理,病毒数据库便要为每一种病毒变种制作一份独立的特征数据;而较新的基因码检测技术,则会从各变种中找出共同之处,包括一些非连续的程序代码,以此找出同一类型病毒的普遍特征。

    缩小病毒数据库的体积

    这样,在进行系统扫描时,由于采用较少的特征数据就能检测庞大的病毒种类,因此进行特征对照时便能大大缩短时间。同时,对于由同一种源头变化出来的新变种,只要吻合该族群的普遍特征条件,即使未更新病毒数据库亦很有可能成功进行识别。因此,ESET NOD32 更新病毒数据库所用的时间极短,每次更新不过下载 20KB 至 50KB 不等,绝不会加重网络与硬盘的负担。

    2.虚拟机技术

    针对变形病毒、未知病毒等复杂的病毒情况,极少数防病毒软件采用了虚拟机技术,达到了对未知病毒良好的查杀效果。它实际上是一种可控的,由软件模拟出来的程序虚拟运行环境。在这一环境中虚拟执行的程序。虽然病毒通过各种方式来躲避防病毒软件,但是当它运行在虚拟机中时,它并不知道自己的一切行为都在被虚拟机所监控,所以当它在虚拟机中脱去伪装进行传染时,就会被虚拟机所发现,如此一来,利用虚拟机技术就可以发现大部分的变形病毒和大量的未知病毒。

    3.代码分析技术

    为了对付病毒的不断变化和对未知病毒的研究,代码分析扫描方式出现了。代码分析扫描是通过分析指令出现的顺序,或特定组合情况等常见病毒的标准特征来决定文件是否感染未知病毒。因为病毒要达到感染和破坏的目的,通常的行为都会有一定的特征,例如读写敏感文件,自我删除、自我复制,获取操作系统底层权限等等。所以可以根据扫描特定的行为或多种行为的组合来判断一个程序是否是病毒。

    ESET NOD32拥有崭新的ThreatSense.Net预警系统

    图2

    图2

    为了强化 ThreatSense 引擎的准确性与效率,ESET NOD32 在最新的版本里加入了崭新的ThreatSense.Net 预警系统。该系统可说是把 ThreatSense的优秀病毒分析能力,由个人计算机范围拓展至全球性的规模处理;每当客户端的 ESET NOD32 遇到疑似病毒的文件时,便可自动或手动地将该文件压缩加密,并经由电邮寄送到 sample@eset.com ,快速地交由 ESET 总部的专家进行分析研究;一旦确定为病毒,ESET便迅速进行后续的处理。#p#分页标题#e#

    小结

    互联网的普及,让新病毒能在极短时间内迅速传播至世界上的每一个角落;恶意程序的作者们在编写新的病毒、蠕虫与间碟软件时,也致力于如何绕过杀毒软件的法眼,包括利用各种加壳与加花技术来伪装,好让自己的“大作”能侵入系统大肆破坏。很多杀毒软件厂商为了更迅速应对危机,无不强调其病毒数据库更新之快;但无论行动有多么迅速,在病毒首次出现与用户成功更新数据库之间,还是存在一段时间差,这段时间差可由数分钟到长达数天不等。而ESET NOD32采用了基因码 (Generic Signature) 检测,虚拟机,代码分析等业界领先的启发式技术,即使病毒是由已知病毒变种而来的新病毒,病毒库内并无与之相关的特征数据,ESET NOD32还是能够将此新病毒识别与清除,让这些新病毒没有藏身之地。

    例如,在 2005 年 9 月出现的 Win32/Bagle.DC 与 Win32/Bagle.DD 蠕虫病毒,特性是通过电子邮件方式感染,当时以每小时 2000 封电邮的速度向外传播;它在设计上故意避开了依靠特征检测的系统,使绝大部分依靠特征更新的杀毒软件无法作出实时响应。而 ESET NOD32 的 ThreatSense引擎则迅速发现该病毒的入侵,显示了主动式与实时防护的重要性。事实上,在国际权威的主动式防护测试里,ThreatSense引擎均能成功拦截超过 9 成以上的零日攻击蠕虫与病毒 (Zero-day worms and virus),表现卓越!


    评论 {{userinfo.comments}}

    {{money}}

    {{question.question}}

    A {{question.A}}
    B {{question.B}}
    C {{question.C}}
    D {{question.D}}
    提交

    驱动号 更多