反病毒三大技术

时间：2022年12月11日

来源：sunxiwu

编辑：本站小编

以下是小编为大家收集的反病毒三大技术，本文共6篇，希望对大家有所帮助。本文原稿由网友“sunxiwu”提供。

篇1：反病毒三大技术

关于病毒，经历过计算机病毒多次侵害的人们，想必已经非常熟悉了，人们也使用了许多种反病毒软件，但仍经常受到病毒的攻击，大家都没弄太清楚，到底怎么做，才能保证计算机每分每秒的安全。经历过CIH、“美丽莎”病毒的洗礼，人们已知道了“查杀病毒不可能一劳永逸”的道理，已经明白维护计算机的安全是一项漫长的过程。

目前成熟的反病毒技术已经完全可以做到对所有的已知病毒彻底预防、彻底杀除，主要涉及以下三大技术：

实时监视技术

这个技术为计算机构筑起一道动态、实时的反病毒防线，通过修改操作系统，使操作系统本身具备反病毒功能，拒病毒于计算机系统之门外。时刻监视系统当中的病毒活动，时刻监视系统状况，时刻监视软盘、光盘、互联网、电子邮件上的病毒传染，将病毒阻止在操作系统外部。且优秀的反病毒软件由于采用了与操作系统的底层无缝连接技术，实时监视器占用的系统资源极小，用户一方面完全感觉不到对机器性能的影响，一方面根本不用考虑病毒的问题。

只要实时反病毒软件实时地在系统中工作，病毒就无法侵入我们的计算机系统。可以保证反病毒软件只需一次安装，今后计算机运行的每一秒钟都会执行严格的反病毒检查，使互联网、光盘、软盘等途径进入计算机的每一个文件都安全无毒，如有毒则自动杀除，

自动解压缩技术

目前我们在互联网、光盘以及Windows中接触到的大多数文件都是以压缩状态存放，以便节省传输时间或节约存放空间，这就使得各类压缩文件已成为了计算机病毒传播的温床。

如果用户从网上下载了一个带病毒的压缩文件包，或从光盘里运行一个压缩过的带毒文件，用户会放心地使用这个压缩文件包，然后自己的系统就会不知不觉地被压缩文件包中的病毒感染。而且现在流行的压缩标准有很多种，相互之间有些还并不兼容，全面覆盖各种各样的压缩格式，就要求了解各种压缩格式的算法和数据模型，这就必须和压缩软件的生产厂商有很密切的技术合作关系，否则，解压缩就会出问题。

全平台反病毒技术

目前病毒活跃的平台有：DOS、Windows、Windows NT、Netware、NOTES、Exchange等。为了反病毒软件做到与系统的底层无缝连接，可靠地实时检查和杀除病毒，必须在不同的平台上使用相应平台的反病毒软件，如你用的是Windows的平台，则你必须用Windows版本的反毒软件。如果是企业网络，各种版本的平台都有，那么就要在网络的每一个Server、Client端上安装DOS、Windows 95/98/NT 等平台的反病毒软件，每一个点上都安装了相应的反病毒模块，每一个点上都能实时地抵御病毒攻击。只有这样，才能做到网络的真正安全和可靠。

篇2：反病毒技术的分类与技术特点

反病毒技术的分类与技术特点

本文重点讨论了反病毒的方法,以及反病毒技术的特点.

作者：何秋晶姚崎崔永利作者单位：何秋晶(哈尔滨工业大学科技发展有限公司)

姚崎(黑龙江省建设银行)

崔永利(哈尔滨理工大学)

刊名：林业科技情报英文刊名：FORESTRY SCIENCE AND TECHNOLOGY INFORMATION 年，卷(期)： 36(4) 分类号：关键词：反病毒技术分类特点

篇3：印度反病毒技术获突破性进展

印度一家名为Sanrasoft的软件公司最近表示，公司在反病毒方面有了突破性的技术进展，目前能够了解到恶意代码的意图，从而有效的保护计算机，不仅仅是一些有名的病毒，同样没有名的恶意代码，包括病毒、特洛伊木马，蠕虫、间谍软件、keylogger以及程序等也可以做出预判断。

新文件、配置变化、系统管理文件变更，以及应用程序文件作出的有威胁的改变，都会被评估潜在威胁指数，

任何系统方面的改变一旦被评定有潜在的威胁将会马上的作出反应。Sanrasoft公司的软件将会每分钟对硬盘扫描一次，也可以自定义为每分钟就对硬盘扫描一次。其不仅仅是会移除有潜在威胁的文件，而且还会将系统还原为原始的未被感染前的状态。

公司表示，他们的反病毒技术要比目前所存在的任何的反病毒技术更为有效，采用的是认证机制和启发式扫描的方法。通过判断病毒的可疑行为，不断提升警报级别。公司表示该程序将会在明年月份的第周发布。

篇4：网闸三大主流技术

网闸三大主流技术！

目前国际上网络隔离的断开技术有两大类：一是动态断开技术，如基于SCSI的开关技术和基于内存总线的开关技术，动态断开技术主要是通过开关技术来实现的。一般由两个开关和一个固态存储介质组成。既然是开关，那么什么时候开或什么时候关，都由独立的控制逻辑控制。另一类是固定断开技术，如单向传输技术。值得向用户强调的是，采用以太网线直接连接两个主机，无论其原理多么像隔离，都不是隔离，因为以太协议本身是可以被攻击的。

基于SCSI的网闸技术

基于SCSI的网闸技术是目前最主流的网闸技术。SCSI是一个外设读写协议，而不是一个通信协议。外设协议是一个主从的单向协议，外设设备仅仅是一个介质目标，不具备任何逻辑执行能力，主机写入数据，但并不知道是否正确。需要读出写入的数据，通过比较来确认写入的数据是否正确。因此，SCSI本身已经断开了OSI模型中的数据链路，没有通信协议。但SCSI本身有一套外设读写机制，这些读写机制保证读写数据的正确性和可靠性。

screen.width-333)this.width=screen.width-333\" border=0>

SCSI的可靠性保证，与通信协议的保证在机制上是不同的。通信协议的可靠性保证是通过对方的确认来完成的。SCSI写入数据的可靠性保证，是靠验证来确认。对通信协议的攻击，受害者是对方，对SCSI的读写机制进行破坏，不会伤害到对方。

基于总线的网闸技术

基于总线的网闸技术也是目前成熟的技术之一。这种技术采用一种叫双端口的静态存储器（Dual Port SRAM），配合基于独立的CPLD的控制电路，以实现在两个端口上的开关，双端口各自通过开关连接到独立的计算机主机上，

CPLD作为独立的控制电路，确保双端口静态存储器的每一个端口上存在一个开关，两个开关不能同时闭合。当交换的内容是文件数据时，它确实给出了一种隔离断开的实现。当交换的内容是IP包，则不是。

因为双端口RAM可以进行IP包的存储和转发，这是一种结构缺陷。采用这种技术的产品，应该严格检查是否实现了TCP/IP协议的剥离，是否实现了应用协议的剥离，确保是应用输出或输入的文件数据被转发，而不是IP包。除此之外，还必须有机制来保证双端口RAM不会被用来转发IP包。如果设计不当，TCP/IP协议没有剥离，IP包会直接被写入内存存储介质，并且被转发。在这种情况下，尽管OSI模型的物理层是断开的，链路层也是断开的，由于TCP/IP协议的3层和4层没有断开，也不是网络隔离。

基于单向传输的网闸技术

固定断开技术采用的是单向传输，不需要开关。

单向传输必须保证单向。如果硬件上是双向的，仅从数据链路传输的方向上来控制，还是可能被攻击，因此不是严格意义上的网络隔离。硬件上的单向，以以太介质为例，发送方的接收线路必须被剪断，接收方的发送线路必须被剪断。单向传输，从本质上改变了通信的概念，不再是双方交互通信，而变成了单向广播。广播者有主控权，接收者完全是被动的。

单向传输最大的难点是如何保障可靠性。发送方并不知道接收方是否可靠地接收到数据，必须通过其他的机制来提供可靠保障，这种类似的机制有很多，如RAID技术，RAID0表示存二次，RAID1表示增加校验等。单向传输的可靠性，从理论上说可以到达99.9%，或99.99%，甚至是99.999%，但不会是100%。单向传输在理论上没有100%的可靠性。

篇5：VxD技术及其在实时反病毒中的应用

Windows9x平台反病毒产品大多属静态反病毒软件，指导思想是“以杀为主”，这一方式的缺点是病毒在被清除之前可能早已造成了严重危害一个好的反病毒软件应该是“以防为主，以杀为辅”，在病毒入侵时就把它清除掉，这就是实时反病毒技术，

Windows9x使用IntelCPU的Ring0和Ring3两个保护级。系统进程运行于Ring0，因而具有对系统全部资源的访问权和管理权；而普通用户进程运行于Ring3，只能访问自己的程序空间，不允许对系统资源进行直接访问许多操作受到限制。显然这种普通用户进程是无法胜任实时反病毒工作的，必须使后台监视进程运行在Ring0优先级，实现这一目的基础就是VxD技术。

一、VxD技术的特点

VxD即虚拟设备驱动程序，用作Windows9x系统和物理设备之间的接口。但它不仅适用于硬件设备，也适用于按VxD规范所编制的各种软件“设备”

VxD技术的实质是：通过加载具有Ring0最高优先级的VxD，运行于Ring3上的应用程序能够以一定的接口控制VxD的动作，从而达到控制系统的目的。实时反病毒软件之所以要使用VxD技术，关键有二：（1）VxD拥有系统最高运

行权限（2）许多Windows9x系统底层功能只能在VxD中调用，应用程序如果要用必须编个VxD作为中介。VxD作为应用程序在系统中的一个代理，应用程序通过它来完成任何自己本身做不到的事情，通过这一手段，Windows9x系统为普通应用程序留下了扩充接口。很不幸，这一技术同样为病毒所利用，CIH病毒正是利用了VxD技术才得以驻留内存、传染执行文件、毁坏硬盘和FlashBIOS。

Windows9x系统下有众多的VxD，每个VxD可提供4种服务，即PM（保护模式）API、V86（虚拟86）API、Win32服务和VxD服务，前3种分别供应用程序在16位保护模式、V86模式以及32位保护模式下调用，VxD服务则只供其他VxD使用用户开发的VxD可提供任意上述服务。除此之外，应用程序还可通过调用API函数DeviceIoControl与支持IOCTL接口的VxD进行通信，执行Win32API不支持的系统低级操作。

二、VxD技术的实现

VxD的操作基于寄存器，所以一般用汇编语言编写，它的关键部分是一个和普通窗口的消息处理过程WndProc相类似的控制过程，不同之处在于它的处理对象是系统发来的控制消息。这些消息共51种，在VxD自加载至卸出整个生命周期内操作系统不断向它发送各种控制消息，VxD根据自己的需要选择处理，其余的忽略。系统向VxD发送控制消息时将？代号放在EAX寄存器中并在EBX寄存器中放系统虚拟机（VM）句柄。

对动态VxD来说，最重要的消息有三个：SYS_DYNAMIC_DEVICE_INIT、SYS_DYNAMIC_DEVICE_EXIT以及W32_DEVICEIOCONTROL，消息代号分别是1Bh、1Ch、23h。当VxD被动态加载至内存时。

系统向其发送SYS_DYNAMIC_DEVICE_INIT消息，VxD应在此时完成初始化设置并建立必要的数据结构；当VxD将被卸出内存时，系统向其发送SYS_DYNAMIC_DEVICE_EXIT消息VxD在收到后应清除所作设置并释放相关数据结构；当应用程序调用API函数DeviceIoControl与VxD进行通信时，系统向VxD发送W32_DEVICEIOCONTROL消息，它是应用程序和VxD联系的重要手段，此时ESI寄存器指向一个DIOCParams结构，VxD从输入缓冲区获取应用程序传来数据，相应处理后将结果放在输出缓冲区回送应用程序，达到相互传递数据的目的。

应用程序向VxD发出DeviceIoControl调用时，第2个参数用于指定进行何种控制，控制过程从DIOCParams结构＋0Ch处取得此控制码再进行相应处理控制码的代号和含义由应用程序和VxD自行约定，系统预定义了DIOCGETVERSION（0）和DIOC_CLOSEHANDLE（－1）两个控制码，当应用程序调用API函数CreateFile（“\\.\\VxDName”，...）动态加载一VxD时，系统首先向该VxD的控制过程发送SYS_DYNAMIC_DEVICE_INIT控制消息，若VxD返回成功，系统将再次向VxD发送带有控制码DIOC_OPEN（即DIOC_GETVERSION，值为0）的W32_DEVICEIOCONTROL消息以决定此VxD是否能够支持设备IOCTL接口，VxD必须清零EAX寄存器以表明支持IOCTL接口，这时CreateFile将返回一个设备句柄hDevice，通过它应用程序才能使用DeviceIoControl函数对VxD进行控制。

同一个VxD可用CreateFile打开多次，每次打开时都会返回此VxD的一个唯一句柄，但是系统内存中只保留一份VxD，系统为每个VxD维护一个引用计数，每打开一次计数值加1。当应用程序调用API函数CloseHandle（hDevice）关闭VxD句柄时，VxD将收到系统发来的带控制码DIOC_CLOSEHANDLEW32_DEVICEIOCONTROL消息，同时该VxD的引用计数减1，当最终引用计数为0时，系统向VxD发送控制消息SYS_DYNAMIC_DEVICE_EXIT，然后将其从内存中清除，

在极少数情况下应用程序也可调用API函数DeleteFile（“\\.\\VxDName”）忽略引用计数的值直接将VxD卸出内存，这将给使用同一VxD的其他应用程序造成毁灭性影响，应避免使用。

--一个典型的VxD控制过程代码如下：

.borderColor=#ffcc66width=“90%”align=centerbgColor=#e6e4ddborder=1>

. BeginProcVXD_Control

cmpeax，1B

；SYS_DYNAMIC_DEVICE_INIT消息

jzvxd_dynamic_init_handle

cmpeax，1C

；SYS_DYNAMIC_DEVICE_EXIT消息

jzvxd_dynamic_exit_handle

cmpeax，23

；W32_DEVICEIOCONTROL消息

jnzexit_control_proc

movecx，[esi＋0C]

；从DIOCParams＋0Ch处取控制码

....

；处理控制码

EndProcVXD_Control

三、实时反病毒的关键技术-FileHooking

应用程序通过使用动态加载的VxD，间接获得了对Windows9x系统的控制权，但要实现对系统中所有文件I/O操作的实时监视，还要用到另一种关键技术－FileHooking，通过挂接一个处理函数，截获所有与文件I/O操作有关的系统调用。Windows9x使用32位保护模式可安装文件系统（IFS），由可安装文件系统管理器（IFSManager）协调对文件系统和设备的访问，它接收以Win32API函数调用形式向系统发出的文件I/O请求，再将请求转给文件系统驱动程序FSD，由它调用低级别的IOS系统实现最终访问。每个文件I/OAPI调用都有一个特定的FSD函数与之对应，IFSManager负责完成由API到FSD的参数装配工作，在完成文件I/OAPI函数参数的装配之后转相应FSD执行之前，它会调用一个称为FileSystemApiHookFunction的Hooker函数。通过安装自己的Hooker函数，就可以截获系统内所有对文件I/O的API调用，并适时对相关文件进行病毒检查，从而实现实时监控。

上述过程由用户VxD调用系统VxDIFSMgr提供的服务完成，该VxD提供了丰富的底层文件操作功能：IFSMgr_InstallSyatemApiHook函数用来安装FileSystemApiHookFunction，IFSMgr_RemoveSystemApiHook用来卸除Hooker，IFSMgr_Ring0_FileIO用来对文件和磁盘扇区进行读写访问等等。当由IFSManager转入SystemApiHookFunction时，带有6个参数：

.borderColor=#ffcc66width=“90%”align=centerbgColor=#e6e4ddborder=1>

.FileSystemApiHookFunction（

pIFSFuncFSDFnAddr，

//对应FSD服务函数地址

intFunctionNum，

//与API对应的FSD服务功能号（详见下面）

intDrive，

//驱动器代号（1=A，2=B，3=C...）

intResourceFlags，

//资源标志（详见下面）

intCodePage，

//代码页（0=ANSI，1=OEM）

pioreqpir

//指向IOREQ结构的指针

）

参数中比较重要的是FSD功能号、驱动器号和IOREQ结构指针3项。如需截获某个文件I/OAPI调用，只需在Hooker中对相应FSD功能号进行处理

系统中可挂接多个Hooker，形成一条链。IFSMgr_InstallFileSystemApiHook安装Hooker成功时返回前一个Hooker地址，每个Hooker在做特定处理后总应调用前一个Hooker，最后安装的Hooker最先被调用。在VxD中调用其他VxD服务采用INT20h指令后跟一个双字的特殊格式，其中高字为被调用VxD的ID号（系统VxD的ID固定），低字为该VxD之服务号，这一形式称为VxDcall，如：

.borderColor=#ffcc66width=“90%”align=centerbgColor=#e6e4ddborder=1>

.int20

dd00400043

；VxDCallIFSMgr_InstallSystemApiHook

int20

dd00400044

；VxDCallIFSMgr_RemoveSystemApiHookr>

int20

dd00400043

；VxDCallIFSMgr_InstallSystemApiHook

int20

dd00400044