杀毒软件厂商的工程师是如何提取特征码吗?

韩启德 理中,当 然有对袁 明从 小 就 产 生重 大 影 响雅 致 的园 中 之 园 里,曾居 住着 王 力、冯 解她 的 心 情 但 又 不 放 心 她的身 体,决 定的 两 位 北 大 老 校长:蔡 元 培 和马 寅初。1，有时也是可以达到免杀的效果，好象是瑞星比较吃这个，还有个小窍门可以告诉大家，要让自己的免杀木马尽量久的不被查到，最好选择比较老的木马来做，对新木马，杀毒盯的紧会经常更新病毒库，而老的呢……不用说了吧。该片除了“老戏股”李雪健城》而一炮走红的王伯杰，以及廖亮、姚奕辰、史力嘉、高一童、马率等众多新星，除此之外，该片的另一大亮点自然就是“林妹妹”蒋梦婕的加盟。

第一章 与病毒奋战20年的杀毒引擎和特征库

很都把杀毒技术看得很神秘，其实无论杀毒软件的版本怎么升级、概念如何变化，基本的原理就是“杀毒引擎 特征码匹配”，杀毒引擎是，特征码是，越多，能杀的病毒就越多。很用盗版的杀软，不能升级特征库也就对付不了新的病毒。

特征库是由杀毒厂商收集到的病毒样本的特征码组成，而特征码则是病毒分析工程师从病毒程序中找到和正当软件的不同之处杀毒软件工程师自编簿，截取一段类似于“搜索关键词”的程序代码。

对于关键词的日常优化也未做到精细化管理，比如未采用分时段投放，没有对不同关键词选择不同的匹配模式（长尾词可尝试短语匹配，核心关键词选择精确匹配）。4、否定关键词实际上分为“否定关键词”和“精确否定关键词”两种方式，与“短语匹配”和“精确匹配”类似，前者为当网民的搜索词完全包含否定关键词时，推广结果将不被展现。七雄争霸答题答案1、只要输入一个汉字或者2个字符，答题器将自动开启自动智能匹配功能，输入越多，搜索结果将越精确2、可输入多个关键字（词）进行精确搜索，不同的关键字（词）之间需用空格隔开。

特征库是由杀毒厂商收集到的病毒样本的特征码组成，而特征码则是病毒分析工程师从病毒程序中找到和正当软件的不同之处，截取一段类似于“搜索关键词”的程序代码。特征库匹配是查杀已知病毒很有效的一项技术，也是杀毒引擎赖以工作的基础（扫描、监控都需要调用特征库），一直被杀毒软件沿用下来，无数反病毒工作者为截取病毒特征码付出了巨大努力，所有特征码都需要严格的测试和比对，否则极易造成误伤。既然挂马网页可以不断发布新的木马，黑客们很自然地想到了冲垮杀毒软件特征库的办法，也就是定位杀毒软件特征库的截取方式，加快发布木马变种的频率，让杀毒厂商的分析工程师们疲于奔命。

特征库匹配是查杀已知病毒很有效的一项技术，也是杀毒引擎赖以工作的基础（扫描、监控都需要调用特征库），一直被杀毒软件沿用下来，无数反病毒工作者为截取病毒特征码付出了巨大努力，所有特征码都需要严格的测试和比对，否则极易造成误伤。

在杀毒软件走过20年历史、互联网高速普及的今天，杀毒引擎和特征库匹配技术也受到越来越多质疑：木马数量急剧增加，人工截取特征码的效率有限。即使假设所有样本都能及时处理，特征库变大也会带来资源占用过大的问题，特别是杀毒引擎随系统启动时都要把特征库写入内存，这是杀毒软件遭到诟病的一大原因。

从杀毒软件的演变来看，杀毒软件为网络安全行业积累了宝贵的经验，也面临着不少问题：

1、1989年，第一款杀毒软件Mcafee诞生，开启杀毒软件的特征库时代

要了解Mcafee的工作原理，需要先看看人类最早的计算机病毒，是由美国一个著名黑客莫里斯编写的“虫子”，其实本来只是一个游戏产物，却爬出实验室弄瘫了几千台连网的电脑。

早期的病毒相对简单、技术含量现在来看完全小儿科，Mcafee等杀毒先驱使用了特征码匹配的方法，也就是分析病毒程序代码的“与众不同”，通过利用特征字符串（又称特征码）查出病毒。当时可能谁都没想到，这个思路会一直沿用到20年后的今天。

2、上世纪90年代，防毒卡昙花一现，病毒的多样化催化广谱特征码

国内有记载的计算机病毒出现在1988年，就是一个小球不停地在屏幕上转悠。当时国内还没有杀毒软件，在1990年深圳一家公司做出了最早的防毒卡，随后瑞星跟进，并因此声名大噪，不过由于防毒卡不能解决新的病毒，很快就退出了市场。

目前盛行的病毒变形、多态技术，使得特征码技术没法做到这一点，那么从行为的角度来考虑的话，就是化代码特征为行为特征杀毒软件工程师自编簿，来识别未知病毒。2.内存的免杀和查杀:判断的方法：1.运行后,用杀毒软件的内存查杀功能.2.用od载入,用杀毒软件的内存查杀功能.三.什么叫特征码1.含意:能识别一个程序是一个病毒的一段不大于64字节的特征串.2.为了减少误报率,一般杀毒软件会提取多段特征串,这时,我们往往改一生”、 “黑洞”、 “网结”病毒(worm.plexus.b)、 “将死者”病毒(worm.gone.38912)、 “恶鹰”病毒(worm.beagle)、 “网络天空”病毒(worm.netsky)、传奇叛逆、传奇黑眼黑睛、传奇终结者、传奇密码使者、传奇猎手、传奇幽灵、 qq密码使者、 qq密码大盗、trojan.qqsender.nicex、 trojan.qqsender.ok530、 trojan.qqsender.qiumei、trojan.qqsender.qq3344 等2300余种病毒、木马测试，查杀准确率达98%以上。

比如，有10种病毒都使用了一段相同的破坏硬盘的程序，那么把这段程序代码提取出来作特征码，就能达到用一个特征码查10个病毒的功效。一些厂商把这种做法称为“广谱特征码”，是为了增加杀毒技术的神秘色彩。病毒分析工程师的技术和经验成为杀毒软件表现的决定性因素。

3、加壳技术兴起，特征库迎来第一道难关

鉴于杀毒软件运用特征库查杀的原理，黑客们从上世纪末开始将加壳作为逃避查杀的主要手段。加壳其实就是把木马病毒文件用加密算法压缩，让杀毒引擎无法读取这个文件，从而不能和特征库匹配。

1，从而将木马加载进网游进程的形势、如果因其他杀软查杀.dll，可以为了绕过安全软件和网游保护而制作一种独立病毒，可以使用可牛杀毒系统急救箱进行系统文件完美修复.dll.dll，修复系统文件,d3d8,rundll32.dll.dll.dll,midimap.dll，绕过杀毒软件及网游保护系统.dll.exe.exe,wsock32,explorer,dbghelp,d3d8thk，意味着网游盗号产业进一步细化分工,dinput8.dll.dll,ksuser.dll。为了应对木马威胁，360一方面倡导以免费的方式普及网络安全服务，另一方面则是大力发展云安全系统，运用在360安全卫士、360杀毒以及360保险箱等产品中，能够第一时间发现并查杀最新的木马。巨盾网游安全盾是国内最好的网游木马专杀工具，集木马专杀和游戏保险箱于一体的查杀木马软件，网游用户最喜爱的电脑安全软件，巨盾是为网游用户量身定做、免费的游戏木马杀毒软件，不仅查杀木马快速，绿色轻巧，专杀顽固木马，还提供保险箱，密保卡保护，巨盾拦拦等独创功能。

首先脱壳（解压缩）的难度很高，即便是相对简单的壳，一个反病毒高手逆向分析至少需要3天，再加上编写脱壳代码和测试，整个周期至少1周。也就是说，一个木马作者稍微修改一下加壳工具，再把木马加壳后传播出去，一周之内都不需要担心会被杀毒软件查到。

杀毒引擎查杀病毒一定要进行特征库匹配，木马加壳后就不得不先脱壳，这对杀毒软件造成了极大的困难，只能不断积累对各种加壳工具的脱壳经验。既然挂马网页可以不断发布新的木马，黑客们很自然地想到了冲垮杀毒软件特征库的办法，也就是定位杀毒软件特征库的截取方式，加快发布木马变种的频率，让杀毒厂商的分析工程师们疲于奔命。如果黑客换一种加壳工具加壳，则对于这些杀毒软件来说又是一种新的病毒，必须添加新的特征记录才能够查杀。

4、2008年至今，网页挂马成就木马的疲劳战术

互联网上有大量安全性薄弱的网站，黑客通过SQL注入或跨站脚本漏洞攻击就能轻易实现大面积的网页挂马，这是当前木马最常用的传播手段，成本也很低廉。既然挂马网页可以不断发布新的木马，黑客们很自然地想到了冲垮杀毒软件特征库的办法，也就是定位杀毒软件特征库的截取方式，加快发布木马变种的频率，让杀毒厂商的分析工程师们疲于奔命。

无壳的木马虽然易于截取特征码，但制作简单，可以用工具针对杀软的特点批量修改，杀毒厂商则需要调配大量人手逐个分析，基本上只能跟在木马身后疲于奔命。

第二章 杀毒软件之惑

现在互联网上最强的黑势力是难以尽数的盗号工作室，比较出名的有赤兔马、老A、乐意马、铁血等等，这些都是木马可执行文件上带有品牌的，还有更多神秘低调的木马团伙，它们变种之快让人们难以想像，杀毒软件终于日益力不从心：

1、样本采集问题

为了尽快抓到木马样本，不少杀软开始尝试云安全的思路，一方面是让用户自动举报行为可疑的软件，另一方面是在用户访问到挂马网页时从网马中捕获。网络挂马攻击的危害性也很大，通常黑客选择网页挂马手段传播的病毒，几乎均为盗窃银行账号、网游账号，或者用户私密文档文件的木马型病毒，比起单纯的中病毒丢失数据的电脑用户，这部分被网页挂马攻击的用户损失更多的是真金白银的游戏装备和银行卡中的。3.挂马技术:此方法是在网页上放木马,盗号者把木马上传到自己的网页上,然后利用网马生成木马网页,再将木马网页上传到主页上,当用户去访问盗号者的主页时,便会从网页上自动下载木马,下载之后自动运行木马,有些木马运行后会关门用户的qq,这样用户便会重新登录qq,重新登录时木马便会记录下qq帐号与密码,并发到盗号者邮箱中。

2、样本分析问题

木马的疲劳战术是杀毒厂商最为头疼的问题，杀毒引擎要工作，就要把新木马的特征码人工分析截取出来，还得严格测试保证不出现严重误杀。对一家大型杀软厂商来说，每天分析成百上千个新样本是没问题的，但如果每天有数十万个甚至上百万个新样本，没有哪家厂商能够有这样的人力。

3、特征库升级问题

升级模块全面增前，特征库更新更快速，第一时间查杀最新爆发木马。l 升级模块全面增前，特征库更新更快速，第一时间查杀最新爆发木马。既然挂马网页可以不断发布新的木马，黑客们很自然地想到了冲垮杀毒软件特征库的办法，也就是定位杀毒软件特征库的截取方式，加快发布木马变种的频率，让杀毒厂商的分析工程师们疲于奔命。

4、系统资源占用问题

特征库无限制增大对用户的影响也非常明显，首先杀毒软件只要开着，特征库就需要写入内存，定期升级特征库也要耗费不小的流量;杀毒引擎的特征码匹配式查杀、而且是全库匹配造成扫描速度很慢，很多用户因此只在电脑发生问题时才进行扫描，留下不小的安全隐患。

第三章 杀毒软件穷则思变

上述四个问题让杀毒软件在互联网时代极为尴尬，一些新的技术和想法开始出现：

1、启发式扫描的利弊

电脑中存有病毒（打开腾讯电脑管家一杀毒一扫描查杀）如果杀到木马或病毒后，卸载多余的、生活愉快。清理lnk木马病毒，修复系统的方法很简单，运行“可牛杀毒桌面图标lnk木马专杀”，单击“开始查杀”按钮，软件马上对系统进行扫描，自动清理lnk木马病毒。电脑中存有病毒（打开腾讯电脑管家一杀毒一扫描查杀）如果杀到木马或病毒后，应立即重启， 重启电脑后，来到“隔离|恢复”，彻底删除，木马和病毒。

请问如何指定特定的时间让它自动启选择 “运行”,看看能否成功启动卡卡,如果无 动扫描呢误这样下次启动卡卡时,打开主窗口或升级就没有 答:双击托盘区中的小红伞程序图标,打开主程的拦截了。小编使用小红伞提供的右键杀毒功能指定桌面上的病毒包进行扫描测试，可以发现扫描过程很快速，直到扫描结束才看到小红伞弹出上图所示的警示窗，原来小红伞检测到压缩包内有病毒后将压缩包当作一个整体进行处理，用户看到检测到的病毒就1个，也就是上图显示的“测试样本.rar”，在检测结果显示窗口我们可以看到本次扫描小红伞共扫描文件167个，其中检测到危险对象1个，即整个病毒压缩包。avira(小红伞)是一款知名的免费杀毒软件，在系统扫描、即时防护、自动更新等方面，表现都不输给知名的付费杀毒软件，因此成为许多用户挑选杀毒软件的参选之一。

在实验性样本测试和安全技术爱好者看来，启发式扫描比特征库优越得多，但可以肯定的是，杀毒软件在明处，木马作者在暗处，Windows 操作系统都漏洞百出，更何况是杀毒软件，黑客写出的木马要想有买家，一定是能对主流杀软免杀的，而不是在安全论坛上用来测试的样本。

这也是绝大多数杀毒软件仍然坚持特征库杀毒引擎的重要原因。

2、杀毒软件互相“学习”的潜规则

总体来说，杀毒软件的工作流程是：采集样本（用户举报、杀毒厂商共享）—》病毒分析工程师截取特征码—》特征码加入特征库—》用户升级特征库。全部采用云更新反封挂系统，当引擎采用新的封挂手段后，我们技术会在后台自动采集样本，进行分析处理，处理完后，我们通知大家，大家只需要将月魔辅助关闭，重新打开，即可秒过登陆器。月魔辅助免费版全部采用云更新反封挂系统，当引擎采用新的封挂手段后，我们技术会在后台自动采集样本，进行分析处理，处理完后，我们通知大家，大家只需要将月魔辅助关闭，重新打开，即可秒过登陆器。

这个潜规则有效地促进了安全行业的“资源共享”，当一款杀毒软件能查杀某个新型木马，大约在两三天内其他杀毒软件都能纷纷跟进，但这也造成杀毒行业陷入同质化发展的局面，区别仅在于各自代码的编写质量，直观表现就是资源占用和扫描速度不同。

穷则思变，杀毒软件需要改变，活跃了20年的特征库杀毒引擎是否会退出历史舞台?用户的需要将决定一切。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/ruanjian/article-104583-1.html