病毒的攻击和反病毒原理

　　通过病毒技术背景和社会背景，我们发现黑客攻击技术和网络病毒的融合，就是病毒和黑客攻击技术的融合构成混合性的危险，大量的病毒不能把它分析的很清楚了，你说它是病毒，或者说是黑客工具，界限很不明显。它们之间这种功能可能是相互利用，出现病毒模块化等等，都是因为产业链的需要。完成产业链的，主要是基于经济目的，通过病毒的技术进行传播，然后通过黑客的攻击技术制造大量的各种各样混合性的威胁，集中到一起对计算机用户发起大规模的攻击。

　　反病毒原理和方法包括两部分，一个是病毒的清除，病毒已经感染和入侵到你的机器，我们如何把这个病毒给清除掉，让你的系统恢复到入侵前的状态，病毒是怎么感染的，我们把病毒从系统当中清除出去，恢复到系统的正常状态。

　　反病毒，就是病毒的防护，我们如何想办法阻止这些病毒的入侵。这里面有一些方法，这个方法主要体现在技术上体现反病毒引擎，这个过程大致可以理解为怎么去判断，怎么去识别病毒，哪一个程序对它是有害的。识别出病毒以后，如果你的系统是正常的，这个病毒想要入侵的时候，反病毒软件的防护功能来阻止这个病毒的入侵，假如它已经入侵到你的系统当中，已经造成了感染，这种情况下反病毒软件就要对这个系统进行消除感染这样一个过程。把病毒清除掉，最基本的方法，其实有两大部分，一个就是特征码的识别，到目前为止这仍然是最成熟、最可靠，并且是最廉价的一种识别方法。有大量的病毒，但是我们可以通过几个字节，一段字串描述这种病毒，识别出来之后根据引擎判断哪一段代码是有害的程序，我们就把它从正常的程序当中脱离出去，清除干净。到目前为止几乎所有的杀毒软件都是以特征码方法为主要的识别方法。

　　除此之外出现一些新的方法，行为识别技术。行为识别技术，哪些行为是病毒类的行为，我们可以把它做一些描述，比如说有病毒入侵之后，他可能非法访问你注册表，他想自动的加载，修改注册表的启动加载项，或者说这个病毒进入你的系统之后，它首先要尝试关闭你的Windows防火墙，或者停止你的系统安全中心的运行等等，这些行为程序自动去执行，可以把它判断为一种危险行为，这种危险行为，如果它比较多，在这种情况下，这个引擎直接可以把它判断为病毒行为。在这里边，因为是基于行为识别的，所以理所当然会出现误报这种情况。因为这些操作都是操作系统正常的功能，某个程序也能够实现，都把它判断为危险行为的话也可能把正常的程序也判断错误，所以各个杀毒公司都是那些产品，杀毒产品当中作为辅助的手段来完成的。

　　除此之外，对杀毒软件引擎来讲有一个非常重要的一环，就是引擎的脱壳。病毒的马甲非常多，这个壳可能有上千种。目前为止杀毒软件通常只对主流的那些壳进行处理，有的壳叫私壳，某一个病毒制作者在这个上面做了一点点修改，这个壳跟其他任何壳都不一样，这个时候针对这种壳进行一次静态脱壳引擎的开发会发现非常的不值得，你会感觉到花了很大的功夫，结果你会发现他下次就不用了，而引擎脱壳是分为静态和动态两部分，静态的脱壳针对大量那些压缩工具和加壳处理的工具，到目前为止这种最常用的壳大约有30多种这样的软件，版本数量加起来有一百多个左右，其他都不是特别常用的，需要用其他的方法，比如说动态的脱壳，或者是干脆用特征码的方法来识别。

    在下一篇我们将介绍计算机中毒后的有哪些表现，如何清除计算机病毒以及杀毒软件的选购，请大家继续关注！