曾几何时,我们开始反复讨论在数字世界该有的行为以及如何生存下去的方式。衷心希望我们所做的一切不是徒劳,同时读者们也能将这里所学的知识传授给自己的亲戚朋友。因为这真的很重要。
但有时候,我们也想当然认为某些专用术语和表述是一种常识。因此在本篇博文中,我们将回过头来重新对反病毒软件的三项基本要素再做一番详述。
1.特征码
反病毒数据库内含所谓的’特征码’(无论习惯用语还是书面用语都是这个词)。实际上,典型特征码已经有20年左右未被使用了。
从一开始(上世纪80年代),特征码就从未有过清晰的定义。甚至直到现在,维基百科里也没有”特征码”一词的解释,恶意软件条目中多次用到”特征码”,但同样没有做出任何定义,就好像这是普遍的常识因此无须解释。
那么,还是让我们对”特征码”进行一下定义吧!所谓病毒特征码是某个恶意软件样本常见的连续字节序列。这意味着含有特征码在恶意软件或受感染文件内,而在未受感染的文件里则不会找到。
如今,单利用”特征码”是无法检测出恶意文件的。恶意软件作者可利用各种技术对”特征码”模糊处理,从而隐匿无踪。这也是为什么现代反病毒产品必须使用更加高级的检测方法的原因。反病毒数据库内仍含有”特征码”(占数据库的一半以上条目),同时也包含了更加复杂的条目。
由于习惯问题,人们依然将这些条目称之为”特征码”。这本身没有什么问题,我们只要知道这一术语是构成更强大工具的诸多技术的简写。
当然会有一天,我们将不再使用’特征码’来表示反病毒数据库内的任何条目,但由于实在太过常用—目前也没有一个更准确的词—因此只能继续用下去。
反病毒数据库条目只是一个条目。但背后的技术可能只一个经典特征码,也可能是将最高级恶意软件作为目标且超级复杂的创新技术。
2.病毒
你可能注意到,我们的分析师往往避免使用病毒一词,而更倾向于使用恶意软件和网络威胁等词。原因是病毒是一种特殊的恶意软件,其具体行为是感染干净的文件。分析师们往往用”文件型病毒”替代笼统的病毒说法。
文件型病毒在实验室里有着独特的地位。首先,他们极难检测—在经过初步检查后,受感染文件似乎干净。其次,文件型病毒需要特殊处理:几乎全部需要特殊检测和杀毒。这也是为什么文件型病毒需交由擅长这一领域的安全专家处理。
因此,为了避免谈论常见威胁时产生混淆,分析师们使用类似”恶意程序”和”恶意软件”这类涵盖性术语代替。
下面再介绍几种其它的病毒种类,以后可能用得上。蠕虫是一种能自我复制的恶意软件,并能从最初感染的设备传播到另外的设备。从技术角度讲,恶意软件并不包括广告软件(侵入式广告软件)或风险软件(由不法分子安装的可能对系统造成危害的合法软件)。
3.杀毒
最近,我看到了不少杀毒软件案例,希望这不是普遍的误解:杀毒软件只能扫描和检测出恶意软件,而要清除的话用户还需要再下载一款特殊工具。事实上,的确存在针对某类恶意软件的特殊工具:例如,针对遭勒索软件加锁的文件的解密器。但杀毒软件完全可以自己应付—有时这是更好的选择,比如能访问系统驱动且其它工具不适用的技术。
那恶意软件是如何被清除的呢?机器自己找出文件型病毒(通常是在反病毒安装前;文件型病毒很少能逃过杀毒软件的安全防御)的概率很小,文件型病毒感染某些文件,随后杀毒软件对所有受感染文件进行检测并移除恶意代码,最后将它们恢复至原先状态。在解密受勒索软件(通常被检测为勒索木马)加密的文件时,也采用同样的流程。
至于其他—绝大多数情况,可能有99%—恶意软件在感染文件前就被捕获,然后只需简单删除即可。如果没有文件受损,则无需恢复任何内容。
大多数情况,只需删除恶意文件即可
但有一个例外,如果恶意软件不是文件型病毒–例如,勒索软件–并在系统中活跃多时,杀毒软件就转换至杀毒模式,确保威胁彻底解决不会再来。你可以从这里了解更多这一过程。
只需以下其中一个原因,就会发生例外:
1.杀毒软件安装在已遭病毒感染的计算机上。如你所知,通常的错误顺序是:只有在受到病毒感染后,才会想到做一些安全保护措施。
2.杀毒软件更多标记文件为”可疑”而不是”恶意”,并开始紧密监测其行为。一旦恶意软件被证明的确存在恶意行为,杀毒软件便会禁止所有恶意行为(监视期间记录下)。例如,一旦PC电脑遭勒索软件或文件型病毒攻击,便会从即时备份中恢复被加密的文件。
结论
今天的内容就到此为止。我现在希望你们能够:
1.知道如今的”特征码”基本都是各种杀毒数据库条目,包括最高级的部分。
2.更加熟悉不同类型的恶意软件。
3.了解计算机或联网设备的杀毒过程是在杀毒程序能力范围内—以及保持系统监视组件开启以分析可疑文件行为如此重要的原因。