当前的互联 情况大家都很了解,机遇与危机并存。得益于硬件的迅速发展以及新技术的不断提出,互联 在世界的方方面面也越来越普及,得到了更广泛的应用,但同时,从早期的石头,小球病毒,熊猫烧香到现如今的勒索病毒,也让我们明白了互联 所面临的危机。废话不再多说,今天主要讲作业题涉及到的“杀毒软件的杀毒原理”。
所谓“知己知彼,百战不殆”。如果我们要搞清楚杀毒软件的工作原理,那我们就一定要先搞清楚“毒”是什么毒”一般指恶意代码。恶意代码主要是指以危害信息的安全等不良意图的程序,它们一般潜伏在受害计算机系统中实施破坏或窃取信息。恶意代码主要分为计算机病毒,蠕虫以及木马。下面,我们谈谈这三类恶意代码的特点:
计算机病毒:1.依附性:需要依附于其他文件进行繁殖。2. 隐蔽性:a.引导型病毒:感染磁盘的引导系统,在系统启动时载入内存;b.文件型病毒:感染各类文件,在文件执行时载入内存。
蠕虫:不需要依附于其他文件,可以在计算机系统自行繁殖。蠕虫恶意代码一旦被激活常通过以下步骤复制自己:搜索系统或 络,确认下一步的感染目标 ;建立与其他系统或远程主机的连接;将自身复制到其他系统或远程主机,并尽可能激活他们。
木马:通过冒名顶替的方式,伪装成能够在系统中正常运行的程序,随后与攻击者建立远程连接为攻击者打开入侵的通道。
恶意代码的工作流程:
还有,分享一下大部分杀毒软件与操作系统的关系:(注:以下Mcafee和Norton为两家不同的安全厂商)
我们使用的Intel系列处理器有两个 Ring层,对应两个层,微软的操作系统将系统中的所有行为分为如下几个层:
⑴最底层:系统核心层,这个层的所有行为都由操作系统已经内置的指令来实现,所有外界因素(即使你是系统管理员)均不能影响该层的行为。Norton的核心层既工作在这个层上。
⑵硬件虚拟层(HAL)。为了实现硬件无关性,微软设计了该层。所有的外部工作硬件(相对于系统核心而言)都进入HAL,并被HAL处理为核心层可以相应的指令。我们所使用的硬件的驱动程序既工作在该层上。当外界硬件存在指令请求时,驱动程序作出相关处理后传给核心层。如果无与之对应的驱动相应,那么将按照默认硬件进行处理。好像安全模式下硬件的工作就被置于默认硬件模式。Mcafee的杀毒软件,就被认为工作在HAL层上。
⑶用户层。我们所知的大部分杀毒软件既工作与该层上。一个完整的程序行为请求是如下流程:位于3户层上的应用程序产生指令行为请求,被传递至2HAL进行处理,最后进入1最底层后进入CPU的指令处理循环,然后反向将软件可识别的处理结果经1-2-3再响应给应用程序。对于Norton而言,其整个工作过程如下:3-2-1,完成;Mcafee:3-2-1-1-2,完成:其余:3-2-1-1-2-3,完成;这个环节代表了杀毒软件引擎的前端行为规范的获得。只从这个过程而言,Norton和Mcafee是比较先进的。具体到系统与CPU的Ring()的对应,Win NT时代,微软的NT系统被设计成与四个Ring()层相对应,RISC系列的处理器有四个Ring。因此现在的大部分杀毒软件是不能工作在NT上的。具体来说,CISC有四个Ring(),RISC有两个Ring()。
尽管比较先进的工作方式给Norton和Mcafee带来了较高的系统稳定性(HAL层很少出现问题,最底层出问题的几率接近于零),较快的响应速度(减少了环节),但同时也带来了一些问题:1.资源占用比较厉害。在Mcafee上体现的不是很明显,在Norton上表现非常明显。因为对于越底层的行为,硬件资源分配越多。最好资源的是什么然是操作系统。应为它最最底层。2.卸载问题。卸载底层的组件出问题的概率是相对比较高的,因此Norton的卸载比较慢,偶尔还容易出问题。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!