第十章 计算机病毒防治技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机病毒防治技术
本章的学习目标
• • • • 了解计算机病毒防治的现状 掌握常用病毒防治技术 了解病毒防治技术的缺陷 掌握典型病毒防治方法
• 防治技术概括成四个方面:
– 检测 – 清除 – 预防
• 被动防治
– 免疫
• 主动防治
本章内容
• • • • • 病毒防治技术现状 目前的流行技术 病毒防治技术的缺陷 数据备份与数据恢复 驱动程序设计
驱动程序技术
• DOS设备驱动程序 • VxD(虚拟设备驱动)是微软专门为 Windows制定的设备驱动程序接口规范。 • NT核心驱动程序 • WDM(Windows Driver Model)是 Windows驱动程序模型的简称。 • 作用:开发监控程序、接近系统内核的程 序
32位内核技术 位内核技术
病毒防治技术现状
• 防病毒产品的历史
– 一对一的防病毒产品 – 防病毒卡
• 自身不被感染 • 但不能清楚磁盘病毒
– 90年代中期,查杀防合一 – 90年代末期开始,推出了实时防病毒产品
• 新时期的防病毒产品趋势
– 反黑客技术与反病毒技术相结合 – 从入口拦截病毒(网络入口、系统入口) – 全面解决方案 – 个性化定制(后期服务) – 区域化到国际化
– 病毒清除的准确性
• 从恢复的角度来考虑
数据备份与数据恢复
• • • • • • a-人为原因 b-软件原因 c-盗窃 d-硬件的毁坏 e-计算机病毒 f-硬件故障
45 40 35 30 25 20 15 10 5 0 a b c d e f
在病毒清除工作越来越困难的今天, 数据丢失原因调查 数据备份和恢复成了计算机病毒防治技术的一个核心问题
• 例如,一段程序以如下序列开始:
– MOV AH, 5 – INT 13h – 该程序实现调用格式化盘操作的BIOS指令功能, 那么这段程序就高度可疑值得引起警觉, – 尤其是假如这段指令之前不存在取得命令行关 于执行的参数选项,又没有要求用户交互地输 入继续进行的操作指令时,可以有把握地认为 这是一个病毒或恶意破坏的程序。
• 加密、变形等病毒
• 主要执行过程:
– 在查杀病毒时,在机器虚拟内存中模拟出一个“指令 执行虚拟机器”; – 在虚拟机环境中虚拟执行(不会被实际执行)可疑带 毒文件; – 在执行过程中,从虚拟机环境内截获文件数据,如果 含有可疑病毒代码,则说明发现了病毒。 – 杀毒过程是在虚拟环境下摘除可疑代码,然后将其还 原到原文件中,从而实现对各类可执行文件内病毒的 杀除。
• 首先,32位较16位大大扩展了内存寻址空 间,这是显而易见的,但就反病毒技术而 言,这一问题以前并没有引起我们足够的 重视。 • 其次,16位应用程序无法实现多任务、多 线程调度。 • 系统支持问题。
计算机监控技术
• 计算机监控技术(实时监控技术):
– – – – – 注册表监控 脚本监控 内存监控 邮件监控 文件监控等
– 养成良好的定期备份习惯
• 二、备份系统重要数据
– 磁盘的分区表、主引导区、引导区等重要区域的数据。
• 三、注册表的备份
– 系统把它物理地分为两个文件:USER.DAT(用户设置)和 SYSTEM.DAT(系统设置)。 – 备份方式:
• 系统自动备份
– USER.DAT -〉USER.DAO – SYSTEM.DAT -〉SYSTEM.DAO
• 2.基于自我完整性检查的计算机病毒的免疫方法。
– 为可执行程序增加一个免疫外壳,同时在免疫外壳中 记录有关用于恢复自身的信息。 – 执行具有这种免疫功能的程序时,免疫外壳首先得到 运行,检查自身的程序大小、校验和,生成日期和时 间等情况,没有发现异常后,再转去执行受保护的程 序。 – 这种免疫方法可以看作是一种通用的自我完整性检验 方法。
立体防毒技术
• 全方位的威胁--〉立体防病毒体系 • 立体防毒体系将计算机的使用过程进行逐 层分解,对每一层进行分别控制和管理, 从而达到病毒整体防护的效果。 • 该体系通过安装杀毒、漏洞扫描、病毒查 杀、实时监控、数据备份、个人防火墙、 游戏保护等多种病毒防护手段,将电脑的 每一个安全环节都监控起来,从而全方位 地保护了用户电脑的安全。
广谱特征码
• 是对特征码法的改变,本质上一样。 • 在特征码中加入掩码等。
网络病毒防御技术
• 网络的复杂性--〉网络病毒防御技术 • 用户桌面、工作站、服务器、Internet网关和病毒防火墙 等各个层次进行防护: • 用户桌面的防护:桌面系统和远程PC是主要的病毒感染 用户桌面的防护: 源。 • Internet网关的防护。群件和电子邮件是网络中重要的通 网关的防护。 网关的防护 信联络线。 • 防火墙的防护。在防火墙上过滤多种协议的病毒。 防火墙的防护。 • 基于工作站的防治技术。工作站就像是计算机网络的大门, 基于工作站的防治技术。 只有把好这道大门,才能有效防止病毒的侵入。
• 计算机病毒免疫的方法
– 1.针对某一种病毒进行的计算机病毒免疫
– 把感染标记写入文件和内存,防止病毒感染
• 缺点:
– 对于不设有感染标识的病毒不能达到免疫的目的。 – 当出现这种病毒的变种不再使用这个免疫标志时,或 出现新病毒时,免疫标志发挥不了作用。 – 某些病毒的免疫标志不容易仿制,非要加上这种标志 不可,则对原来的文件要做大的改动。 – 不可能对一个对象加上各种病毒的免疫标识。 – 这种方法能阻止传染,却不能阻止已经感染的病毒的 破坏行为。
Biblioteka Baidu 病毒防治技术的几个阶段
• 第一代反病毒技术采取单纯的病毒特征诊断,但是对加密、 变形的新一代病毒无能为力。 • 第二代反病毒技术采用静态广谱特征扫描技术,可以检测变 形病毒,但是误报率高,杀毒风险大。 • 第三代反病毒技术将静态扫描技术和动态仿真跟踪技术相结 合。 • 第四代反病毒技术基于多位CRC校验和扫描机理、启发式智 能代码分析模块、动态数据还原模块(能查出隐蔽性极强的 压缩加密文件中的病毒)、内存解毒模块、自身免疫模块等 先进解毒技术,能够较好地完成查解毒的任务。 • 第五代反病毒技术主要体现在反蠕虫病毒、恶意代码、邮件 病毒等技术。这一代反病毒技术作为一种整体解决方案出现, 形成了包括漏洞扫描、病毒查杀、实时监控、数据备份、个 人防火墙等技术的立体病毒防治体系。
目前的流行技术
• • • • • • • • 虚拟机技术 宏指纹识别技术 驱动程序技术 计算机监控技术 数字免疫系统 网络病毒防御技术 立体防毒技术 ……
虚拟机技术
• 接近于人工分析的过程 • 原理
– 用程序代码虚拟出一个CPU来,同样也虚拟 CPU的各个寄存器,甚至将硬件端口也虚拟出 来,用调试程序调入“病毒样本”并将每一个 语句放到虚拟环境中执行,这样我们就可以通 过内存和寄存器以及端口的变化来了解程序的 执行,从而判断是否中毒。
• 先进的网络多层病毒防护策略具有三个特点: • 层次性
– 在用户桌面、服务器、Internet网关以及病毒防火墙安 装适当的防毒部件,以网为本、多层次地最大限度地 发挥作用。
• 集成性
– 所有的保护措施是统一的和相互配合的,支持远程集 中式配置和管理。
• 自动化
– 系统能自动更新病毒特征码数据库、杀毒策略和其它 相关信息。
• 优点:
– 解决了用户对病毒的“未知性”,或者说是“不确定 性”问题。 – 实时监控是先前性的,而不是滞后性的。
监控病毒源技术
• 邮件跟踪体系
– 例如,消息跟踪查寻协议(MTQP-Message Tracking Query Protocol)
• 网络入口监控防病毒体系
– 例如,TVCS-Trend Virus Control System
数据备份--个人 备份策略 数据备份 个人PC备份策略 个人
• 一、备份个人数据
– 所谓个人数据就是用户个人劳动的结果,包 括自己制作的各种文档、编制的各种源代码、 下载或从其他途径获取的有用数据和程序等 等。 – 养成良好存放的习惯:
• • • 拒绝所有的缺省位置 个人数据集中存放 经常备份这些数据
• C:\WINDOWS\SYSBCKUP目录中以CAB文件格式备份了最近五天开 机后的系统文件。其备份文件名分别是rb000.cab、rb001.cab、 rb002.cab、rb003.cab和rb005.cab。(可用Windows自带的 Scanreg.exe命令 ) • 手工备份
• 基于服务器的防治技术。网络服务器是计 基于服务器的防治技术。 算机网络的中心。 • 加强计算机网络的管理。管理手段,而非 加强计算机网络的管理。 技术手段。
– 技术被动防御,管理上积极主动 – 硬件设备及软件系统的使用、维护、管理、服 务等各个环节制定出严格的规章制度 – 对管理员及用户加强法制教育和职业道德教育 – 应有专人负责具体事务,跟踪行业新技术
– 开源 – 非开源
检查压缩文件技术
• 压缩文件是病毒的重要藏身地之一。 • 杀毒思路:
– 第一种:压缩病毒码 – 第二种:先解压后查毒(需要虚拟执行技术)
启发式代码扫描技术
• 启发式指的“自我发现的能力”或“运用 某种方式或方法去判定事物的知识和技 能。” • 一个运用启发式扫描技术的病毒检测软件, 实际上就是以特定方式实现的动态跟踪器 或反编译器,通过对有关指令序列的反编 译逐步理解和确定其蕴藏的真正动机。
• 可疑的功能:
– 格式化磁盘类操作 – 搜索和定位各种可执行程序的操作 – 实现驻留内存的操作 – 发现非常的或未公开的系统功能调用的操作等 等。
• 不同的操作赋予不同的权值
免疫技术
• 免疫的原理
– 传染模块要做传染条件判断 – 病毒程序要给被传染对象加上传染标识
• 黑色星期五
– 在正常对象中自动加上这种标识,就可以不受 病毒的传染,起到免疫的作用
• 缺点和不足:
– (1)每个受到保护的文件都要增加1KB-3KB,需要额 外的存储空间。 – (2)现在使用中的一些校验码算法不能满足防病毒的 需要,被某些种类的病毒感染的文件不能被检查出来。 – (3)无法对付覆盖方式的文件型病毒。 3 – (4)有些类型的文件不能使用外加免疫外壳的防护方 法,这样将使那些文件不能正常执行。 – (5)当某些尚不能被病毒检测软件检查出来的病毒感 染了一个文件,而该文件又被免疫外壳包在里面时, 这个病毒就像穿了“保护盔甲”,使查毒软件查不到 它,而它却能在得到运行机会时跑出来继续传染扩散。
移动通讯工具和PDA的杀毒技术 的杀毒技术 移动通讯工具和
• 全新的领域 • 目前已有部分公司(例如,Trend micro、 Mcafee、F-Secure等)推出这类产品。
病毒防治技术的缺陷
• 技术反思
– 一次一次的大面积发生
• 缺陷
– 永无止境的服务
• 库、培训、指导等
– 未知病毒发现
• 有限未知
宏指纹识别技术
• 宏指纹识别技术(Macro Finger)是基于Office复 合文档BIFF格式精确查杀各类宏病毒的技术。 • 其特点是:
– 1、能够查杀Word、Excel、PowerPoint等各类Office 文档中的宏病毒; – 2、能够查出Word、Excel、PowerPoint加密文件中的 宏病毒; – 3、能够清除文档中未知名的宏,因此,从理论上来说 可以查杀所有的未知宏病毒; – 4、可以修复部分宏病毒或其他不合格杀毒产品破坏过 的Office文档。
无缝连接技术
• 嵌入式杀毒技术 • 无缝连接是在充分掌握系统的底层协议和 接口规范的基础上,开发出与之完全兼容 的产品的技术。 • 应用实例
– 右键快捷方式 – 硬盘格式的支持 – Office套件的支持等
主动内核技术
• 在操作系统和网络的内核中加入反病毒功 能,使反病毒成为系统本身的底层模块, 而不是一个系统外部的应用软件是主动内 核技术。 • 应用难度大
数字免疫系统
• 数字免疫系统主要包括封闭循环自动化网络防病 毒技术和启发式侦测技术。 • 前者是一个后端基础设施,可以为企业级用户提 供高级别的病毒保护。 • 后者则可以自动监视可疑行为,为网络防病毒产 品对付未知病毒提供依据。 • 数字免疫系统还可以将病毒解决方案广泛发送到 被感染的PC机上。 • 数字免疫系统的超流量控制。
本章的学习目标
• • • • 了解计算机病毒防治的现状 掌握常用病毒防治技术 了解病毒防治技术的缺陷 掌握典型病毒防治方法
• 防治技术概括成四个方面:
– 检测 – 清除 – 预防
• 被动防治
– 免疫
• 主动防治
本章内容
• • • • • 病毒防治技术现状 目前的流行技术 病毒防治技术的缺陷 数据备份与数据恢复 驱动程序设计
驱动程序技术
• DOS设备驱动程序 • VxD(虚拟设备驱动)是微软专门为 Windows制定的设备驱动程序接口规范。 • NT核心驱动程序 • WDM(Windows Driver Model)是 Windows驱动程序模型的简称。 • 作用:开发监控程序、接近系统内核的程 序
32位内核技术 位内核技术
病毒防治技术现状
• 防病毒产品的历史
– 一对一的防病毒产品 – 防病毒卡
• 自身不被感染 • 但不能清楚磁盘病毒
– 90年代中期,查杀防合一 – 90年代末期开始,推出了实时防病毒产品
• 新时期的防病毒产品趋势
– 反黑客技术与反病毒技术相结合 – 从入口拦截病毒(网络入口、系统入口) – 全面解决方案 – 个性化定制(后期服务) – 区域化到国际化
– 病毒清除的准确性
• 从恢复的角度来考虑
数据备份与数据恢复
• • • • • • a-人为原因 b-软件原因 c-盗窃 d-硬件的毁坏 e-计算机病毒 f-硬件故障
45 40 35 30 25 20 15 10 5 0 a b c d e f
在病毒清除工作越来越困难的今天, 数据丢失原因调查 数据备份和恢复成了计算机病毒防治技术的一个核心问题
• 例如,一段程序以如下序列开始:
– MOV AH, 5 – INT 13h – 该程序实现调用格式化盘操作的BIOS指令功能, 那么这段程序就高度可疑值得引起警觉, – 尤其是假如这段指令之前不存在取得命令行关 于执行的参数选项,又没有要求用户交互地输 入继续进行的操作指令时,可以有把握地认为 这是一个病毒或恶意破坏的程序。
• 加密、变形等病毒
• 主要执行过程:
– 在查杀病毒时,在机器虚拟内存中模拟出一个“指令 执行虚拟机器”; – 在虚拟机环境中虚拟执行(不会被实际执行)可疑带 毒文件; – 在执行过程中,从虚拟机环境内截获文件数据,如果 含有可疑病毒代码,则说明发现了病毒。 – 杀毒过程是在虚拟环境下摘除可疑代码,然后将其还 原到原文件中,从而实现对各类可执行文件内病毒的 杀除。
• 首先,32位较16位大大扩展了内存寻址空 间,这是显而易见的,但就反病毒技术而 言,这一问题以前并没有引起我们足够的 重视。 • 其次,16位应用程序无法实现多任务、多 线程调度。 • 系统支持问题。
计算机监控技术
• 计算机监控技术(实时监控技术):
– – – – – 注册表监控 脚本监控 内存监控 邮件监控 文件监控等
– 养成良好的定期备份习惯
• 二、备份系统重要数据
– 磁盘的分区表、主引导区、引导区等重要区域的数据。
• 三、注册表的备份
– 系统把它物理地分为两个文件:USER.DAT(用户设置)和 SYSTEM.DAT(系统设置)。 – 备份方式:
• 系统自动备份
– USER.DAT -〉USER.DAO – SYSTEM.DAT -〉SYSTEM.DAO
• 2.基于自我完整性检查的计算机病毒的免疫方法。
– 为可执行程序增加一个免疫外壳,同时在免疫外壳中 记录有关用于恢复自身的信息。 – 执行具有这种免疫功能的程序时,免疫外壳首先得到 运行,检查自身的程序大小、校验和,生成日期和时 间等情况,没有发现异常后,再转去执行受保护的程 序。 – 这种免疫方法可以看作是一种通用的自我完整性检验 方法。
立体防毒技术
• 全方位的威胁--〉立体防病毒体系 • 立体防毒体系将计算机的使用过程进行逐 层分解,对每一层进行分别控制和管理, 从而达到病毒整体防护的效果。 • 该体系通过安装杀毒、漏洞扫描、病毒查 杀、实时监控、数据备份、个人防火墙、 游戏保护等多种病毒防护手段,将电脑的 每一个安全环节都监控起来,从而全方位 地保护了用户电脑的安全。
广谱特征码
• 是对特征码法的改变,本质上一样。 • 在特征码中加入掩码等。
网络病毒防御技术
• 网络的复杂性--〉网络病毒防御技术 • 用户桌面、工作站、服务器、Internet网关和病毒防火墙 等各个层次进行防护: • 用户桌面的防护:桌面系统和远程PC是主要的病毒感染 用户桌面的防护: 源。 • Internet网关的防护。群件和电子邮件是网络中重要的通 网关的防护。 网关的防护 信联络线。 • 防火墙的防护。在防火墙上过滤多种协议的病毒。 防火墙的防护。 • 基于工作站的防治技术。工作站就像是计算机网络的大门, 基于工作站的防治技术。 只有把好这道大门,才能有效防止病毒的侵入。
• 计算机病毒免疫的方法
– 1.针对某一种病毒进行的计算机病毒免疫
– 把感染标记写入文件和内存,防止病毒感染
• 缺点:
– 对于不设有感染标识的病毒不能达到免疫的目的。 – 当出现这种病毒的变种不再使用这个免疫标志时,或 出现新病毒时,免疫标志发挥不了作用。 – 某些病毒的免疫标志不容易仿制,非要加上这种标志 不可,则对原来的文件要做大的改动。 – 不可能对一个对象加上各种病毒的免疫标识。 – 这种方法能阻止传染,却不能阻止已经感染的病毒的 破坏行为。
Biblioteka Baidu 病毒防治技术的几个阶段
• 第一代反病毒技术采取单纯的病毒特征诊断,但是对加密、 变形的新一代病毒无能为力。 • 第二代反病毒技术采用静态广谱特征扫描技术,可以检测变 形病毒,但是误报率高,杀毒风险大。 • 第三代反病毒技术将静态扫描技术和动态仿真跟踪技术相结 合。 • 第四代反病毒技术基于多位CRC校验和扫描机理、启发式智 能代码分析模块、动态数据还原模块(能查出隐蔽性极强的 压缩加密文件中的病毒)、内存解毒模块、自身免疫模块等 先进解毒技术,能够较好地完成查解毒的任务。 • 第五代反病毒技术主要体现在反蠕虫病毒、恶意代码、邮件 病毒等技术。这一代反病毒技术作为一种整体解决方案出现, 形成了包括漏洞扫描、病毒查杀、实时监控、数据备份、个 人防火墙等技术的立体病毒防治体系。
目前的流行技术
• • • • • • • • 虚拟机技术 宏指纹识别技术 驱动程序技术 计算机监控技术 数字免疫系统 网络病毒防御技术 立体防毒技术 ……
虚拟机技术
• 接近于人工分析的过程 • 原理
– 用程序代码虚拟出一个CPU来,同样也虚拟 CPU的各个寄存器,甚至将硬件端口也虚拟出 来,用调试程序调入“病毒样本”并将每一个 语句放到虚拟环境中执行,这样我们就可以通 过内存和寄存器以及端口的变化来了解程序的 执行,从而判断是否中毒。
• 先进的网络多层病毒防护策略具有三个特点: • 层次性
– 在用户桌面、服务器、Internet网关以及病毒防火墙安 装适当的防毒部件,以网为本、多层次地最大限度地 发挥作用。
• 集成性
– 所有的保护措施是统一的和相互配合的,支持远程集 中式配置和管理。
• 自动化
– 系统能自动更新病毒特征码数据库、杀毒策略和其它 相关信息。
• 优点:
– 解决了用户对病毒的“未知性”,或者说是“不确定 性”问题。 – 实时监控是先前性的,而不是滞后性的。
监控病毒源技术
• 邮件跟踪体系
– 例如,消息跟踪查寻协议(MTQP-Message Tracking Query Protocol)
• 网络入口监控防病毒体系
– 例如,TVCS-Trend Virus Control System
数据备份--个人 备份策略 数据备份 个人PC备份策略 个人
• 一、备份个人数据
– 所谓个人数据就是用户个人劳动的结果,包 括自己制作的各种文档、编制的各种源代码、 下载或从其他途径获取的有用数据和程序等 等。 – 养成良好存放的习惯:
• • • 拒绝所有的缺省位置 个人数据集中存放 经常备份这些数据
• C:\WINDOWS\SYSBCKUP目录中以CAB文件格式备份了最近五天开 机后的系统文件。其备份文件名分别是rb000.cab、rb001.cab、 rb002.cab、rb003.cab和rb005.cab。(可用Windows自带的 Scanreg.exe命令 ) • 手工备份
• 基于服务器的防治技术。网络服务器是计 基于服务器的防治技术。 算机网络的中心。 • 加强计算机网络的管理。管理手段,而非 加强计算机网络的管理。 技术手段。
– 技术被动防御,管理上积极主动 – 硬件设备及软件系统的使用、维护、管理、服 务等各个环节制定出严格的规章制度 – 对管理员及用户加强法制教育和职业道德教育 – 应有专人负责具体事务,跟踪行业新技术
– 开源 – 非开源
检查压缩文件技术
• 压缩文件是病毒的重要藏身地之一。 • 杀毒思路:
– 第一种:压缩病毒码 – 第二种:先解压后查毒(需要虚拟执行技术)
启发式代码扫描技术
• 启发式指的“自我发现的能力”或“运用 某种方式或方法去判定事物的知识和技 能。” • 一个运用启发式扫描技术的病毒检测软件, 实际上就是以特定方式实现的动态跟踪器 或反编译器,通过对有关指令序列的反编 译逐步理解和确定其蕴藏的真正动机。
• 可疑的功能:
– 格式化磁盘类操作 – 搜索和定位各种可执行程序的操作 – 实现驻留内存的操作 – 发现非常的或未公开的系统功能调用的操作等 等。
• 不同的操作赋予不同的权值
免疫技术
• 免疫的原理
– 传染模块要做传染条件判断 – 病毒程序要给被传染对象加上传染标识
• 黑色星期五
– 在正常对象中自动加上这种标识,就可以不受 病毒的传染,起到免疫的作用
• 缺点和不足:
– (1)每个受到保护的文件都要增加1KB-3KB,需要额 外的存储空间。 – (2)现在使用中的一些校验码算法不能满足防病毒的 需要,被某些种类的病毒感染的文件不能被检查出来。 – (3)无法对付覆盖方式的文件型病毒。 3 – (4)有些类型的文件不能使用外加免疫外壳的防护方 法,这样将使那些文件不能正常执行。 – (5)当某些尚不能被病毒检测软件检查出来的病毒感 染了一个文件,而该文件又被免疫外壳包在里面时, 这个病毒就像穿了“保护盔甲”,使查毒软件查不到 它,而它却能在得到运行机会时跑出来继续传染扩散。
移动通讯工具和PDA的杀毒技术 的杀毒技术 移动通讯工具和
• 全新的领域 • 目前已有部分公司(例如,Trend micro、 Mcafee、F-Secure等)推出这类产品。
病毒防治技术的缺陷
• 技术反思
– 一次一次的大面积发生
• 缺陷
– 永无止境的服务
• 库、培训、指导等
– 未知病毒发现
• 有限未知
宏指纹识别技术
• 宏指纹识别技术(Macro Finger)是基于Office复 合文档BIFF格式精确查杀各类宏病毒的技术。 • 其特点是:
– 1、能够查杀Word、Excel、PowerPoint等各类Office 文档中的宏病毒; – 2、能够查出Word、Excel、PowerPoint加密文件中的 宏病毒; – 3、能够清除文档中未知名的宏,因此,从理论上来说 可以查杀所有的未知宏病毒; – 4、可以修复部分宏病毒或其他不合格杀毒产品破坏过 的Office文档。
无缝连接技术
• 嵌入式杀毒技术 • 无缝连接是在充分掌握系统的底层协议和 接口规范的基础上,开发出与之完全兼容 的产品的技术。 • 应用实例
– 右键快捷方式 – 硬盘格式的支持 – Office套件的支持等
主动内核技术
• 在操作系统和网络的内核中加入反病毒功 能,使反病毒成为系统本身的底层模块, 而不是一个系统外部的应用软件是主动内 核技术。 • 应用难度大
数字免疫系统
• 数字免疫系统主要包括封闭循环自动化网络防病 毒技术和启发式侦测技术。 • 前者是一个后端基础设施,可以为企业级用户提 供高级别的病毒保护。 • 后者则可以自动监视可疑行为,为网络防病毒产 品对付未知病毒提供依据。 • 数字免疫系统还可以将病毒解决方案广泛发送到 被感染的PC机上。 • 数字免疫系统的超流量控制。