3新手无毒第三课杀软术语与测试.doc

新手无毒培训班第三课完全教程(杀软常用术语和测试)时间:2008-08-13 15:21来源:网络 作者:未知 点击: 278次海崖星(14667685) 21:01:39学了上节课的病毒常用术语，现在继续介绍安全软件的各种专业词海崖星(14667685) 21:02:44目前版的杀毒软件都新加了一个不错的功能，也是现在比较流行的主动防御海崖星(14667685) 21:03:32以前的（也包括现在）杀毒软件采取的是黑名单机制（病毒库就是一个黑名单）海崖星(14667685) 21:03:49它又叫做特征值扫描技术海崖星(14667685) 21:04:12其核心是从病毒体中提取病毒特征值构成病毒特征库，杀毒软件将用户计算机中的文件或程序等目标，与病毒特征库中的特征值逐一比对，判断该目标是否被病毒感染海崖星(14667685) 21:04:43所以以前有些人就会通过修改病毒特征码做免杀病毒来避免杀软海崖星(14667685) 21:05:57这样杀毒软件厂商只有发现并捕获到新病毒后，才有可能从病毒体中提取其特征值!一个程序中的特征代码如果在病毒库就杀，不在就视为正常程序。这种做法的好处是不干扰正常程序运行，任何人都能用。海崖星(14667685) 21:07:29这种方法是十分有效的-病毒就那么几个，杀了就没事了。但这个年代早已成为甜蜜的回忆。现在的网络环境，病毒数量十分庞大，而且繁殖速度可以和老鼠苍蝇媲美-在一个到处是苍蝇的地方，拍死几只几十只几万只又能如何。 所以说杀毒软件治标不治本。无论升级多么频繁，无论病毒库多大，都只能包含一部分已知病毒，对大量新病毒无能为力。但是新病毒一样是病毒，一样能要人命，所以这种方法比较被动，往往都是病毒流行后才能针对其查杀海崖星(14667685) 21:08:18对于特征值扫描技术的这种缺点，主动防御应运而生了海崖星(14667685) 21:09:23平时说的的“主动防御”，就是全程监视进程的行为，一但发现“违规”行为，就通知用户，或者直接终止进程。它类似于警察判断潜在罪犯的技术，在成为一个罪犯之前，大多数人都有一些异常行为，比如“性格孤僻，有暴力倾向，自私自利，对现实不满”等先兆，但是并不是说有这些先兆的人就都会发展为罪犯，或者说罪犯都有这些先兆海崖星(14667685) 21:10:51因此其优点就是不依赖病毒的特征代码，病毒刚刚出炉就能防御，即使修改病毒特征也不能躲过主动防御 傻傻d（45317269）已成为本群的管理员。海崖星(14667685) 21:11:54大家常见到的杀软词语就是主动防御的一种海崖星(14667685) 21:12:59HIPS，全称是Host Intrusion Prevent System ，翻译过来是主机入侵防御系统本质上是行为控制软件，能做的事情很多，防范病毒只是它应用的一个方面。利用它你可以对操作系统和各种应用软件随意进行控制。你想让哪个程序运行，它就能运行，不想让哪个程序运行，它就不能运行；你想让哪类文件能创建，它就能创建，不想让哪类文件创建，它就不能创建。但是它又不像某些人想当然地认为的那样，每个动作都拦截，每一步都报警，“拦截！拦截！密不透风！”-如果真有这样的软件，谁用谁脑子有毛病。它是依据规则进行工作的，拦截什么，不拦截什么，操作是询问、允许还是阻止，全在规则。海崖星(14667685) 21:13:47同一个软件，规则不同，效果可能有天壤之别。 就好像一把利剑，在高手和庸手手中发挥的力量就截然不同海崖星(14667685) 21:14:35由于HIPS依据规则进行工作，所以它没有病毒库，对病毒的识别能力为0，清除能力为0。你也许不放心：既不能识毒，又不能杀毒，如何保证安全？答：正是由于抛弃了病毒库，才超越了病毒库，彻底从病毒库的束缚中解脱出来，从“病毒出现用户中毒上报分析病毒更新病毒库新的病毒出现”这一循环中跳出来，获得了极大自由！ 海崖星(14667685) 21:15:43如果说传统杀毒软件是治病良药，那具有主动防御能力的就是平时的坚持运动，合理饮食，是以预防疾病为主的海崖星(14667685) 21:16:33那为什么HIPS在没有病毒库的情况下能防御未知病毒（当然已知病毒也不在话下）？海崖星(14667685) 21:16:48未知病毒也是病毒，也会表现出病毒的行为，比如将自身复制到系统关键目录，修改注册表实现自动运行，加载驱动取得系统控制权，感染可执行文件，监视键盘输入盗用户密码等等。传统的杀毒软件，对这些是不管不问的。海崖星(14667685) 21:17:46比如向系统关键目录写入可执行文件，或替换系统正常程序，这是典型的病毒行为，杀软只能眼睁睁看着-然后又眼睁睁地看着它进行下一个行为。因为它不管病毒行为，只认特征码。而HIPS管的就是软件的行为，它就是专门干这个的。只要针对病毒常见行为编制好规则，将这些行为禁止，再牛的病毒也得废。 海崖星(14667685) 21:19:01当然现在也不是没有可以突破主动防御的病毒，即使这样，这样一来这样一来这样一来仍然比传统杀软更有优势海崖星(14667685) 21:19:44那是如何监控程序的非法行为呢海崖星(14667685) 21:20:06这就是有名的监控海崖星(14667685) 21:21:12AD: 阻止未知程序运行。RD: 没有安装HIPS的电脑，其注册表是不设防的，任何程序均可随意修改，包括重要和危险键值。而有了HIPS,就可以把这些键值保护起来。略举一例：任何病毒都需要修改注册表，实现开机启动。如果把这些键值保护起来，使病毒不能随系统启动，那它就只能称为垃圾而没有任何危害。还用得着杀吗？任何危险的能被病毒利用的地方，都可以保护起来。 FD: 病毒的实质是什么？程序。它以什么形式存在？文件。因此，只要设好规则，禁止特定文件建立，就可以有效杜绝病毒入侵。就像人是以肉体的形式存在，没有了肉体，怎能做坏事？ 海崖星(14667685) 21:22:08以上就是目前很流行的防毒技术主动防御介绍海崖星(14667685) 21:22:26下一个术语海崖星(14667685) 21:23:13什么是蜜罐(Honeypot)蜜罐系统好比是情报收集系统。蜜罐好像是故意伪装成漏洞累累而让人攻击的目标，引诱黑客前来攻击。所以攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞。还可以通过*黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。海崖星(14667685) 21:24:59什么是沙盒盘（影子系统）这是一种安全功能。在里面运行的程序和所有操作都可以不保留,是个与实际操作系统安全隔离开用来做测试的环境,是一个完全模仿真实系统的虚拟空间所以并不会影响主机的各种性能海崖星(14667685) 21:26:47以上是目前的主要安全软件使用技术的术语解释海崖星(14667685) 21:28:07大家也应该都用过各类杀毒软件吧，现在网上杀软更新很快，往往有很多非正式版本被公开，下面就说说杀软的各种版本号代表的意思海崖星(14667685) 21:28:25(Alpha)版此版本表示该软件仅仅是一个初步完成品，通常只在软件开发者内部交流，也有很少一部分发布给专业测试人员。一般而言，该版本软件的Bug较多，普通用户最好不要安装。（Beta）版该版本相对于版已有了很大的改进，消除了严重的错误，但还是存在着一些缺陷，需要经过大规模的发布测试来进一步消除。这一版本通常由软件公司免费发布，用户可从相关的站点下载。通过一些专业爱好者的测试，将结果反馈给开发者，开发者们再进行有针对性的修改。该版本也不适合一般用户安装。版该版本已经相当成熟了，与即将发行的正式版相差无几，如果用户实在等不及了，尽可以装上一试。foRg!ve 21:29:09 海崖星(14667685) 21:29:13Trial（试用版）试用版软件在最近的几年里颇为流行，主要是得益于互联网的迅速发展。该版本软件通常都有时间限制，过期之后用户如果希望继续使用，一般得交纳一定的费用进行注册或购买。有些试用版软件还在功能上做了一定的限制。Unregistered（未注册版）未注册版与试用版极其类似，只是未注册版通常没有时间限制，在功能上相对于正式版做了一定的限制，虽然在使用上与正式版毫无二致，但是动不动就会弹出一个恼人的消息框来提醒你注册海崖星(14667685) 21:29:33Demo版也称为演示版，在非正式版软件中，该版本的知名度最大。Demo版仅仅集成了正式版中的几个功能，颇有点像Unregistered。不同的是，Demo版一般不能通过升级或注册的方法变为正式版。海崖星(14667685) 21:29:45以上是软件正式版本推出之前的几个版本，、可以称为测试版，大凡成熟软件总会有多个测试版，如Windows 98的版，前前后后将近有10个。这么多的测试版一方面为了最终产品尽可能地满足用户的需要，另一方面也尽量减少了软件中的Bug。而Trial、Unregistered、Demo有时统称为演示版，这一类版本的广告色彩较浓，颇有点先尝后买的味道，对于普通用户而言自然是可以免费尝鲜了。海崖星(14667685) 21:29:53以上是软件正式版本推出之前的几个版本，、可以称为测试版，大凡成熟软件总会有多个测试版，如Windows 98的版，前前后后将近有10个。这么多的测试版一方面为了最终产品尽可能地满足用户的需要，另一方面也尽量减少了软件中的Bug。而Trial、Unregistered、Demo有时统称为演示版，这一类版本的广告色彩较浓，颇有点先尝后买的味道，对于普通用户而言自然是可以免费尝鲜了。海崖星(14667685) 21:30:36用完测试版就应该上正式了，其实正式版本之间也有很多不同海崖星(14667685) 21:32:53最常见就是比如的卡吧之类它们前面第一个数字和分别代表主的版本号，后面的就是系列的一个版本，以后修复些小可能就会变成之类后面的数字不管怎么变，该版本变化都不会太大海崖星(14667685) 21:33:38如果第一个数字边了，比如卡吧和卡吧，那功能和界面及使用的技术都会有很大变化海崖星(14667685) 21:34:15正式版本还有如下：Release该版本意味“最终释放版”，在出了一系列的测试版之后，终归会有一个正式版本，对于用户而言，购买该版本的软件绝对不会错。该版本有时也称为标准版。一般情况下，Release不会以单词形式出现在软件封面上，取而代之的是符号(r)海崖星(14667685) 21:35:04OEM版OEM版通常是捆绑在硬件中而不单独销售的版本。将自己的产品交给别的公司去卖，保留自己的著作权，双方互惠互利，一举两得。单机（网络）版网络版在功能、结构上远比单机版复杂，如果留心一下软件的报价，你就会发现某些软件单机版和网络版的价格相差非常大，有些网络版甚至多一个客户端口就要加不少钱。海崖星(14667685) 21:36:04有关杀软知识主要是这些，但不止这些，时间限制所以我只说说最常用常见的香苦寒来(350962779) 21:36:23 海崖星(14667685) 21:36:47很多网友对选择什么杀毒软件都很犹豫，除了听取一些高手意见也会看看杀软的测试和评价海崖星(14667685) 21:37:37网友对杀软的测试往往会因为机器配置和设置及环境道具的不同而产生差距较大的测试结果海崖星(14667685) 21:38:17而很多国际性测试都是受到用户注意和追捧的海崖星(14667685) 21:39:29那什么是海崖星(14667685) 21:40:18VB 100% Award奖项是英国著名的独立病毒测试中心Bulletin（ ）以世界性组织Wild List病毒资料库作为病毒来源,对世界各国的防病毒软件进行测试后，诊断率100%、误诊率0%时赋予的奖项.多年来，Virus Bulletin机构一直对杀毒软件产品进行独立的比较测试。Virus Bulletin测试是业内公认的杀毒软件测评，这项测试注重杀毒产品的病毒防护率和扫描速度，以及它们对测试设置的无毒文件的反应。VB100奖开设于1998年。一款杀毒产品只有通过全部测试才能被授予VB100奖并使用VB100的logo，这些测试包括：杀毒软件在手动扫描和主动扫描模式下均能防御所有的流行病毒；在扫描无毒文件时没有产生任何误报；软件必须在默认设置下满足上述要求。流行病毒是指那些出现在流行病毒列表上的病毒，它们近期活跃，造成了病毒事件，并且不仅仅是在一两个孤立的地点发作。如果一款杀毒软件不能防御这些病毒，这款产品是不可能广泛适用的。海崖星(14667685) 21:40:38该测试对一款杀毒软件的基本要求是：不论是在手动扫描模式还是在主动扫描模式，在软件默认的设置下，能够抵御所有的流行病毒，并且在扫描无毒文件时不产生错报,所有的测试都将在手动扫描和主动扫描两种模式下进行。在任何一个模式下，如果一款杀毒软件对流行病毒库里的任何一个样本防御失败或者产生误报，它都将无缘VB100奖海崖星(14667685) 21:41:26VB100%测试是每两个月举行一次，每次的系统环境都不同。一次通过测试并不能说明什么，金山第一次通过的是64位Vista测试，一般用户很少有用到这样的环境的；而金山通过的第二次，是Vista SP1，还算有些意义吧。海崖星(14667685) 21:41:59很多杀软在的不同环境下结果都很有差距海崖星(14667685) 21:43:05VB100%的样本，收集于全球的互联网络，但中国本土的样本数并不是很多，大多都是欧洲及西方国家的样本，所以一款杀毒软件在VB100%中的表现，并不能说明一切。所以虽然这些测试对杀软实力有比较好的体现但大家也不需要过分迷信国际权威测试海崖星(14667685) 21:44:21除了最著名的，还有ICSAICSA实验室的产品认证程序可以为用户提供保证：凡是获得ICSA实验室认证的反病毒产品在减少因病毒而引起的安全隐患方面，都可以满足一系列的公众检验标准和业界接受的规范。要想获得ICSA实验室在Internet网关领域认证的产品必须要：100%检测到当前在“野生病毒列表”中已列出的病毒；检测到90%的ICSA宏病毒库中的病毒；检测到压缩文件中的病毒，包括但不限于使用PKZip格式的压缩文件；检测到以uuencode格式进行编码的电子邮件中的病毒；检测到以“MIME”格式进行编码的电子邮件中的病毒，并且在扫描时能够记录所有的活动 等等，也是比较严格海崖星(14667685) 21:45:06英国西海岸实验室（WestCoastLabs）的权威认证，包括Checkmark一级（Level1）、二级（Level2）和木马（Trojan）三项内容 其中难度极大是木马认证。认证的通过意味着杀毒软件的品质得到国际权威检测机构的认可，其核心技术达到了世界一流水平。 Checkmark认证始于1996年，是国际上信息安全类产品的最高认证之一。Checkmark二级认证，是英国西海岸实验室所授予杀毒产品的最高级别认证，而Checkmark木马认证要求被评测的产品能够100查出所有测试木马样本，并且扫描误报测试专用样本时的误报率为0 WestCoastLabs(西海岸实验室)位于英国，其从1996年推出Checkmark认证方案，测试各类信息安全产品与国际统一认可的最基本标准及规范的符合性表现。目前，Checkmark认证标准已被全球认可为最值得信赖的指标之一。 西海岸实验室(WestCoastLabs)的使命就是为信息安全产品和服务提供准确且高质量的技术确认，该公司建立很长时间来都在提供安全产品测试与评估，其受人尊重的Checkmark认证流程背后蕴藏着专业的技术背景支撑。 西海岸实验室颁布的Checkmark认证证书，体现产品在真实环境标准下的测试结果。对于反病毒产品来讲，Checkmark一级认证是奖励能侦测到病毒的防毒产品，而Checkmark二级认证，是西海岸实验室(West Coast Labs)所授予的最高级别的认证，仅授予那些既能够侦测病毒又能够解除病毒病毒威胁的产品，即侦测和解除病毒危险程度评估组织(WildList Organization)所发布的各种极具破坏性病毒的威胁。 目前市面多数的防毒产品多能通过其