20155206《网络攻防》第三次实验

20155206《网络攻防》第三次实验_免杀及其原理

恶意代码的免杀

、首先明确一点，恶意代码是如何被杀的，只有知道了如何查杀病毒才可以去谈如何避免我们做的病毒不被查杀，现在我们大众接触到的杀毒软件国内国外有很多种，其实他们根本的方法都是一样的，只是各家对于现在留存于世的恶意代码的研究深度不同，而且对于不同环境下的可疑文件分析方式也是不同，所以才有目前我们见到的各种各样的杀毒软件。

查杀方式

、基于特征码的检测方式，所谓的特征码就是大家在研究恶意代码的时候，发现很多的恶意代码，他们的底层文件信息，也就是机器语言，上都有一些字段是相同的，因为现在的人们的系统中，很多的端口规范化使用，而且防火墙禁止了许多开放端口服务，很多的恶意代码混进来都是靠着一些一直开放的端口服务，而且恶意代码的功能总是大同小异，所以总是有一些相似的底层代码，也就是我们所说的特征码，通过扫描可疑文件的底层代码进行恶意代码的识别和查杀就是我们所说的基于特征码的查杀了。而且后来大家发现有些恶意代码可能传播具有地区局限性，或是先出来跳了几天，风头紧就躲了起来，为了防止这些恶意代码，杀软的工作人员建立了一个名叫病毒库的强大后台，省的每次都要那么的麻烦的进行扫描分析。这样一来，对于被检测出来的恶意代码的查杀便得就像是打卡上班一样的轻松。

、启发式的恶意代码查杀，这样查杀我感觉就是当年大家刚刚设计出互联网时，只是单单对于通信传输方面进行了完善的设计，忘记了肯定有人就是搞事情这样的万年不变的定律，然后被一干恶意代码搞了好几波之后，对于恶意代码是深恶痛绝，只要你敢和恶意软件长得几分相似，我就要收拾你丫的，启发式查杀就是给我一种这样的感觉，通过对于软件和现有病毒库中的各个样本们进行比对，要是相似程度大于一个杀软设计者给定值后，就把这个软件查杀了，但是本来很多恶意软件就是基于很多软件进行的代码重构或是暗地捆绑，这样做的话让一些本来只是老老实实的软件也跟着遭了秧，这是杀软行业中的“宁可错杀三千，不能放过一个恶意代码”政策。

、基于软件行为的查杀，其实吧，这种方式就像是，一个敌方的间谍混入到了我们广大人民群众中去了，但是吧，这个间谍并没有每天干着各种坏事，也像是我们普通人一样，每天该干啥干啥，但是吧，间谍总是间谍，总是要体现以下职业道德的，但是只要他干了坏事，我们就立马抓住他，然后处理他。基于行为的查杀也是一样，因为恶意代码要干的事情，其实就是那么几个，要不透露个个人信息，悄咪咪发出去；或是给贼人开个后门，让贼人进入我们自家地方，但是我们的杀软可谓是把控着进出的每个通道，只要有人敢这样做，杀软就二话不说查杀了就是了。这样的查杀方式，就显得很是全面了，有些新型的恶意代码没有在病毒库中备案，也没有和哪个恶意代码长得有几分相像，但是只要是干了坏事，那就是我们的敌人，坚决干掉不留情面。