正不知从哪个方面入手的张秋,想着想着,突然他脑海中灵光一闪,已经有了一个全新的念头。
一般的杀毒软件,都是从特征码识别码等方面来判断已知病毒的。对于未知病毒,则通过它的行为来判定是否有害。
如果一个病毒能够绕过去这些检测手段,那么就不会被杀毒软件报毒。而一些软件即使没有病毒,但是因为行迹可疑,或者特征码可疑,也会被当做是病毒来处理。
万圣病毒就是因为绕过了杀毒软件的判定机制,所以杀毒软件根本没法发现万圣病毒。
而等你自己发现万圣病毒的时候,电脑已经失去了控制力。而你好不容易写出一款专杀工具,它又变异了,所以万圣病毒才会这么难缠。
但是刚才回忆分析万圣病毒的变异规律等各种数据的时候,张秋突然发现,万圣病毒的各种版本,虽然特征码都会变化,但是它的行为似乎都没有什么变化。
安全软件里面就有监测行为来判别软件是否安全的机制,但是那是针对整个系统的,所以算法十分的庞大复杂,难免会出现漏洞。
而如果按照这个思路,专门针对万圣病毒,做一款防护软件,那么是不是可行呢?
万圣病毒的行为就那么几个,锁定屏幕、控制鼠键以及遭遇攻击删除文件。
但是删除文件是某个版本之后加进去的功能,而它锁定屏幕与控制鼠键的功能并没有消失。
通过破译过程中的各种研究来看,不同版本虽然特征码已经不同了,但是它们行为特征都是一样的。
只要针对万圣病毒的行为特征,编写一款专门的保护软件,那么不就可以间接的解决这个问题了么?
这样一来,这个软件,还不仅仅只是万圣病毒专杀的作用呢。因为别的病毒,也有可能侵害这些领域。
不过现在的关键是如果判定什么行为是属于侵害