杀毒与免杀技术详解之一：介绍

    我一直以来对系统安全很感兴趣，各种跌跌撞撞的学习，看了不少资料，正好写文章分享知识。杀毒软件现在家家户户都在用，我这一装系统就带着360这个必备软件。我时常会进行”体检”，让自己的电脑免受病毒的侵扰，很多时候，它都能帮电脑消除不少安全隐患。
    是否你也曾好奇它的原理呢？让我们一起来学习吧。

    这篇文章我们先谈谈杀毒软件的历史和原理。

1. 杀毒软件历史

    所谓杀毒软件，目的肯定是消除掉病毒、木马之类的恶意软件，肯定是先有病毒才有杀毒的嘛！病毒可能会破坏我们的系统；木马目的是盗取我们的信息；后门能对我们的电脑造成持续的威胁。肯定是不能坐以待毙，所以就有了杀毒软件！
    我们先来看一张表:

国内杀毒和恶意软件的发展阶段:
1988年-1995年:
  中国发现早期病毒，随之出现了 第一代反病毒引擎——简单特征码引擎，为以后技术的发展奠定了基础
1996年-1998年:
  瑞星、金山、江民等杀软占据市场。江民公司创造了 广谱特征码技术，将一些通用的特征提取出来进行对比，使查杀效率大幅提升。同时也出现了针对杀软的自动变异病毒。
1999年-2007年:
  攻防博弈变得激烈， 出现针对特征码的专用免杀工具CCL、免杀技术变得热门，只靠特征码引擎是不够的。因此，出现了 启发式引擎(静态分析代码结构、动态虚拟机监控行为)，能查杀一些未知病毒
07年至今:
   主动防御技术出现并且不断发展。许多新兴技术崛起， 云查杀、多引擎查杀、人工智能引擎等等。

    从表中可以看出，反病毒技术和病毒技术都在不断提升，攻防是对立的，并且相互促进。安全界有一句话:”未知攻，焉知防”，只有了解攻击的手段，才能部署防御的策略。

2.杀毒软件原理

    那么现在杀软一般都应用了哪些技术呢？工作流程如何呢？
    其实，杀软的核心始终是杀毒引擎。
    杀毒引擎提供了识别病毒的方法，例如:小红伞引擎、360QVM引擎、网盾等，都是比较优秀的引擎。杀毒软件通过组合、使用它们，就能提供综合的系统防护。
    如下面原理图所示:

    从功能上讲，杀软主要提供主动防御和病毒扫描两种功能。

• 主动防御: 这是现在杀软很重要的一个模块，通过监控程序行为、监视系统函数、分析内存中程序的结构识别出病毒。它的工作时常深入底层(ring0层)。因为在系统底层的权限才最大，恶意软件的技术早已深入底层，所以主动防御为了“主动”，必须深入底层。
• 病毒扫描: 这个功能是杀毒软件的根本。人们对这项技术的研究这几十年从未间断，各种扫描方式涌现了出来。就像360杀毒，同时采用了5种引擎(现在的抢鲜版)，以求查杀的准确。

3.总结和学习

    杀软的现状就是这样，当然，免杀技术的发展也是非常迅速的。
    对于使用多种引擎的杀毒软件，可以采用逐个击破的办法，一个一个地分析、修改特征码，让杀软没办法查杀出来。当然，过一段时间，某次杀软更新(云)病毒库时，就又会被识别出来了。

    我们可以通过学习它的原理，了解到软件安全、内核原理的知识，也能够接触到操作系统底层的一些知识，何乐而不为呢？
    让我们一起进步吧，有什么补充尽管提哈，多交流。我们下篇见