Add to the library

EN RU CN DE EN ES FR JP PL UA

News & Events | Promotions | Licensing center | Anti-cyber fraud center | Customers | Company

Dr.Web反病毒引擎技术

今天从事病毒编写、传播的犯罪团伙的存在使病毒生产产业化,造成恶意软件数量呈爆炸式增长,这会立即体现在每天向病毒库添加的特征码数量上。

事实

  • 平均每天Doctor Web公司反病毒实验室收到的恶意软件样本数量不少于 60000个。
  • 2012年11月27日曾创下“纪录”—— 一天内接收到的样本超过300000个,不法分子每天生产的恶意软件数量还远不止这一数字。

病毒分析师不是魔术师,不可能马上对每天接收到的数以万计的可疑文件作出分析。反病毒软件仅利用特征码(病毒库已知病毒)来抓获病毒的时代早已成为过去。如果仅使用特征码侦测方法抵御病毒,反病毒软件会无力应对任何未知威胁。但反病毒软件还是最好且唯一有效的抵御各类恶意软件的手段,最重要的原因就是抵御的不仅是病毒库已有记录的已知威胁,而且能够抵御还没有记录的未知威胁。

Dr.Web产品使用多种高效的非特征码技术来侦测未知恶意软件,并解除其威胁。各种非特征码技术相结合,可在病毒库添加记录之前侦测出最新(未知)威胁。下面介绍的仅是其中几种技术。

  • FLY-CODE技术— 保证对被打包的可执行对象进行高质量的检查,通过虚拟执行文件对任何打包文件(包括非标准打包器)进行解压,从而侦测出隐匿的病毒,包括经Dr.Web反病毒软件未知的打包器打包的病毒。
  • Origins Tracing技术— 在扫描执行文件是将其视为使用某种典型方式构架的样本,然后将这一样本与已知恶意软件库进行对比。这一技术对尚未添加到Dr.Web病毒库的病毒的识别概率极高。
  • 结构熵分析技术— 按照经加密打包的对象中编码区域分布特征来识别未知威胁。
  • ScriptHeuristic技术 — 阻止在浏览器和PDF文件执行任何恶意脚本,同时不会妨碍正常脚本的运行。抵御未知病毒通过网络浏览器感染电脑。与任意一款浏览器同时运行,并且不取决于Dr.Web病毒库的状态。
  • 传统的启发式分析仪— 含有未知恶意软件侦测机制。启发式分析仪的运行依据的是对病毒一定特征(表象)的了解,包括病毒码所具备的特征和很少在病毒中遇到的特征。每一特征经过加权 ——数字用于确定该特征的重要性,符号代表依据该特征可以确认或排除含有病毒。
  • 仿真执行模块— 程序编码仿真执行技术对于侦测多态病毒和复杂加密病毒必不可少,因为对于这些病毒不可能或很难使用根据具体和进行搜索的方式(不可能建立可靠的特征码)。这项技术使用仿真器模拟执行被分析的代码,仿真器是处理器(也包括电脑和操作系统)的软件模型。

Dr.Web病毒库

  • Dr.Web反病毒软件病毒库记录数量之少为其它软件所不可相比,Dr.Web病毒库中的一个记录可以侦测几十、上百,甚至数以万计的病毒 。Dr.Web病毒库与其它软件病毒库相比,其根本区别就在于在记录数量小的情况下可以侦测同样数量(甚至更多数量)的病毒和恶意软件。
  • 在病毒记录还未添加到Dr.Web病毒库的情况下,反病毒引擎使用的多种技术侦测,从而保证极高的未知病毒侦测概率。
  • Dr.Web病毒库的特殊结构使新记录的添加不会降低扫描速度!

Dr.Web病毒库记录数量少于其他厂家反病毒软件,这对于用户来说,意味着什么?

  • 磁盘占用少
  • 对系统要求低
  • 节约病毒库更新占用流量
  • 病毒分析速度快
  • 可以侦测在现有病毒版本基础上经过修改产生的新病毒

注意!

全世界有千百万用户在使用我公司研发的独特工具Dr.Web CureIt!,这款软件专门用于清除装有其他反病毒软件但已经被病毒感染的电脑。

注意!

现代恶意程序能够藏匿在系统中,在用户毫不知情的情况下偷偷运行,反病毒软件是一的能够清除已入侵电脑的病毒的软件。

最新信息开放资源

  • live.drweb.cn是动态显示反病毒实验室实时工作情况的开放资源。在这里您可以了解最新恶意软件的处理情况以及当前最流行的病毒。