Defend what you create

Other Resources

Close

Library
My library

+ Add to library

Contact us
24/7 Tech support | Rules regarding submitting

Send a message

Your tickets

Profile

非特征码侦测技术

每24小时都会有高达100万个风险样本被发送到Doctor Web病毒实验室。

并非所有样本都是恶意程序。但都必须经由我公司技术人员来处理。如果要添加每种新木马或病毒的特征码,病毒库将过大,而且还只是已知病毒的记录,但实际上已知病毒只是存在的威胁中的少数!

感染最新未知病毒的威胁一直存在。

受商业利益驱使,病毒编写技术先进且高度危险,病毒编写者会在病毒发布前使用所有反病毒产品进行检查,使病毒尽可能不被反病毒软件发现。所以,不法分子木马的发布和样品被病毒实验室收录分析继而生成反病毒手段往往存在时间差。在此类病毒样本被实验室收集之前,如果反病毒产品仅使用特征码方法侦测,则无法将其发现。

通常认为,反病毒产品应在恶意程序入侵时将其全部侦测。

现代反病毒产品能利用特征码发现 仅30% 恶意软件。

Dr.Web产品如何侦测到另外 70% 的恶意软件?

Dr.Web产品使用大量高效非特征技术侦测并清除未知恶意软件,综合利用这些技术可在记录添加到病毒库之前发现最新的(未知)威胁。

启发式分析仪

含有未知恶意软件侦测机制。启发式分析仪的运行依据的是对病毒一定特征(表象)的了解,包括病毒码所具备的特征和很少在病毒中遇到的特征。

启发式分析仪仅侦测之前分析过、并具有反病毒产品已知行为的恶意软件的新变种。

Origins Tracing技术

扫描执行文件时将其视为使用某种典型方式构架的样本,然后将这一样本与已知恶意软件库进行对比。这一技术对尚未添加到Dr.Web病毒库的病毒的识别概率极高。

仿真执行模块

程序编码仿真执行技术对于侦测多态病毒和复杂加密病毒必不可少,因为对于这些病毒不可能或很难使用根据具体和进行搜索的方式(不可能建立可靠的特征码)。这项技术使用仿真器模拟执行被分析的代码,仿真器是处理器(也包括电脑和操作系统)的软件模型。

Fly-Code技术

保证对被打包的可执行对象进行高质量的检查。

通过虚拟执行文件对任何打包文件(包括非标准打包器)进行解压。

侦测出隐匿的病毒,包括经Dr.Web反病毒软件未知的打包器打包的病毒。

打包威胁的综合分析仪

大大提高“新威胁”(Dr.Web病毒库已知,但隐藏在新打包器中)的侦测级别。

使用综合分析仪无需再为病毒库添加越来越多的新威胁记录。

ScriptHeuristic技术

阻止在浏览器和PDF文件执行任何恶意脚本,同时不会妨碍正常脚本的运行。抵御未知病毒通过网络浏览器感染电脑。与任意一款浏览器同时运行,并且不取决于Dr.Web病毒库的状态。

构熵分析技术

按照经加密打包的对象中编码区域分布特征来识别未知威胁。

俄罗斯Dr.Web反病毒产品研发厂商

研发始自1992年

Dr.Web产品用户遍布世界200多个国家

2007年起提供反病毒服务

全天支持

© Doctor Web
2003 — 2019

Doctor Web公司是俄罗斯信息安全反病毒保护产品厂商,产品商标为Dr.Web。Dr.Web产品研发始自1992年。