我认为反病毒甚至可以在病毒进入操作系统(Windows / Linux)之前通过在networking接口端口本身进行过滤来确定病毒。 对?
但是,病毒如何逃避这种过滤呢?
提前致谢,
Karthik Balaguru
当然有可能是的,一些台式机有/基于BIOS的AV,但是做'in-NIC'会需要更多的逻辑在NIC上,因此花费更多,加上一个机制来保存,通常是相当大的,也是片上病毒定义。 哦,这个系统不一定比'in-cpu'更安全或更快,但是几乎肯定会减慢NIC的速度。 即使不是所有AV产品都可以做的事情是查看通过IP堆栈进入的stream量并search病毒 – 这是快速且容易地更新defs,因为它是AV产品特定的,而不是AV产品和NIC特定的。
希望我已经阐明了为什么基于网卡的AV是一个相当糟糕的主意,为什么如果实现这个function对于新病毒不会被过时的基于网卡的病毒清除是很容易的。
顺便说一句,这听起来像是一个家庭作业的问题 – 如果是的话,你可以拿回你的标记来回到我们身上;)
虽然有可能在端口检测到进入系统的一些病毒,但实际上只有签名系统才有可能。 这意味着要避免检测很容易。 作为其他检测方法的辅助手段可能是有用的,但作为唯一的检测方法是无用的。
例如,观察端口stream量不会检测到embedded到encryption文件中的病毒,这是从传播病毒的angular度来看,这是一种多次获得巨大成功的方法。 整个文件必须带入并解密,然后才能有成功的希望。
恶意软件可以控制您的系统的核心。 它被称为rootkit ,可以用来隐藏文件,networkingstream量和正在运行的进程。
最终,问题在于艾伦·纽维尔(Alan Newell)的着名certificate,在真正的图灵系统中最终不可能区分什么是恶意和什么是善意的。 (部分是由于什么是“好”数据和什么是“坏”数据)的含糊不清。
但事实上,已经存在的许多系统都是这样做的 – 防病毒扫描程序经常在您的ISP的SMTP中继上运行。 IPS / IDS系统包含许多可以通知pipe理员的恶意签名。