深度解析杀毒软件内核7
杀毒软件内核(svm内核)的自我保护措施
内核核心文件访问保护
文件访问保护主要是防止病毒更改杀毒软件的组建来进行传播。首先,先了解一下windows下的几种用户组。
管理员组(Administrators):拥有大部分的计算机操作权限,能够随意修改删除所有文件和修改系统设置。
高权限用户组(Power Users):可以做大部分的事情,但不能修改系统设置,不能运行一些涉及系统管理的程序。
普通用户组(Users):不能处理其他用户的文件和运行涉及管理的程序等。
备份操作组(Backup Operators):
文件复制组(Replicator)
来宾用户组(Guest):权限最小,net user guest /active:yes :激活guest用户。
其中,一般病毒等同于高权限用户或管理员用户。
这里还有一些特殊权限的用户
SYSTEM(系统):拥有完全访问权。
Everyone(所有人):权限与普通用户权限差不多,它的存在只是为了让用户能访问被标记为公有的文件。
Creater Owner(创建者):只有创建该文件的用户才能访问。
也有些病毒是以等同于system权限的用户出现的,这样就可能对核心文件造成严重破坏。
因此,防止杀毒软件核心组建被破坏,sws安全中心的svm内核采用的主要方法是
1,创建用于管理杀毒软件的用户,设置权限为creater owner,这样可以抵御住大部分病毒。
2,在程序运行后锁定所有文件,大家都知道在很多软件打开一个文件时其它软件是无法访问这个文件的,因此这种方式用在这里成效也非常好,但这种方法还是可以被非常非常少的病毒通过结束母进程的方式攻破。
3,最重要的一点,定期检测核心组建完整性,这种方法才是永远有效的。
由于sws安全中心在近期发布了sas杀毒引擎,下一章我们会讲一下sas引擎的基本工作原理,但我们不会讲得太深入。
杀毒软件内核(svm内核)的自我保护措施
内核核心文件访问保护
文件访问保护主要是防止病毒更改杀毒软件的组建来进行传播。首先,先了解一下windows下的几种用户组。
管理员组(Administrators):拥有大部分的计算机操作权限,能够随意修改删除所有文件和修改系统设置。
高权限用户组(Power Users):可以做大部分的事情,但不能修改系统设置,不能运行一些涉及系统管理的程序。
普通用户组(Users):不能处理其他用户的文件和运行涉及管理的程序等。
备份操作组(Backup Operators):
文件复制组(Replicator)
来宾用户组(Guest):权限最小,net user guest /active:yes :激活guest用户。
其中,一般病毒等同于高权限用户或管理员用户。
这里还有一些特殊权限的用户
SYSTEM(系统):拥有完全访问权。
Everyone(所有人):权限与普通用户权限差不多,它的存在只是为了让用户能访问被标记为公有的文件。
Creater Owner(创建者):只有创建该文件的用户才能访问。
也有些病毒是以等同于system权限的用户出现的,这样就可能对核心文件造成严重破坏。
因此,防止杀毒软件核心组建被破坏,sws安全中心的svm内核采用的主要方法是
1,创建用于管理杀毒软件的用户,设置权限为creater owner,这样可以抵御住大部分病毒。
2,在程序运行后锁定所有文件,大家都知道在很多软件打开一个文件时其它软件是无法访问这个文件的,因此这种方式用在这里成效也非常好,但这种方法还是可以被非常非常少的病毒通过结束母进程的方式攻破。
3,最重要的一点,定期检测核心组建完整性,这种方法才是永远有效的。
由于sws安全中心在近期发布了sas杀毒引擎,下一章我们会讲一下sas引擎的基本工作原理,但我们不会讲得太深入。