求卡巴主动防御的原理

求卡巴主动防御的原理，它是通过什么判断病毒行为的？
如果答案满意绝对追加高分!!!!!!!最起码要是RING3层的理论描述性信息!!

主动防御判断

本节包含主动防御判断，注意所有判断应该有必要作为一种威胁，一些操作是计算机中运行程序的正常行为或操作系统那些程序的响应，然而，在一些情况下，相同的操作可以被黑客激活或恶意程序进行调用。

带有一个高危险级别的判断在文字中以红色高亮显示，不总是威胁指示的判断为黑色。

栈溢出
栈溢出是当今获得非授权系统访问的最通常技术。

此概念如下：通常一个程序需要RAM的栈结构以用于存贮并查找中间值，当程序调用一个程序或子程序时，其发送返回地址到栈中，并且程序一旦程序完成，它知道在哪儿返回控制，栈溢出是当大于栈的数据块发送到栈时，超过数据被记录在栈中的一部分，此栈分配用于从程序中正确返回，这样，溢出改变了执行程序的正常进程，而不是正确返回去进一步执行，因为栈溢出，其被转到命令中重写的地址。

要造成一个栈溢出，黑客使用漏洞，程序包含处理器执行的机器指令，因为栈溢出，处理器进入的地址将在这些指令中指定。

当使用正常模式中的标准程序的栈溢出的可能性非常低。当检测到栈溢出时，很可能意味着这个漏洞被用恶意代码结束。

数据执行
这个技术使用安装在您计算机的软件错误，使用的错误是用恶意对象提供的数据取代正确的数据，恶意的数据会造成这些数据被错误处理。

使用数据执行的最常见攻击对象是浏览器，当浏览网页时，许多浏览器、图像及多媒体不执行必要的扫描，并且植入网页上对象的恶意代码可以取得控制。

微软使用DEP (数据执行防止)保护微软窗口中的可执行代码，这个解决方案包含在Microsoft Windows XP及Microsoft Windows Server 2003的更新中。

隐藏安装
隐藏安装是安装恶意程序或运行可执行文件的过程，不通知相应的用户。隐藏安装进程可以使用标准工具进行检测，如Microsoft Windows 任务管理器，但因为恶意程序安装时，屏幕上没有标准的安装窗口，用户不可能想到跟踪系统中运行的进程。

隐藏对象
隐藏对象是标准工具不能检测到的进程(Microsoft windows 任务管理器, Process Explorer，等) ， 换句话说rootkit是取得根用户权限的工具，是用于黑客系统的程序或程序集，这个术语来自UNIX。

在Microsoft Windows中， 通常"rootkit" 指用于隐藏软件的程序，其安装在系统中，用于截取并歪曲系统中运行进程及驱动器上文件夹的消息，换句话说， rootkit的运行像一个代理服务器，让一些信息通过并且阻止，或者改变其它信息。另外，通常rootkits可以隐藏系统中任何进程，以及磁盘上文件夹及文件，以及配置中描述的注册码。许多隐藏程序在系统安装有驱动程序及服务，其通常对系统管理工具不可见，如任务管理器 或Process Explorer，以及反病毒程序。

根外壳
这个漏洞包含命令提示的重新路由输入/输出(通常用于网络),通常是用于取得对计算机的远程访问。

恶意对象企图取得对被攻击计算机的命令行访问，从而可以执行命令，访问通常通过一个远程攻击并运行利用此漏洞的脚本取得，此脚本通过TCP，在连接的计算机上运行一个命令行解释器，黑客可以远程控制系统。

启动互联网浏览器

浏览器可以被隐藏启动，并且数据可以发送到浏览器，以后黑客可以利用这个漏洞，被打开的监测浏览器使您能够截取这些数据。

浏览器通常用包含的设置打开，如：用户密码，无论什么时候您可以点击邮件客户湍主体或即时消息程序中的链接，其不是一个可疑的操作，如果您添加一个邮件客户端及ICQ到信任域中，意味着如果您仅仅允许某些应用程序去打开带设置的浏览器窗口，所有其它情况下，如果数据通过浏览器传输黑客（不是计算机用户）数据，这种情况被认为可疑。

奇怪行为
其可以参考特定进程的非危险或非可疑行为检测，而不是操作系统的状态改变，如R0-R3访问点的直接内存访问或修改。

检测到的危险行为（一般行为）
这组恶意操作检测工具包括Trojan.generic, Worm.generic, 及Worm.P2P.generic，检测危险行为的算法非常复杂，基于对操作集进行分析（不是一，二个因素）判断一个进程最可能是未知的恶意进程，当可疑操作第一次发生时，一般判断没有进行分配，每次进行可疑操作时，进程的可疑级别出现。当操作达到一个关键级别，主动防御将尽快处理它，这个方法可以确保非常低的虚报警，立即显示恶意活动几个方面的正常程序的可能性十分低。

影响可疑级别的操作：

注入系统的感染或恶意对象的典型操作；
直接的恶意操作；
复制恶意对象的典型操作。
改变的应用程序

这个事件表示从最近一次运行起，监测应用程序的可执行文件已经被修改，应该指出可执行文件可能已经被注入应用程序的恶意代码修改，或被标准程序更新修改，如被Microsoft Windows更新修改的Microsoft Internet Explorer的可执行文件。

违反完整性

自程序最后一次运行起，当监测应用程序的一个或几个模块可能已经被修改时，则违反完整性，其可以已经被程序更新修改，而不仅仅是注入应用程序的恶意代码(如果，使用Microsoft Internet Explorer的库可能被Microsoft Windows更新所修改)。

关键应用程序

应用程序完整性控制模块具有监测应用程序启动的额外功能，在这种模式下，无论用户指定的应用程序启用了，卡巴斯基互联网安全套装发布了一个警告， 如果监测应用程序配置了规则 运行：操作提示，则只显示警告，默认情况下，这种模式被禁用。

作为儿童运行

在许多恶意程序使用已知的程序创建数据泄漏或从互联网上下载恶意代码，为了实现这一点，恶意程序打开一个标准程序，防火墙规则及其它防护工具可以允许它访问互联网 (如：网上浏览器)，当此事件发生时，监测的应用程序作为一个子进程运行。

如果监测应用程序配置了规则 运行子进程：操作提示，则仅仅出现警告。因为一些程序被其它子进程运行，如果事件很普通，默认警告将不会显示，尽管事件记录在主动防御运行报告中。

主机文件修改
主机文件是Microsoft Windows的最重要系统文件之一，通过在DNS服务器上将URL地址转换成IP地址，其设置用于将访问重定向到网站,但在本地计算机的右侧，主机文件是一种普通文件文件，每一行定义了服务器字及其IP地址字符名。

恶意程序经常使用此文件以重新定义反病毒更新服务器地址以阻止任何更新并防止恶意程序被检测到，其它方面一样。

入侵者 / 加载工具

在恶意程序中有无数可变性，其标记为用于已知程序的可执行文件，库或插件，并将其自身加载到标准进程。用户计算机的数据泄漏可以用这种方式进行协调。由恶意代码引起的网络流量将自由通过防火墙，因为防火墙认为此流量属于一个允许访问网络的应用程序。

木马通常入侵其它进程，然而，许多正常程序，更新及安装工具程序也显示其行为，如果您确定加载的程序无害，您应该仅仅允许这种类型的活动。

键盘记录工具

码日志器是记录您在键盘输入的每个键，这类恶意软件可以发送从键盘捕获的信息(登录，密码及信用卡)到一个黑客，然而，标准程序也可以记录码值，码记录经常用于调用使用热键的不同程序的功能。

注册表访问

注册访问跟踪对注册表码的修改。

恶意程序修改注册表，以便当启动您的操作系统时，这些程序可以自动启动，为了改变Microsoft Internet Explorer的主页及其它破坏操作。然而，记住标准应用程序也可能访问系统注册表。

此模块包含6组关键码的预定义列表，用户也可能添加他们的码组并配置不同程序的规则以供访问。

注册表异常

此模块使您能够截取注册表中隐藏码中的企图，其不被标准程序所显示，如regedit。码值创建的名字错误，因此注册表编辑器不能正确显示这些值，因此诊断系统中恶意软件变得很困难。

木马下载器
木马下载器是隐藏非授权互联网下载主要功能的程序，黑客网站是木马下载工具的最常见来源，木马下载工具不是对自身的直接威胁，因为他们不受控制的下载并启动软件，因此很危险，木马下载工具主要用于下载并运行病毒，木马及间谍软件。

温馨提示：内容为网友见解，仅供参考

当前网址：https://aolonic.com/aa/n1wk531d.html