问:我听说一些病毒有它们自己的数据库文件,用来防止杀毒程序发现和隔离它。这是真的吗?病毒为什么有数据库文件或能在内部分发文件呢?
答:病毒或恶意软件通常包括许多不同类型的文件,通过它们来支持其恶意操作。几乎所有的病毒都具有可执行代码,用于感染机器,关联支持文件。一些恶意软件还包含其它的可执行代码,如 rootkit,用于完全控制机器。也有一些恶意软件含有IP地址、域名、URL数据库文件,或其他连接其管理基础设施的文件,尽管现在越来越多的僵尸网络能够自动生成URL或域名来避免被发现。恶意软件也可以使用数据库效验和其操作中的文件来确保只有合法的文件在恶意操作中能使用以防止竞争恶意软件的侵入。恶意软件甚至还可能包含加密密钥,以保护其通信。
反恶意软件和防病毒程序可以发现许多不同种类的恶意文件和活动。传统的反恶意软件程序是基于反恶意软件定义来发现恶意文件的——本质上他们是签名——并且确定恶意的或受感染的文件,然后隔离它们。包含数据库文件的恶意软件更容易被反恶意软件程序发现。许多反恶意软件程序也使用行为发现机制来增强其基于签名的发现。
【编辑推荐】
