Defender的动态查杀原理主要是基于主动防御技术。主动防御是通过动态仿真反病毒专家系统对各种程序动作的自动监视,自动分析程序动作之间的逻辑关系,综合应用病毒识别规则知识,实现自动判定病毒,达到主动防御的目的。当程序中调用某个API函数并运行程序后,程序会隐式地将API函数所在的DLL文件载入到进程中,这样,程序就会像调用自己的函数一样调用API函数。例如,当所编写的exe文件须要调用CreateProcess()函数的时候,会将kernel32.dll载入内存(事实上无论运行什么程序,kernel32.dll一般都会自己主动载入内存),然后调用该动态链接库中的CreateProcess()函数(事实上真正调用的是CreateProcessA或CreateProcessW)。真正的CreateProcess()函数的是如今kernel32.dll模块中。
当Defender进行动态查杀时,它会模拟计算机的环境执行目标文件并观察其特征行为。如果发现可疑的行为,例如加密或者对文件有额外的保护措施等,Defender就会进行拦截并清除病毒。此外,Defender还会对计算机的相关服务、注册表、组策略、防火墙以及敏感程序等进行监控,一旦发现异常行为或者病毒活动,就会立即进行清除。createprocessa
在虚拟机技术方面,Defender表现出了较强的穿壳能力。虚拟机技术主要表现在能够模拟出
类似于真实环境的执行环境,使得病毒在执行过程中容易被检测和拦截。同时,由于虚拟机中的系统和应用程序都是虚拟的,因此可以有效地隔离病毒对真实环境的破坏。
总的来说,Defender的动态查杀原理是基于主动防御技术和虚拟机技术实现的,通过模拟计算机环境执行目标文件并观察其特征行为以及监控计算机的相关服务、注册表、组策略、防火墙以及敏感程序等来实现对病毒的检测和清除。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。