1. 殺毒軟體通過什麼形式來識別病毒的
病毒檢測的方法
在與病毒的對抗中,及早發現病毒很重要。早發現,早處置,可以減少損失。檢測病毒方法有:特徵代碼法、校驗和法、行為監測法、軟體模擬法
這些方法依據的原理不同,實現時所需開銷不同,檢測范圍不同,各有所長。
特徵代碼法
特徵代碼法被早期應用於SCAN、CPAV等著名病毒檢測工具中。國外專家認為特徵代碼法是檢測已知病毒的最簡單、開銷最小的方法。
特徵代碼法的實現步驟如下:
採集已知病毒樣本,病毒如果既感染COM文件,又感染EXE文件,對這種病毒要同時採集COM型病毒樣本和EXE型病毒樣本。
在病毒樣本中,抽取特徵代碼。依據如下原則:
抽取的代碼比較特殊,不大可能與普通正常程序代碼吻合。抽取的代碼要有適當長度,一方面維持特徵代碼的唯一性,另一方面又不要有太大的空間與時間的開銷。如果一種病毒的特徵代碼增長一位元組,要檢測3000種病毒,增加的空間就是3000位元組。在保持唯一性的前提下,盡量使特徵代碼長度短些,以減少空間與時間開銷。
在既感染COM文件又感染EXE文件的病毒樣本中,要抽取兩種樣本共有的代碼。將特徵代碼皮此余納入病毒資料庫。
打開被檢測文件,在文件中搜索,檢查文件中是否含有病毒資料庫中的病毒特徵代碼。如果發現病毒特徵代碼,由於特徵代碼與病毒一一對應,便可以斷定,被查文件中患有何種病毒。
採用病毒特徵代碼法的檢測工具,面對不斷出現的新病毒,必須不斷更新版本,否則檢測工具便會老化,逐漸失去實用價值。病毒特徵代碼法對從未見過的新病毒,自然無法知道其特徵代碼,因而無法去檢測這些新病毒。
特徵扒悄代碼法的優點是:檢測准確快速、可識別病毒的名稱、誤報警率低、依據檢測結果,可做解毒處理。其缺點是:不能檢測未知病毒、搜集已知病毒的特徵代碼,費用開銷大、在網路上效率低(在網路伺服器上,因長時間檢索會使整個網路性能變壞)。
其特點:
A.速度慢。隨著病毒種類的增多,檢索時間變長。如果檢索5000種病毒,必須對5000個病毒特徵代碼逐一檢查。如果病毒種數再增加,檢病毒的時間開銷就變得十分可觀。此類工具檢測的高速性,將變得日益困難。
B.誤報警率低。
非C.不能檢查多形性病毒。特徵代碼法是不可能檢測多態性病毒的。國外專家認為多燃滾態性病毒是病毒特徵代碼法的索命者。
D.不能對付隱蔽性病毒。隱蔽性病毒如果先進駐內存,後運行病毒檢測工具,隱蔽性病毒能先於檢測工具,將被查文件中的病毒代碼剝去,檢測工具的確是在檢查一個虛假的「好文件」,而不能報警,被隱蔽性病毒所蒙騙。
校驗和法
將正常文件的內容,計算其校驗和,將該校驗和寫入文件中或寫入別的文件中保存。在文件使用過程中,定期地或每次使用文件前,檢查文件現在內容算出的校驗和與原來保存的校驗和是否一致,因而可以發現文件是否感染,這種方法叫校驗和法,它既可發現已知病毒又可發現未知病毒。在SCAN和CPAV工具的後期版本中除了病毒特徵代碼法之外,還納入校驗和法,以提高其檢測能力。
這種方法既能發現已知病毒,也能發現未知病毒,但是,它不能識別病毒類,不能報出病毒名稱。由於病毒感染並非文件內容改變的唯一的非他性原因,文件內容的改變有可能是正常程序引起的,所以校驗和法常常誤報警。而且此種方法也會影響文件的運行速度。
病毒感染的確會引起文件內容變化,但是校驗和法對文件內容的變化太敏感,又不能區分正常程序引起的變動,而頻繁報警。用監視文件的校驗和來檢測病毒,不是最好的方法。
這種方法遇到下述情況:已有軟體版更新、變更口令、修改運行參數、校驗和法都會誤報警。
校驗和法對隱蔽性病毒無效。隱蔽性病毒進駐內存後,會自動剝去染毒程序中的病毒代碼,使校驗和法受騙,對一個有毒文件算出正常校驗和。
運用校驗和法查病毒採用三種方式:
①在檢測病毒工具中納入校驗和法,對被查的對象文件計算其正常狀態的校驗和,將校驗和值寫入被查文件中或檢測工具中,而後進行比較。
②在應用程序中,放入校驗和法自我檢查功能,將文件正常狀態的校驗和寫入文件本身中,每當應用程序啟動時,比較現行校驗和與原校驗和值。實現應用程序的自檢測。
③將校驗和檢查程序常駐內存,每當應用程序開始運行時,自動比較檢查應用程序內部或別的文件中預先保存的校驗和。
校驗和法的優點是:方法簡單能發現未知病毒、被查文件的細微變化也能發現。其缺點是:發布通行記錄正常態的校驗和、會誤報警、不能識別病毒名稱、不能對付隱蔽型病毒。
行為監測法
利用病毒的特有行為特徵性來監測病毒的方法,稱為行為監測法。通過對病毒多年的觀察、研究,有一些行為是病毒的共同行為,而且比較特殊。在正常程序中,這些行為比較罕見。當程序運行時,監視其行為,如果發現了病毒行為,立即報警。
這些做為監測病毒的行為特徵如下:
A.佔有INT 13H
所有的引導型病毒,都攻擊Boot扇區或主引導扇區。系統啟動時,當Boot扇區或主引導扇區獲得執行權時,系統剛剛開工。一般引導型病毒都會佔用INT 13H功能,因為其他系統功能未設置好,無法利用。引導型病毒占據INT 13H功能,在其中放置病毒所需的代碼。
B.改DOS系統為數據區的內存總量
病毒常駐內存後,為了防止DOS系統將其覆蓋,必須修改系統內存總量。
C.對COM、EXE文件做寫入動作
病毒要感染,必須寫COM、EXE文件。
D.病毒程序與宿主程序的切換
染毒程序運行中,先運行病毒,而後執行宿主程序。在兩者切換時,有許多特徵行為。
行為監測法的長處:可發現未知病毒、可相當准確地預報未知的多數病毒。行為監測法的短處:可能誤報警、不能識別病毒名稱、實現時有一定難度。
軟體模擬法
多態性病毒每次感染都變化其病毒密碼,對付這種病毒,特徵代碼法失效。因為多態性病毒代碼實施密碼化,而且每次所用密鑰不同,把染毒的病毒代碼相互比較,也無法找出相同的可能做為特徵的穩定代碼。雖然行為檢測法可以檢測多態性病毒,但是在檢測出病毒後,因為不知病毒的種類,難於做消毒處理。
計算機病毒的防治策略
計算機病毒的防治要從防毒、查毒、解毒三方面來進行;系統對於計算機病毒的實際防治能力和效果也要從防毒能力、查毒能力和解毒能力三方面來評判。
「防毒」是指根據系統特性,採取相應的系統安全措施預防病毒侵入計算機。「查毒」是指對於確定的環境,能夠准確地報出病毒名稱,該環境包括,內存、文件、引導區(含主導區)、網路等。「解毒」是指根據不同類型病毒對感染對象的修改,並按照病毒的感染特性所進行的恢復。該恢復過程不能破壞未被病毒修改的內容。感染對象包括:內存、引導區(含主引導區)、可執行文件、文檔文件、網路等。
防毒能力是指預防病毒侵入計算機系統的能力。通過採取防毒措施,應可以准確地、實時地監測預警經由光碟、軟盤、硬碟不同目錄之間、區域網、網際網路(包括FTP方式、E-MAIL、HTTP方式)或其它形式的文件下載等多種方式進行的傳輸;能夠在病毒侵入系統是發出警報,記錄攜帶病毒的文件,即時清除其中的病毒;對網路而言,能夠向網路管理員發送關於病毒入侵的信息,記錄病毒入侵的工作站,必要時還要能夠注銷工作站,隔離病毒源。
查毒能力是指發現和追蹤病毒來源的能力。通過查毒應該能准確地發現計算機系統是否感染有病毒,並准確查找出病毒的來源,並能給出統計報告;查解病毒的能力應由查毒率和誤報率來評判。
解毒能力是指從感染對象中清除病毒,恢復被病毒感染前的原始信息的能力;解毒能力應用解毒率來評判。
2. 璁$畻鏈虹棶姣掔殑媯嫻嬫柟娉曟湁鍝涓ょ
璁$畻鏈虹棶姣掔殑涓ょ嶆嫻嬫柟娉:
1銆佹墜宸ユ嫻
鎵嬪伐媯嫻嬫槸鎸囬氳繃涓浜涜蔣浠跺伐鍏鳳紙DEBUG.COM銆丳CTOOLS.EXE銆丯U.COM銆丼YSINFO.EXE絳夋彁渚涚殑鍔熻兘錛 榪涜岀棶姣掔殑媯嫻嬨
榪欑嶆柟娉曟瘮杈冨嶆潅錛岄渶瑕佹嫻嬭呯啛鎮夋満鍣ㄦ寚浠ゅ拰鎿嶄綔緋葷粺錛屽洜鑰屾棤娉曟櫘鍙娿傝繖縐嶆柟娉曟嫻嬬棶姣掞紝璐規椂璐瑰姏錛屼絾鍙浠ュ墫鏋愭柊鐥呮瘨錛屾嫻嬭瘑鍒鏈鐭ョ棶姣掞紝鍙浠ユ嫻嬩竴浜涜嚜鍔ㄦ嫻嬪伐鍏蜂笉璁よ瘑鐨勬柊鐥呮瘨銆
2銆佽嚜鍔ㄦ嫻
鑷鍔ㄦ嫻嬫槸鎸囬氳繃涓浜涜瘖鏂杞浠舵潵鍒よ諱竴涓緋葷粺鎴栦竴涓杞鐩樻槸鍚︽湁姣掔殑鏂規硶銆傝嚜鍔ㄦ嫻嬪垯姣旇緝綆鍗曪紝涓鑸鐢ㄦ埛閮藉彲浠ヨ繘琛岋紝浣嗛渶瑕佽緝濂界殑璇婃柇杞浠躲
鎵╁睍璧勬枡錛
闃叉㈣$畻鏈轟腑鐥呮瘨錛
緇忓父鏇存柊鎿嶄綔緋葷粺琛ヤ竵鍜屽簲鐢ㄨ蔣浠剁殑鐗堟湰銆傛搷浣滅郴緇熷巶鍟嗕細瀹氭湡鎺ㄥ嚭鍗囩駭琛ヤ竵錛岃繖浜涘崌綰цˉ涓侀櫎浜嗘彁鍗囨搷浣滅郴緇熸ц兘澶栵紝寰堥噸瑕佺殑浠誨姟鏄鍫靛炲彲鑳借鎮舵剰鍒╃敤鐨勬搷浣滅郴緇熸紡媧炪
鍚岀悊錛屾妸杞浠跺崌綰у埌鏈鏂扮増鏈錛屼篃浼氳╁緢澶氱棶姣掓湜鑰屽嵈姝ワ紝鍥犱負鏂扮増鏈杞浠朵細浼樺寲鍐呴儴浠g爜錛屼嬌鐥呮瘨鏆傛棤鍙涔樹箣鏈恆
瀹夎呴槻鐏澧欏拰鏉姣掕蔣浠躲傞槻鐏澧欎笌鏉姣掕蔣浠跺氨鍍忓ぇ闂ㄧ殑璀﹀崼錛屼細浠旂粏鐢勫埆鍑哄叆緋葷粺鐨勬枃浠剁▼搴忥紝鍙戠幇寮傚父鍙婃椂璀﹀憡騫跺勭疆銆
姣斿傚湪璁塊棶鎮舵剰緗戠珯鎴栬繍琛屽彲鐤戠▼搴忔椂錛屾潃姣掕蔣浠墮兘浼氳繘琛岃﹀憡錛涘綋涓嬭澆鎴栨敹鍒板彲鐤戞枃浠舵椂錛屾潃姣掕蔣浠朵篃浼氬厛琛屾壂鎻忥紱褰撴搷浣滅郴緇熼渶瑕佹洿鏂版垨搴旂敤紼嬪簭闇瑕佸崌綰ф椂錛屾潃姣掕蔣浠朵篃浼氭彁紺恆
鍙傝冭祫鏂欐潵婧愶細鐧懼害鐧劇-璁$畻鏈虹棶姣
鍙傝冭祫鏂欐潵婧愶細鍥藉朵繚瀵嗗矓-璁$畻鏈烘劅鏌撶棶姣掗槻鑼冨拰澶勭疆鎺鏂
3. 媯嫻媤in7緋葷粺鐢佃剳鏄鍚﹀瓨鍦ㄦ綔鍦ㄧ棶姣掔殑鏂規硶
榪愯win7鎿嶄綔緋葷粺涓孌墊椂闂村悗錛屼細瑙夊緱榪愯岄熷害闈炲父鎱錛屼笉鐭ラ亾鑷宸辯數鑴戞湁娌℃湁鐥呮瘨錛岄偅涔堝備綍媯嫻媤in7緋葷粺鐢佃剳鏄鍚﹀瓨鍦ㄦ綔鍦ㄧ棶姣掞紵媯嫻媤in7緋葷粺鐢佃剳鏄鍚﹀瓨鍦ㄧ棶姣掔殑鏂規硶鏈夊緢澶氱嶃傚傛灉浣犳兂媯嫻嬬數鑴戞槸鍚﹀瓨鍦ㄧ棶姣掔殑璇濓紝閭d箞鍙浠ラ槄璇諱笅鏂囷紝涓嬮潰鏁欑▼鍜屽ぇ瀹惰︾粏璁茶В媯嫻媤in7緋葷粺鐢佃剳鏄鍚﹀瓨鍦ㄦ綔鍦ㄧ棶姣掔殑鏂規硶錛岃屼笖鏂規硶閮藉緢綆鍗曘
鍏蜂綋鏂規硶濡備笅錛
姣旇緝娉
榪欐槸鐢ㄥ師濮嬪囦喚涓庤媯嫻嬬殑寮曞兼墖鍖烘垨琚媯嫻嬬殑鏂囦歡榪涜屾瘮杈冪殑鏂規硶錛屽彲浠ョ敤鎵撳嵃鐨勪唬鐮佹竻鍗(姣斿侱ebug鐨凞鍛戒護杈撳嚭鏍煎紡)榪涜屾瘮杈冿紝涔熷彲鐢ㄧ▼搴忔潵榪涜屾瘮杈(濡侱OS鐨凞ISKCOMP銆丆OMP鎴朠CTOOLS絳夊叾瀹冭蔣浠)銆傛瘮杈冩硶涓嶉渶瑕佷笓鐢ㄧ殑鏌ョ棶姣掔▼搴忥紝鍙瑕佺敤甯歌凞OS杞浠跺拰PCTOOLS絳夊伐鍏瘋蔣浠跺氨鍙浠ヨ繘琛岋紝鑰屼笖榪樺彲浠ュ彂鐜伴偅浜涘皻涓嶈兘琚鐜版湁鐨勬潃姣掕蔣浠跺彂鐜扮殑璁$畻鏈虹棶姣掋傚洜涓虹棶姣掍紶鎾寰楀緢蹇錛屾柊鐥呮瘨灞傚嚭涓嶇┓錛岃岀洰鍓嶈繕娌℃湁鑳芥煡鍑轟竴鍒囩棶姣掔殑閫氱敤紼嬪簭錛屾垨閫氳繃浠g爜鍒嗘瀽錛屽彲浠ュ垽瀹氭煇涓紼嬪簭涓鏄鍚﹀惈鏈夌棶姣掔殑鏌ユ瘨紼嬪簭錛屾墍浠ュ彧鏈夐潬姣旇緝娉曞拰鍒嗘瀽娉曪紝鎴栬繖涓ょ嶆柟娉曠浉緇撳悎鏉ュ彂鐜版柊鐥呮瘨銆
瀵圭‖鐩樼殑涓誨紩瀵煎尯鎴栧笵OS鐨勫紩瀵兼墖鍖轟綔媯鏌ワ紝鐢ㄦ瘮杈冩硶鑳藉彂鐜板叾涓鐨勭▼搴忔簮浠g爜鏄鍚﹀彂鐢熶簡鍙樺寲銆傜敱浜庤佽繘琛屾瘮杈冿紝鍥犳や繚鐣欏ソ鍘熷嬪囦喚鏄闈炲父閲嶈佺殑銆傚埗浣滃囦喚鏃跺繀欏誨湪鏃犵數鑴戠棶姣掔殑鐜澧冮噷榪涜岋紝鍒朵綔濂界殑澶囦喚蹇呴』濡ュ杽淇濈★紝鍐欏ソ鏍囩撅紝璐村ソ鍐欎繚鎶ゃ傛瘮杈冩硶鐨勫ソ澶勬槸綆鍗曘佹柟渚匡紝涓嶇敤涓撶敤杞浠;緙虹偣鏄鏃犳硶紜璁ょ棶姣掔殑縐嶇被鍚嶇О銆傚彟澶栵紝閫犳垚琚媯嫻嬬▼搴忎笌鍘熷嬪囦喚涔嬮棿宸鍒鐨勫師鍥犲皻闇榪涗竴姝ラ獙璇侊紝浠ユ煡鏄庢槸鐢佃剳鐥呮瘨閫犳垚鐨勶紝榪樻槸DOS鏁版嵁琚鍋剁劧鍘熷洜錛屽傜獊鐒跺仠鐢點佺▼搴忓け鎺с佹伓鎰忕▼搴忕瓑鐮村潖鐨勩傝繖浜涜佺敤鍒頒互鍚庤茬殑鍒嗘瀽娉曪紝鏌ョ湅鍙樺寲閮ㄥ垎浠g爜鐨勬ц川錛屼互姝ゆ潵紜璁ゆ槸鍚﹀瓨鍦ㄧ棶姣掋
鎼滅儲娉
榪欑嶆柟娉曚富瑕佹槸瀵規瘡涓縐嶇棶姣掑惈鏈夌殑鐗瑰畾瀛楃︿覆榪涜屾壂鎻忥紝濡傛灉鍦ㄨ媯嫻嬪硅薄鍐呴儴鍙戠幇浜嗘煇涓縐嶇壒瀹氬瓧鑺備覆錛屽氨琛ㄦ槑鍙戠幇浜嗚ュ瓧鑺備覆鎵浠h〃鐨勭棶姣掋傚浗澶栫О榪欑嶆寜鎼滅儲娉曞伐浣滅殑鐥呮瘨鎵鎻忚蔣浠朵負鈥淪canner鈥濄傝繖縐嶇棶姣掓壂鎻忚蔣浠剁敱涓ら儴鍒嗙粍鎴愶細涓閮ㄥ垎鏄鐥呮瘨浠g爜搴擄紝鍚鏈夌粡榪囩壒鍒閫夊畾鐨勫悇縐嶇數鑴戠棶姣掔殑浠g爜涓;鍙︿竴閮ㄥ垎鏄鍒╃敤璇ヤ唬鐮佸簱榪涜屾壂鎻忕殑鎵鎻忕▼搴忥紝鐥呮瘨鎵鎻忕▼搴忚兘璇嗗埆鐨勭數鑴戠棶姣掔殑鏁扮洰瀹屽叏鍙栧喅浜庣棶姣掍唬鐮佸簱鍐呮墍鍚鐥呮瘨縐嶇被鐨勫氬皯銆
鐥呮瘨浠g爜涓茬殑閫夋嫨鏄闈炲父閲嶈佺殑錛岀煭灝忕殑鐥呮瘨浠g爜鍙鏈変竴鐧懼氫釜瀛楄妭錛岄暱鐨勪篃鍙鏈10KB瀛楄妭銆備竴瀹氳佸湪浠旂粏鍒嗘瀽紼嬪簭涔嬪悗閫夊嚭鏈鍏蜂唬琛ㄧ壒鎬х殑錛岃凍浠ュ皢璇ョ棶姣掑尯鍒浜庡叾瀹冪棶姣掑拰璇ョ棶姣掔殑鍏跺畠鍙樼嶇殑浠g爜涓層備竴鑸鎯呭喌涓嬶紝浠g爜涓叉槸鐢辮繛緇鑻ュ共涓瀛楄妭緇勬垚鐨勶紝浣嗘槸鏈変簺鎵鎻忚蔣浠墮噰鐢ㄧ殑鏄鍙鍙橀暱涓詫紝鍗沖湪涓蹭腑鍖呭惈鏈変竴涓鍒板嚑涓鈥滄ā緋娾濆瓧鑺傘傛壂鎻忚蔣浠墮亣鍒拌繖縐嶄覆鏃訛紝鍙瑕侀櫎鈥滄ā緋娾濆瓧鑺備箣澶栫殑瀛椾覆閮借兘瀹屽ソ鍖歸厤錛屽氨涔熻兘澶熷垽鍒鍑虹棶姣掋傚彟澶栵紝鐗瑰緛涓茶繕蹇呴』鑳藉皢鐥呮瘨涓庢e父鐨勯潪鐥呮瘨紼嬪簭鍖猴紝涓嶇劧灝變細鍑虹幇鈥滃亣鎶ャ佽鎶モ濄
鐗瑰緛瀛楄瘑鍒娉
榪欐槸鍩轟簬鐗瑰緛涓叉壂鎻忔硶鍙戝睍璧鋒潵鐨勪竴縐嶆柟寮忥紝榪愯岄熷害杈冨揩銆佽鎶ラ戠巼杈冧綆銆傜壒寰佸瓧璇嗗埆娉曞彧欏諱粠鐥呮瘨浣撳唴鎶藉彇寰堝皯鐨勫嚑涓鍏抽敭鐗瑰緛瀛楋紝緇勬垚鐗瑰緛瀛楀簱銆傜敱浜庨渶瑕佸勭悊鐨勫瓧鑺傚緢灝戱紝鍙堜笉蹇呰繘琛屼覆鍖歸厤錛屽洜姝ゅぇ澶у姞蹇浜嗚瘑鍒閫熷害錛屽綋琚澶勭悊鐨勭▼搴忓緢澶ф椂錛岀敤榪欑嶅姙娉曟瘮杈冨悎閫傘傜敱浜庣壒寰佸瓧璇嗗埆娉曟洿娉ㄦ剰鐢佃剳鐥呮瘨鐨勨滅▼搴忔椿鎬р濓紝鍥犳ゅ噺灝戜簡閿欐姤鐨勫彲鑳芥с備嬌鐢ㄥ熀浜庣壒寰佷覆鎵鎻忔硶鐨勬煡鐥呮瘨杞浠舵柟娉曚笌浣跨敤鍩轟簬鐗瑰緛瀛楄瘑鍒娉曠殑鏌ョ棶姣掕蔣浠舵柟娉曟槸涓鏍風殑錛屽彧瑕佽繍琛屾煡姣掔▼搴忥紝灝辮兘灝嗗凡鐭ョ殑鐥呮瘨媯鏌ュ嚭鏉ャ傝繖涓ょ嶆柟娉曠殑浣跨敤錛岄兘欏昏佷笉鏂鍦板圭棶姣掑簱榪涜屾墿鍏咃紝涓鏃︽崟鎹夊埌鐥呮瘨錛岀粡榪囨彁鍙栫壒寰佸苟鍔犲叆鍒扮棶姣掑簱錛屽氨鑳戒嬌鏌ョ棶姣掔▼搴忓氭鏌ュ嚭涓縐嶆柊鐥呮瘨鏉ャ
鍒嗘瀽娉
榪欑嶆柟娉曚竴鏂歸潰鍙浠ョ『璁よ瑙傚療鐨勭佺洏寮曞煎尯鍜岀▼搴忎腑鏄鍚﹀惈鏈夌棶姣掞紝鍙︿竴鏂歸潰鍙浠ヨ鯨璁ょ棶姣掔殑綾誨瀷鍜岀嶇被錛屽垽瀹氭槸鍚︿負涓縐嶆柊鐥呮瘨錛屽彟澶栬繕鍙浠ユ悶娓呮氱棶姣掍綋鐨勫ぇ鑷寸粨鏋勶紝鎻愬彇鐢ㄤ簬鐗瑰緛璇嗗埆鐨勫瓧鑺備覆鎴栫壒寰佸瓧錛屽炴坊鍒扮棶姣掍唬鐮佸簱涓渚涚棶姣掓壂鎻忓拰璇嗗埆紼嬪簭浣跨敤銆傚悓鏃訛紝璇︾粏鍦板垎鏋愮棶姣掍唬鐮侊紝榪樻湁鍔╀簬鍒跺畾鐩稿簲鐨勫弽鐥呮瘨鏂規堛備笌鍓嶄笁縐嶆嫻嬬棶姣掔殑鏂規硶涓嶅悓錛屼嬌鐢ㄥ垎鏋愭硶媯嫻嬬棶姣掞紝闄や簡瑕佸叿鏈夌浉鍏崇殑鐭ヨ瘑澶栵紝榪橀渶瑕佷嬌鐢―ebug銆丳roview絳夊垎鏋愬伐鍏風▼搴忓拰涓撶敤鐨勮瘯楠岀敤璁$畻鏈恆傚洜涓哄嵆浣挎槸寰堢簿閫氱棶姣掔殑鎶鏈浜哄憳錛屼嬌鐢ㄦц兘瀹屽杽鐨勫垎鏋愯蔣浠訛紝涔熶笉鑳藉畬鍏ㄤ繚璇佸湪鐭鏃墮棿鍐呭皢鐥呮瘨浠g爜鍒嗘瀽娓呮;鑰岀棶姣掑垯鏈夊彲鑳藉湪琚鍒嗘瀽闃舵電戶緇浼犳煋鐢氳嚦鍙戜綔錛屾妸杞鐩樸佺‖鐩樺唴鐨勬暟鎹瀹屽叏姣佸潖鎺夛紝鎵浠ュ垎鏋愬伐浣滃繀欏誨湪涓撻棬鐨勮瘯楠岀敤PC鏈轟笂榪涜岋紝涓嶆曞叾涓鐨勬暟鎹琚鐮村潖銆
涓嶅叿澶囧繀瑕佺殑鏉′歡錛屼笉瑕佽交鏄撳紑濮嬪垎鏋愬伐浣溿傚緢澶氱數鑴戠棶姣掗噰鐢ㄤ簡鑷鍔犲瘑銆佹姉璺熻釜絳夋妧鏈錛屼嬌寰楀垎鏋愮棶姣掔殑宸ヤ綔緇忓父鏄鍐楅暱鏋鐕ョ殑銆傜壒鍒鏄鏌愪簺鏂囦歡鍨嬬棶姣掔殑婧愪唬鐮佸彲杈10KB浠ヤ笂錛屼笌緋葷粺鐨勭壍鎵灞傛″緢娣憋紝浣胯︾粏鐨勫墫鏋愬伐浣滃嶮鍒嗗嶆潅銆傜棶姣掓嫻嬬殑鍒嗘瀽娉曟槸鍙嶇棶姣掑伐浣滀腑涓嶅彲鎴栫己鐨勯噸瑕佹妧鏈錛屼換浣曚竴涓鎬ц兘浼樿壇鐨勫弽鐥呮瘨緋葷粺鐨勭爺鍒跺拰寮鍙戦兘紱諱笉寮涓撻棬浜哄憳瀵瑰悇縐嶇棶姣掕﹀敖銆佽ょ湡鐨勫垎鏋愩
鍒嗘瀽娉曞垎涓洪潤鎬佸拰鍔ㄦ佷袱縐嶃傞潤鎬佸垎鏋愭槸鎸囧埄鐢―ebug絳夊弽奼囩紪紼嬪簭灝嗙棶姣掍唬鐮佹墦鍗版垚鍙嶆眹緙栧悗鐨勭▼搴忔竻鍗曡繘琛屽垎鏋愶紝鐪嬬棶姣掑垎鎴愬摢浜涙ā鍧楋紝浣跨敤浜嗗摢浜涚郴緇熻皟鐢錛岄噰鐢ㄤ簡鍝浜涙妧宸э紝濡備綍灝嗙棶姣掓劅鏌撴枃浠剁殑榪囩▼緲昏漿涓烘竻闄ょ棶姣掋佷慨澶嶆枃浠剁殑榪囩▼錛屽摢浜涗唬鐮佸彲琚鐢ㄥ仛鐗瑰緛鐮佷互鍙婂備綍闃插盡榪欑嶇棶姣掔瓑絳夈傚垎鏋愪漢鍛樼殑緔犺川瓚婇珮錛屽垎鏋愯繃紼嬪氨瓚婂揩錛岀悊瑙d篃灝辮秺娣;鍔ㄦ佸垎鏋愬垯鏄鎸囧埄鐢―ebug絳夌▼搴忚皟璇曞伐鍏峰湪鍐呭瓨甯︽瘨鐨勬儏鍐典笅錛屽圭棶姣掍綔鍔ㄦ佽窡韙錛岃傚療鐥呮瘨鐨勫叿浣撳伐浣滆繃紼嬶紝浠ヨ繘涓姝ュ湪闈欐佸垎鏋愮殑鍩虹涓婄悊瑙g棶姣掑伐浣滅殑鍘熺悊銆傚湪鐥呮瘨緙栫爜姣旇緝綆鍗曠殑鎯呭喌涓嬶紝鍔ㄦ佸垎鏋愪笉鏄蹇呴』鐨勩備絾鏄錛屽綋鐥呮瘨閲囩敤浜嗚緝澶氱殑鎶鏈鎵嬫墊椂錛屽氨蹇呴』浣跨敤鍔ㄣ侀潤鐩哥粨鍚堢殑鍒嗘瀽鏂規硶鎵嶈兘瀹屾垚鏁翠釜鍒嗘瀽榪囩▼銆
媯嫻媤in7緋葷粺鐢佃剳鏄鍚﹀瓨鍦ㄦ綔鍦ㄧ棶姣掔殑鏂規硶鍒嗕韓鍒拌繖閲屼簡錛屾劅鍏磋叮鎴栨湁闇瑕佺殑鐢ㄦ埛鍙浠ヤ竴璧鋒潵灝濊瘯浣撻獙錛
1. 比較法
用原始備份與被檢測的引導扇困悶區或文件進行比較。只要用常規DOS軟體和PCTOOLS等工具軟體就可以進行。發現新計算機病毒就只有靠比較法和分析法,有時必須結合這兩者來一同工作。使用比較法能發現異常,如文件的長度有變化,或雖然文件長度未發生變化,但文件內的程序代碼發生了變化。保留好原始備份是非常重要的,製作備份時必須在無計算機病毒的環境里進行。
比較法的好處是簡單、方便,不需專用軟體。缺點是無法確認計算機病毒的種類名稱。另外,造成被檢測程序與原始備份之間差別的原因尚需進一步驗證,這些要用到以後講的分析法,查看變化部分代碼的性質,以此巧冊來確證是否存在計算機病毒。
2. 加總比對法(Checksum)
根據每個程序的檔案名稱、大小、時間、日期及內容,加總為一個檢查碼,再將檢查碼附於程序的後面,或是將所有檢查碼放在同一個資料庫中,再利用此加總對比系統,以判斷是否感染了計算機病毒。
這種技術可偵測到各式的計算機病毒,但最大的缺點就是誤判斷高,且無法確認是哪種計算機病毒感染的,對於隱形計算機病毒也無法偵測到。
3. 特徵字串搜索法
用每一種計算機病毒體含有的特定字元串對被檢測的對象進行掃描,如果在被檢測對象內部發現了某一種特定位元組串,就表明發現了該位元組串所代表的計算機病毒。國外對這種按搜索法工作的計算機病毒掃描軟體叫Virus Scanner。
4. 人工智慧陷阱技術
一種監測計算機行為的常駐式掃描技術,它將所有計算機病毒所產生的行為歸納起來,一旦發現內存中的程序有任何不當的行為,系統就會有所警覺,並告知使用者。
這種技術的優點是執行速度快、操作簡便,且可以偵測到各式計算機病毒,是一個至少具有主動保護功能的新技術;其缺點就是程序設計難,且不容易考慮周全。
5. 分析法
使用分析法的人不是普通用戶,而是防殺計算機病毒技術人員。分析法是防殺計算機病毒工作中不可缺少的重要技術,任何一個性能優良的防殺計算機病毒系統的研製和開發都離汪寬彎不開專門人員對各種計算機病毒的詳盡而認真的分析。