杀毒软件研究方法

1. 杀毒软件的基本杀毒原理是怎么样的

怎么说呢。。。我也玩过几天黑，对免杀有点接触。。。。大概给您数下吧。。。。杀毒软件大概分俩类：一是主动防御另一种是被动防御，其原理都是一样就是各自有各自的特征码，当发现与病毒库内病毒特征码相符就判断为病毒，如下参考下文献：
杀毒软件是根据什么来进行病毒判断并查杀得呢？

病毒检测的方法

在与病毒的对抗中，及早发现病毒很重要。早发现，早处置，可以减少损失。检测病毒方法有：特征代码法、校验和法、行为监测法、软件模拟法

这些方法依据的原理不同，实现时所需开销不同，检测范围不同，各有所长。

特征代码法

特征代码法被早期应用于SCAN、CPAV等着名病毒检测工具中。国外专家认为特征代码法是检测已知病毒的最简单、开销最小的方法。

特征代码法的实现步骤如下：

采集已知病毒样本，病毒如果既感染COM文件，又感染EXE文件，对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。

在病毒样本中，抽取特征代码。依据如下原则：

抽取的代码比较特殊，不大可能与普通正常程序代码吻合。抽取的代码要有适当长度，一方面维持特征代码的唯一性，另一方面又不要有太大的空间与时间的开销。如果一种病毒的特征代码增长一字节，要检测3000种病毒，增加的空间就是3000字节。在保持唯一性的前提下，尽量使特征代码长度短些，以减少空间与时间开销。

在既感染COM文件又感染EXE文件的病毒样本中，要抽取两种样本共有的代码。将特征代码纳入病毒数据库。

打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码，由于特征代码与病毒一一对应，便可以断定，被查文件中患有何种病毒。

采用病毒特征代码法的检测工具，面对不断出现的新病毒，必须不断更新版本，否则检测工具便会老化，逐渐失去实用价值。病毒特征代码法对从未见过的新病毒，自然无法知道其特征代码，因而无法去检测这些新病毒。

特征代码法的优点是：检测准确快速、可识别病毒的名称、误报警率低、依据检测结果，可做解毒处理。其缺点是：不能检测未知病毒、搜集已知病毒的特征代码，费用开销大、在网络上效率低（在网络服务器上，因长时间检索会使整个网络性能变坏）。

其特点：

A.速度慢。随着病毒种类的增多，检索时间变长。如果检索5000种病毒，必须对5000个病毒特征代码逐一检查。如果病毒种数再增加，检病毒的时间开销就变得十分可观。此类工具检测的高速性，将变得日益困难。

B.误报警率低。

非C.不能检查多形性病毒。特征代码法是不可能检测多态性病毒的。国外专家认为多态性病毒是病毒特征代码法的索命者。

D.不能对付隐蔽性病毒。隐蔽性病毒如果先进驻内存，后运行病毒检测工具，隐蔽性病毒能先于检测工具，将被查文件中的病毒代码剥去，检测工具的确是在检查一个虚假的“好文件”，而不能报警，被隐蔽性病毒所蒙骗。

校验和法

将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染，这种方法叫校验和法，它既可发现已知病毒又可发现未知病毒。在SCAN和CPAV工具的后期版本中除了病毒特征代码法之外，还纳入校验和法，以提高其检测能力。

这种方法既能发现已知病毒，也能发现未知病毒，但是，它不能识别病毒类，不能报出病毒名称。由于病毒感染并非文件内容改变的唯一的非他性原因，文件内容的改变有可能是正常程序引起的，所以校验和法常常误报警。而且此种方法也会影响文件的运行速度。

病毒感染的确会引起文件内容变化，但是校验和法对文件内容的变化太敏感，又不能区分正常程序引起的变动，而频繁报警。用监视文件的校验和来检测病毒，不是最好的方法。

这种方法遇到下述情况：已有软件版更新、变更口令、修改运行参数、校验和法都会误报警。

校验和法对隐蔽性病毒无效。隐蔽性病毒进驻内存后，会自动剥去染毒程序中的病毒代码，使校验和法受骗，对一个有毒文件算出正常校验和。

运用校验和法查病毒采用三种方式：

①在检测病毒工具中纳入校验和法，对被查的对象文件计算其正常状态的校验和，将校验和值写入被查文件中或检测工具中，而后进行比较。

②在应用程序中，放入校验和法自我检查功能，将文件正常状态的校验和写入文件本身中，每当应用程序启动时，比较现行校验和与原校验和值。实现应用程序的自检测。

③将校验和检查程序常驻内存，每当应用程序开始运行时，自动比较检查应用程序内部或别的文件中预先保存的校验和。

校验和法的优点是：方法简单能发现未知病毒、被查文件的细微变化也能发现。其缺点是：发布通行记录正常态的校验和、会误报警、不能识别病毒名称、不能对付隐蔽型病毒。

行为监测法

利用病毒的特有行为特征性来监测病毒的方法，称为行为监测法。通过对病毒多年的观察、研究，有一些行为是病毒的共同行为，而且比较特殊。在正常程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警。

这些做为监测病毒的行为特征如下：

A.占有INT 13H

所有的引导型病毒，都攻击Boot扇区或主引导扇区。系统启动时，当Boot扇区或主引导扇区获得执行权时，系统刚刚开工。一般引导型病毒都会占用INT 13H功能，因为其他系统功能未设置好，无法利用。引导型病毒占据INT 13H功能，在其中放置病毒所需的代码。

B.改DOS系统为数据区的内存总量

病毒常驻内存后，为了防止DOS系统将其覆盖，必须修改系统内存总量。

C.对COM、EXE文件做写入动作

病毒要感染，必须写COM、EXE文件。

D.病毒程序与宿主程序的切换

染毒程序运行中，先运行病毒，而后执行宿主程序。在两者切换时，有许多特征行为。

行为监测法的长处：可发现未知病毒、可相当准确地预报未知的多数病毒。行为监测法的短处：可能误报警、不能识别病毒名称、实现时有一定难度。

软件模拟法

多态性病毒每次感染都变化其病毒密码，对付这种病毒，特征代码法失效。因为多态性病毒代码实施密码化，而且每次所用密钥不同，把染毒的病毒代码相互比较，也无法找出相同的可能做为特征的稳定代码。虽然行为检测法可以检测多态性病毒，但是在检测出病毒后，因为不知病毒的种类，难于做消毒处理。

计算机病毒的防治策略

计算机病毒的防治要从防毒、查毒、解毒三方面来进行；系统对于计算机病毒的实际防治能力和效果也要从防毒能力、查毒能力和解毒能力三方面来评判。

“防毒”是指根据系统特性，采取相应的系统安全措施预防病毒侵入计算机。“查毒”是指对于确定的环境，能够准确地报出病毒名称，该环境包括，内存、文件、引导区（含主导区）、网络等。“解毒”是指根据不同类型病毒对感染对象的修改，并按照病毒的感染特性所进行的恢复。该恢复过程不能破坏未被病毒修改的内容。感染对象包括：内存、引导区（含主引导区）、可执行文件、文档文件、网络等。

防毒能力是指预防病毒侵入计算机系统的能力。通过采取防毒措施，应可以准确地、实时地监测预警经由光盘、软盘、硬盘不同目录之间、局域网、因特网（包括FTP方式、E-MAIL、HTTP方式）或其它形式的文件下载等多种方式进行的传输；能够在病毒侵入系统是发出警报，记录携带病毒的文件，即时清除其中的病毒；对网络而言，能够向网络管理员发送关于病毒入侵的信息，记录病毒入侵的工作站，必要时还要能够注销工作站，隔离病毒源。

查毒能力是指发现和追踪病毒来源的能力。通过查毒应该能准确地发现计算机系统是否感染有病毒，并准确查找出病毒的来源，并能给出统计报告；查解病毒的能力应由查毒率和误报率来评判。

解毒能力是指从感染对象中清除病毒，恢复被病毒感染前的原始信息的能力；解毒能力应用解毒率来评判。

2. 杀毒软件的杀毒原理是什么

现在有很多各种类型的杀毒软件，从以前收费的，到现在大部分免费的，但是大部分人不了解其内部杀毒原理。下面对杀毒软件的工作原理作详细介绍。

一、杀毒软件原理基础

一个杀毒软件的构造的复杂程度要远远高于木马或病毒，所以其原理也比较复杂。而且鉴于现在木马病毒越来越向系统底层发展，杀毒软件的编译技术也在不断向系统底层靠近。

例如现在的“主动防御”技术，就是应用RING0层的编译技巧。这里简单介绍一下基本构成。

一个杀毒软件一般由扫描器、病毒库与虚拟机组成，并由主程序将其结为一体，如图1

扫描器是杀毒软件的核心，用于发现病毒，一个杀毒软件的杀毒效果好坏就直接取决于它的扫描器编译技术与算法是否先进，而且杀毒软件不同的功能往往对应着不同的扫描器，也就是说，大多数杀毒软件都是由多个扫描器组成的。

而病毒库存储的特征码形式则取决于扫描器采用哪种扫描技术。它里面存储着很多病毒所具有的独一无二的特征字符，称之为“特征码”。特征码总的分来只有两个，文件特征码与内存特征码。文件特征码存在于一些未执行的文件里，例如EXE文件、RMVB文件、jpg文件甚至是txt文件中都有可能存在文件特征码，也都有可能被查杀。而内存特征码仅仅存在于内存中已运行的应用程序。而虚拟机则是最近引进的概念，它可以使病毒在一个由杀毒软件构建的虚拟环境中执行，与现实的CPU、硬盘等完全隔离，从而可以更加深入的检测文件的安全性。

简单的说，杀毒软件的原理就是匹配特征码。

当扫描得到一个文件时，杀毒软件会检测这个文件里是否包含病毒库里所包含的特征码，如果有，则报毒病查杀，如果没有，纵然这个文件确实是一个病毒，它也会把它当作正常文件来看待。

二、基于文件扫描的杀毒技术

基于文件的杀毒技术可以分为“第一代扫描技术”、“第二代扫描技术”与“算法扫描”这三种方法，对于免杀爱好者来说，要对每一种方法烂熟于心，才能成为高手!但做为一个初学者来说了解一下即可。

这里介绍一下其中两种种方法，详细的技术原理如果各位得这有兴趣的话可以自行研究。

1、通配符扫描技术

通配符扫描技术属于是第一代扫描技术的一个分支，对于“通配符”，可以理解为具有一定意义的符号，例如DOS命令里的*号就是任意长度的任意字符的意思，而且通配符在不同的领域也里可以代表不同的意思。

现在杀毒软件中简单的扫描器常常支持通配符，因为鉴于字符串扫描技术的执行速度与特征码长度限制等问题，使得其逐渐退出历史舞台，取而代之的是通配符扫描技术，通配符扫描技术以同样简单的原理与技术却实现了更为强大的功能。

扫描器中的通配符一般用于跳过某些字节或字节范围，以至于现在有些扫描器还支持正则表达式!

下面通过一个例子来讲解通配符扫描技术的原理。

例如病毒库中有这样一段特征码：0400
B801 020E 07BB ??02 %3 33C9 8BD1
419C上面的特征码可以解释为：

1、尝试匹配04，如果找到则继续，否则跳出。

2、尝试上一匹配目标后匹配00，如果找到则继续，否则跳出。

3、尝试上一匹配目标后匹配B8，如果找到则继续，否则跳出。

4、尝试上一匹配目标后匹配01，如果找到则继续，否则跳出。

5、尝试上一匹配目标后匹配02，如果找到则继续，否则跳出。

6、尝试上一匹配目标后匹配0E，如果找到则继续，否则跳出。

7、尝试上一匹配目标后匹配07，如果找到则继续，否则跳出。

8、尝试上一匹配目标后匹配BB，如果找到则继续，否则跳出。

9、忽略此字节。

10、尝试上一匹配目标后匹配02，如果找到则继续，否则跳出。

11、在接下来的3个位置(字节)中尝试匹配33，如果找到则继续，否则跳出。

12、尝试上一匹配目标后匹配C9，如果找到则继续，否则跳出。

13、尝试上一匹配目标后匹配8B，如果找到则继续，否则跳出。

14、尝试上一匹配目标后匹配D1，如果找到则继续，否则跳出。

15、尝试上一匹配目标后匹配41，如果找到则继续，否则跳出。

16、尝试上一匹配目标后匹配9C，如果找到则继续，否则跳出。

这种扫描技术通常支持半字节匹配，这样可以更精确地匹配特征码，一些早期的加密病毒用这种方法都比较容易检测出来。

其实现在的一些特征码仍然在使用类似此种方法的特征码表达技术，因此掌握这些知识会对以后的免杀有所帮助，同样可以使在定位特征码时更加了解自己正在做什么，以及做的是否正确等等，这非常重要。

2、智能扫描

智能扫描属于第二代扫描技术的一个分支，这种方法是在一种病毒变异工具包出现之后提出的。智能扫描法会忽略检测文件中象NOP这样的无意义指令。而对于文本格式的脚本病毒或宏病毒，则可以替换掉多余的例如空格、换行符或制表符等空白字符，这一切替换动作在扫描缓冲区就会执行，从而大大提高了扫描器的检测能力。

3、近似精确识别法

近似精确识别法同样是属于第二代扫描技术的一个分支，但是相比起来应用的更为广泛，这种扫描技术包含了两种方式与若干种方法，在这里不可能一一介绍，下面将主要介绍两种方法的代表。

方法一：多套特征码

该方法采用两个或更多个字符串集来检测每个病毒，如果扫描器检测到其中一个特征符合，那么就会警告发现变种，但并不会执行下一步操作(例如清除病毒体或删除文件)。如果多个特征码全部符合，则报警发现病毒，并执行下一步操作。

方法二：效验和

对于校验和，也许有些朋友会想到文件校验和比对的方法，这个方法的思路是将每一个无毒的文件生成一个校验和，等待下次扫描时在进行简单的校验和比对即可，如果校验和有所变化，在进行进一步的扫描，这样有利于提升扫描器的效率，但是严格地说，这并不算是扫描技术。

效验和扫描技术利用的最为到位的就是比较出名的KAV(卡巴斯基)了，它的第二代扫描器就采用了密码效验和技术，并且没有使用任何搜索字符串技术。关于效验和是一个复杂的概念，简单的说就是通过对病毒中的某一段代码的计算，从而得出一个值(例如123XY4)，与MD5加密有些相似，当然这样说不完全正确。

但KAV采用的是一种由卡巴斯基发明的一种叫做密码效验和的特殊算法，这种算法通常会产生两个值。而且病毒库的查询采用了特征码分类思想，例如扫描EXE文件时只调用与EXE文件有关的病毒库，而根据EXE文件的位置不同(例如文件头、入口点)又分为不同的子库，这样有利于提高扫描速度。

三、由此得出的一些经验

首先应该明白第一个例子介绍的通配符“0400 B801 020E 07BB ??02 %3 33C9 8BD1
419C”代表的肯定不是一个字节。

也就是说，杀毒软件厂商定位的特征一般都是数十字节，所以定位特征码时就要避免定位过于精确，一般保证在10字节以内就足够了!因为如果特征码定位的过于精确，会为以后的修改操作带来很大不必要的麻烦。可以简单的想一下，是修改一个字节的方法多，还是修改10字节的方法多?

而由智能扫描也可以得出一个结论，就是不要将杀毒软件想的太傻，例如属于智能扫描的一个分支——启发式扫描，它会将一些异常改动计算到可能性的“权值”里，如果一个文件的可疑改动过多，就会导致报毒，这样之前所做的一些工作就起到了相反的作用，是典型的画蛇添足。

所以，修改木马文件时也要掌握一个度的问题，不要修改的过多，但还要保证自己的木马免杀时间够长，这就要明白那些更改会被归为可疑修改，而那些则不会。

3. 杀毒软件的工作原理是什么

杀毒软件的工作原理
一、杀毒软件原理基础
一个杀毒软件的构造的复杂程度要远远高于木马或病毒，所以其原理也比较复杂。而且鉴于现在木马病毒越来越向系统底层发展，杀毒软件的编译技术也在不断向系统底层靠近。例如现在的“主动防御”技术，就是应用RING0层的编译技巧。这里我简单为大家介绍一下基本构成。
一个杀毒软件一般由扫描器、病毒库与虚拟机组成，并由主程序将他们结为一体，如图1。

扫描器是杀毒软件的核心，用于发现病毒，一个杀毒软件的杀毒效果好坏就直接取决于它的扫描器编译技术与算法是否先进，而且杀毒软件不同的功能往往对应着不同的扫描器，也就是说，大多数杀毒软件都是由多个扫描器组成的。而病毒库存储的特征码形式则取决于扫描器采用哪种扫描技术。它里面存储着很多病毒所具有的独一无二的特征字符，我们称之为“特征码”。特征码总的分来只有两个，文件特征码与内存特征码。文件特征码存在于一些未执行的文件里，例如EXE文件、RMVB文件、jpg文件甚至是txt文件中都有可能存在文件特征码，也都有可能被查杀。而内存特征码仅仅存在于内存中已运行的应用程序。而虚拟机则是最近引进的概念，它可以使病毒在一个由杀毒软件构建的虚拟环境中执行，与现实的CPU、硬盘等完全隔离，从而可以更加深入的检测文件的安全性。
简单的说，杀毒软件的原理就是匹配特征码。当扫描得到一个文件时，杀毒软件会检测这个文件里是否包含病毒库里所包含的特征码，如果有，则报毒病查杀，如果没有，纵然这个文件确实是一个病毒，它也会把它当作正常文件来看待。

二、基于文件扫描的杀毒技术
基于文件的杀毒技术可以分为“第一代扫描技术”、“第二代扫描技术”与“算法扫描”这三种方法，对于免杀爱好者来说，要对每一种方法烂熟于心，才能成为高手！但做为一个初学者来说了解一下即可。这里我们就简单介绍一下其中两种种方法，详细的技术原理如果各位得这有兴趣的话可以自己研究。
1、通配符扫描技术
通配符扫描技术属于是第一代扫描技术的一个分支，对于“通配符”，可以理解为具有一定意义的符号，例如DOS命令里的*号就是任意长度的任意字符的意思，而且通配符在不同的领域也里可以代表不同的意思。
现在杀毒软件中简单的扫描器常常支持通配符，因为鉴于字符串扫描技术的执行速度与特征码长度限制等问题，使得其逐渐退出历史舞台，取而代之的是通配符扫描技术，通配符扫描技术以同样简单的原理与技术却实现了更为强大的功能。
扫描器中的通配符一般用于跳过某些字节或字节范围，以至于现在有些扫描器还支持正则表达式！
下面我们通过一个例子来讲解通配符扫描技术的原理。
例如我们的病毒库中有这样一段特征码：
0400 B801 020E 07BB ??02 %3 33C9 8BD1 419C
上面的特征码可以解释为：
1、尝试匹配04，如果找到则继续，否则跳出。
2、尝试上一匹配目标后匹配00，如果找到则继续，否则跳出。
3、尝试上一匹配目标后匹配B8，如果找到则继续，否则跳出。
4、尝试上一匹配目标后匹配01，如果找到则继续，否则跳出。
5、尝试上一匹配目标后匹配02，如果找到则继续，否则跳出。
6、尝试上一匹配目标后匹配0E，如果找到则继续，否则跳出。
7、尝试上一匹配目标后匹配07，如果找到则继续，否则跳出。
8、尝试上一匹配目标后匹配BB，如果找到则继续，否则跳出。
9、忽略此字节。
10、尝试上一匹配目标后匹配02，如果找到则继续，否则跳出。
11、在接下来的3个位置（字节）中尝试匹配33，如果找到则继续，否则跳出。
12、尝试上一匹配目标后匹配C9，如果找到则继续，否则跳出。
13、尝试上一匹配目标后匹配8B，如果找到则继续，否则跳出。
14、尝试上一匹配目标后匹配D1，如果找到则继续，否则跳出。
15、尝试上一匹配目标后匹配41，如果找到则继续，否则跳出。
16、尝试上一匹配目标后匹配9C，如果找到则继续，否则跳出。
这种扫描技术通常支持半字节匹配，这样可以更精确地匹配特征码，一些早期的加密病毒用这种方法都比较容易检测出来。
其实现在的一些特征码仍然在使用类似此种方法的特征码表达技术，因此掌握这些知识会对我们以后的免杀有所帮助，同样可以使我们在定位特征码时更加了解自己正在做什么，以及做的是否正确等等，这对于我们来说非常重要。
2、智能扫描
智能扫描属于第二代扫描技术的一个分支，这种方法是在一种病毒变异工具包出现之后提出的。智能扫描法会忽略检测文件中象NOP这样的无意义指令。而对于文本格式的脚本病毒或宏病毒，则可以替换掉多余的例如空格、换行符或制表符等空白字符，这一切替换动作在扫描缓冲区就会执行，从而大大提高了扫描器的检测能力。
3、近似精确识别法
近似精确识别法同样是属于第二代扫描技术的一个分支，但是相比起来应用的更为广泛，这种扫描技术包含了两种方式与若干种方法，在这里不可能一一介绍，下面将主要介绍两种方法的代表。
方法一：多套特征码
该方法采用两个或更多个字符串集来检测每个病毒，如果扫描器检测到其中一个特征符合，那么就会警告发现变种，但并不会执行下一步操作（例如清除病毒体或删除文件）。如果多个特征码全部符合，则报警发现病毒，并执行下一步操作。
方法二：效验和
对于校验和，也许有些朋友会想到文件校验和比对的方法，这个方法的思路是将每一个无毒的文件生成一个校验和，等待下次扫描时在进行简单的校验和比对即可，如果校验和有所变化，在进行进一步的扫描，这样有利于提升扫描器的效率，但是严格地说，这并不算是扫描技术。
效验和扫描技术利用的最为到位的就是比较出名的KAV（卡巴斯基）了，它的第二代扫描器就采用了密码效验和技术，并且没有使用任何搜索字符串技术。关于效验和是一个复杂的概念，简单的说就是通过对病毒中的某一段代码的计算，从而得出一个值（例如123XY4），与MD5加密有些相似，当然这样说不完全正确。
但KAV采用的是一种由卡巴斯基发明的一种叫做密码效验和的特殊算法，这种算法通常会产生两个值。而且病毒库的查询采用了特征码分类思想，例如扫描EXE文件时只调用与EXE文件有关的病毒库，而根据EXE文件的位置不同（例如文件头、入口点）又分为不同的子库，这样有利于提高扫描速度。

三、由此得出的一些经验
首先我们应该明白第一个例子介绍的通配符“0400 B801 020E 07BB ??02 %3 33C9 8BD1 419C”代表的肯定不是一个字节。也就是说，杀毒软件厂商定位的特征一般都是数十字节，所以我们定位特征码时就要避免定位过于精确，一般保证在10字节以内就足够了！因为如果特征码定位的过于精确，会为我们以后的修改操作带来很大不必要的麻烦。我们可以简单的想一下，是修改一个字节的方法多，还是修改10字节的方法多？
而由智能扫描我们也可以得出一个结论，就是不要将杀毒软件想的太傻，例如属于智能扫描的一个分支——启发式扫描，它会将一些异常改动计算到可能性的“权值”里，如果一个文件的可疑改动过多，就会导致报毒，这样我们所做的一些工作就起到了相反的作用，是典型的画蛇添足。所以，修改木马文件时也要掌握一个度的问题，不要修改的过多，但还要保证自己的木马免杀时间够长，这就要明白那些更改会被归为可疑修改，而那些则不会。但是掌握这些是需要一定的PE文件结构基础知识的，对于PE文件，我会在下篇文章详细介绍。
而最后的就是卡巴斯基的密码校验和扫描技术了，恐怕这在业内也是第一次提出来，各位看官有福了！
对于密码校验和的更深层次的知识，这里我们不再细谈，我们只谈他对免杀带来什么样的影响。首先，特殊的扫描方法必然会导致特殊的特征码，所以密码校验和的真正特征码通常体积都比较大，通过脚本木马的一些实验，卡巴斯基7.0对字母的大小写不是很敏感，此外对文件代码的变动也不是很敏感。也就是说，只要包含特征码的这行代码在卡巴斯基的校验和取样范围之内，那么它就会报毒，而如果你将其移出这个范围，那么肯定会导致文件不能正常运行，唯一的办法就是更改代码结构。
如果大家注意总结与思考，会发现一些免杀方面的模糊概念完全可以用本文介绍的知识解释通，例如什么“隐含特征码”等等。

杀毒软件是根据什么来进行病毒判断并查杀得呢？

病毒检测的方法

在与病毒的对抗中，及早发现病毒很重要。早发现，早处置，可以减少损失。检测病毒方法有：特征代码法、校验和法、行为监测法、软件模拟法

这些方法依据的原理不同，实现时所需开销不同，检测范围不同，各有所长。

特征代码法

特征代码法被早期应用于SCAN、CPAV等着名病毒检测工具中。国外专家认为特征代码法是检测已知病毒的最简单、开销最小的方法。

特征代码法的实现步骤如下：

采集已知病毒样本，病毒如果既感染COM文件，又感染EXE文件，对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。

在病毒样本中，抽取特征代码。依据如下原则：

抽取的代码比较特殊，不大可能与普通正常程序代码吻合。抽取的代码要有适当长度，一方面维持特征代码的唯一性，另一方面又不要有太大的空间与时间的开销。如果一种病毒的特征代码增长一字节，要检测3000种病毒，增加的空间就是3000字节。在保持唯一性的前提下，尽量使特征代码长度短些，以减少空间与时间开销。

在既感染COM文件又感染EXE文件的病毒样本中，要抽取两种样本共有的代码。将特征代码纳入病毒数据库。

打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码，由于特征代码与病毒一一对应，便可以断定，被查文件中患有何种病毒。

采用病毒特征代码法的检测工具，面对不断出现的新病毒，必须不断更新版本，否则检测工具便会老化，逐渐失去实用价值。病毒特征代码法对从未见过的新病毒，自然无法知道其特征代码，因而无法去检测这些新病毒。

特征代码法的优点是：检测准确快速、可识别病毒的名称、误报警率低、依据检测结果，可做解毒处理。其缺点是：不能检测未知病毒、搜集已知病毒的特征代码，费用开销大、在网络上效率低（在网络服务器上，因长时间检索会使整个网络性能变坏）。

其特点：

A.速度慢。随着病毒种类的增多，检索时间变长。如果检索5000种病毒，必须对5000个病毒特征代码逐一检查。如果病毒种数再增加，检病毒的时间开销就变得十分可观。此类工具检测的高速性，将变得日益困难。

B.误报警率低。

非C.不能检查多形性病毒。特征代码法是不可能检测多态性病毒的。国外专家认为多态性病毒是病毒特征代码法的索命者。

D.不能对付隐蔽性病毒。隐蔽性病毒如果先进驻内存，后运行病毒检测工具，隐蔽性病毒能先于检测工具，将被查文件中的病毒代码剥去，检测工具的确是在检查一个虚假的“好文件”，而不能报警，被隐蔽性病毒所蒙骗。

校验和法

将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染，这种方法叫校验和法，它既可发现已知病毒又可发现未知病毒。在SCAN和CPAV工具的后期版本中除了病毒特征代码法之外，还纳入校验和法，以提高其检测能力。

这种方法既能发现已知病毒，也能发现未知病毒，但是，它不能识别病毒类，不能报出病毒名称。由于病毒感染并非文件内容改变的唯一的非他性原因，文件内容的改变有可能是正常程序引起的，所以校验和法常常误报警。而且此种方法也会影响文件的运行速度。

病毒感染的确会引起文件内容变化，但是校验和法对文件内容的变化太敏感，又不能区分正常程序引起的变动，而频繁报警。用监视文件的校验和来检测病毒，不是最好的方法。

这种方法遇到下述情况：已有软件版更新、变更口令、修改运行参数、校验和法都会误报警。

校验和法对隐蔽性病毒无效。隐蔽性病毒进驻内存后，会自动剥去染毒程序中的病毒代码，使校验和法受骗，对一个有毒文件算出正常校验和。

运用校验和法查病毒采用三种方式：

①在检测病毒工具中纳入校验和法，对被查的对象文件计算其正常状态的校验和，将校验和值写入被查文件中或检测工具中，而后进行比较。

②在应用程序中，放入校验和法自我检查功能，将文件正常状态的校验和写入文件本身中，每当应用程序启动时，比较现行校验和与原校验和值。实现应用程序的自检测。

③将校验和检查程序常驻内存，每当应用程序开始运行时，自动比较检查应用程序内部或别的文件中预先保存的校验和。

校验和法的优点是：方法简单能发现未知病毒、被查文件的细微变化也能发现。其缺点是：发布通行记录正常态的校验和、会误报警、不能识别病毒名称、不能对付隐蔽型病毒。

行为监测法

利用病毒的特有行为特征性来监测病毒的方法，称为行为监测法。通过对病毒多年的观察、研究，有一些行为是病毒的共同行为，而且比较特殊。在正常程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警。

这些做为监测病毒的行为特征如下：

A.占有INT 13H

所有的引导型病毒，都攻击Boot扇区或主引导扇区。系统启动时，当Boot扇区或主引导扇区获得执行权时，系统刚刚开工。一般引导型病毒都会占用INT 13H功能，因为其他系统功能未设置好，无法利用。引导型病毒占据INT 13H功能，在其中放置病毒所需的代码。

B.改DOS系统为数据区的内存总量

病毒常驻内存后，为了防止DOS系统将其覆盖，必须修改系统内存总量。

C.对COM、EXE文件做写入动作

病毒要感染，必须写COM、EXE文件。

D.病毒程序与宿主程序的切换

染毒程序运行中，先运行病毒，而后执行宿主程序。在两者切换时，有许多特征行为。

行为监测法的长处：可发现未知病毒、可相当准确地预报未知的多数病毒。行为监测法的短处：可能误报警、不能识别病毒名称、实现时有一定难度。

软件模拟法

多态性病毒每次感染都变化其病毒密码，对付这种病毒，特征代码法失效。因为多态性病毒代码实施密码化，而且每次所用密钥不同，把染毒的病毒代码相互比较，也无法找出相同的可能做为特征的稳定代码。虽然行为检测法可以检测多态性病毒，但是在检测出病毒后，因为不知病毒的种类，难于做消毒处理。

计算机病毒的防治策略

计算机病毒的防治要从防毒、查毒、解毒三方面来进行；系统对于计算机病毒的实际防治能力和效果也要从防毒能力、查毒能力和解毒能力三方面来评判。

“防毒”是指根据系统特性，采取相应的系统安全措施预防病毒侵入计算机。“查毒”是指对于确定的环境，能够准确地报出病毒名称，该环境包括，内存、文件、引导区（含主导区）、网络等。“解毒”是指根据不同类型病毒对感染对象的修改，并按照病毒的感染特性所进行的恢复。该恢复过程不能破坏未被病毒修改的内容。感染对象包括：内存、引导区（含主引导区）、可执行文件、文档文件、网络等。

防毒能力是指预防病毒侵入计算机系统的能力。通过采取防毒措施，应可以准确地、实时地监测预警经由光盘、软盘、硬盘不同目录之间、局域网、因特网（包括FTP方式、E-MAIL、HTTP方式）或其它形式的文件下载等多种方式进行的传输；能够在病毒侵入系统是发出警报，记录携带病毒的文件，即时清除其中的病毒；对网络而言，能够向网络管理员发送关于病毒入侵的信息，记录病毒入侵的工作站，必要时还要能够注销工作站，隔离病毒源。

查毒能力是指发现和追踪病毒来源的能力。通过查毒应该能准确地发现计算机系统是否感染有病毒，并准确查找出病毒的来源，并能给出统计报告；查解病毒的能力应由查毒率和误报率来评判。

解毒能力是指从感染对象中清除病毒，恢复被病毒感染前的原始信息的能力；解毒能力应用解毒率来评判。

4. 杀毒软件,是通过什么原理查杀病毒的

病毒是一段程序，不同种类的病毒，它们的代码千差万别，任何人都不可能预测明天将会出现什么新病毒。但有一点可以肯定，只要出现了一项新的计算机技术，充分利用这项新技术编制的新病毒就一定离我们不远了。而由于软件种类极其丰富，且某些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术。所以，虽然有些人利用病毒某些共有的操作（如驻内存，改中断）这种共性，制作了声称可查所有病毒的程序，但这种方法对病毒进行检测势必会造成较多的误报情况，不够可靠，目前都只能作为辅助的手段配合使用，无法独立推广。

实际上，计算机病毒学鼻祖早在80年代初期就已经提出了计算机病毒的模型，证明只要延用现行的计算机体系，计算机病毒就存在“不可判定性”。杀病毒必须先搜集到病毒样本，使其成为已知病毒，然后剖析病毒，再将病毒传染的过程准确地颠倒过来，使被感染的计算机恢复原状。因此可以看出，一方面计算机病毒是不可灭绝的，另一方面病毒也并不可怕，世界上没有杀不掉的病毒。

常用的反病毒软件技术

特征码技术：基于对已知病毒分析、查解的反病毒技术

目前的大多数杀病毒软件采用的方法主要是特征码查毒方案与人工解毒并行，亦即在查病毒时采用特征码查毒，在杀病毒时采用人工编制解毒代码。

特征码查毒方案实际上是人工查毒经验的简单表述，它再现了人工辨识病毒的一般方法，采用了“同一病毒或同类病毒的某一部分代码相同”的原理，也就是说，如果病毒及其变种、变形病毒具有同一性，则可以对这种同一性进行描述，并通过对程序体与描述结果（亦即“特征码”）进行比较来查找病毒。而并非所有病毒都可以描述其特征码，很多病毒都是难以描述甚至无法用特征码进行描述。使用特征码技术需要实现一些补充功能，例如近来的压缩包、压缩可执行文件自动查杀技术。

但是，特征码查毒方案也具有极大的局限性。特征码的描述取决于人的主观因素，从长达数千字节的病毒体中撷取十余字节的病毒特征码，需要对病毒进行跟踪、反汇编以及其它分析，如果病毒本身具有反跟踪技术和变形、解码技术，那么跟踪和反汇编以获取特征码的情况将变得极其复杂。此外，要撷取一个病毒的特征码，必然要获取该病毒的样本，再由于对特征码的描述各个不同，特征码方法在国际上很难得到广域性支持。特征码查病毒主要的技术缺陷表现在较大的误查和误报上，而杀病毒技术又导致了反病毒软件的技术迟滞。

虚拟机技术：启发式探测未知病毒的反病毒技术

虚拟机技术的主要作用是能够运行一定规则的描述语言。由于病毒的最终判定准则是其复制传染性，而这个标准是不易被使用和实现的，如果病毒已经传染了才判定是它是病毒，定会给病毒的清除带来麻烦。

那么检查病毒用什么方法呢？客观地说，在各类病毒检查方法中，特征值方法是适用范围最宽、速度最快、最简单、最有效的方法。但由于其本身的缺陷问题，它只适用于已知病毒，对于未知病毒，如果能够让病毒在控制下先运行一段时间，让其自己还原，那么，问题就会相对明了。可以说，虚拟机是这种情况下的最佳选择。

虚拟机在反病毒软件中应用范围广，并成为目前反病毒软件的一个趋势。一个比较完整的虚拟机，不仅能够识别新的未知病毒，而且能够清除未知病毒，我们会发现这个反病毒工具不再是一个程序，而成为可以和卡斯帕罗夫抗衡的ibm深蓝超级计算机。首先，虚拟机必须提供足够的虚拟，以完成或将近完成病毒的“虚拟传染”；其次，尽管根据病毒定义而确立的“传染”标准是明确的，但是，这个标准假如能够实施，它在判定病毒的标准上仍然会有问题；第三，假如上一步能够通过，那么，我们必须检测并确认所谓“感染”的文件确实感染的就是这个病毒或其变形。

目前虚拟机的处理对象主要是文件型病毒。对于引导型病毒、word／excel宏病毒、木马程序在理论上都是可以通过虚拟机来处理的，但目前的实现水平仍相距甚远。就像病毒编码变形使得传统特征值方法失效一样，针对虚拟机的新病毒可以轻易使得虚拟机失效。虽然虚拟机也会在实践中不断得到发展。但是，pc的计算能力有限，反病毒软件的制造成本也有限，而病毒的发展可以说是无限的。让虚拟技术获得更加实际的功效，甚至要以此为基础来清除未知病毒，其难度相当大。

受病毒在理论上就是不可判定的这一根本前提的制约，事实上，无论是启发式，亦或是虚拟机，都只能是一种工程学的努力，其成功的概率永远不可达到100％。这是惟一的却又是无可奈何的缺憾。

5. 杀毒软件是怎么识别病毒的，它的原理是什么

常用的反病毒软件技术

特征码技术：基于对已知病毒分析、查解的反病毒技术

目前的大多数杀病毒软件采用的方法主要是特征码查毒方案与人工解毒并行，亦即在查病毒时采用特征码查毒，在杀病毒时采用人工编制解毒代码。

特征码查毒方案实际上是人工查毒经验的简单表述，它再现了人工辨识病毒的一般方法，采用了“同一病毒或同类病毒的某一部分代码相同”的原理，也就是说，如果病毒及其变种、变形病毒具有同一性，则可以对这种同一性进行描述，并通过对程序体与描述结果（亦即“特征码”）进行比较来查找病毒。而并非所有病毒都可以描述其特征码，很多病毒都是难以描述甚至无法用特征码进行描述。使用特征码技术需要实现一些补充功能，例如近来的压缩包、压缩可执行文件自动查杀技术。

但是，特征码查毒方案也具有极大的局限性。特征码的描述取决于人的主观因素，从长达数千字节的病毒体中撷取十余字节的病毒特征码，需要对病毒进行跟踪、反汇编以及其它分析，如果病毒本身具有反跟踪技术和变形、解码技术，那么跟踪和反汇编以获取特征码的情况将变得极其复杂。此外，要撷取一个病毒的特征码，必然要获取该病毒的样本，再由于对特征码的描述各个不同，特征码方法在国际上很难得到广域性支持。特征码查病毒主要的技术缺陷表现在较大的误查和误报上，而杀病毒技术又导致了反病毒软件的技术迟滞。

虚拟机技术：启发式探测未知病毒的反病毒技术

虚拟机技术的主要作用是能够运行一定规则的描述语言。由于病毒的最终判定准则是其复制传染性，而这个标准是不易被使用和实现的，如果病毒已经传染了才判定是它是病毒，定会给病毒的清除带来麻烦。

那么检查病毒用什么方法呢？客观地说，在各类病毒检查方法中，特征值方法是适用范围最宽、速度最快、最简单、最有效的方法。但由于其本身的缺陷问题，它只适用于已知病毒，对于未知病毒，如果能够让病毒在控制下先运行一段时间，让其自己还原，那么，问题就会相对明了。可以说，虚拟机是这种情况下的最佳选择。

虚拟机在反病毒软件中应用范围广，并成为目前反病毒软件的一个趋势。一个比较完整的虚拟机，不仅能够识别新的未知病毒，而且能够清除未知病毒，我们会发现这个反病毒工具不再是一个程序，而成为可以和卡斯帕罗夫抗衡的ibm深蓝超级计算机。首先，虚拟机必须提供足够的虚拟，以完成或将近完成病毒的“虚拟传染”；其次，尽管根据病毒定义而确立的“传染”标准是明确的，但是，这个标准假如能够实施，它在判定病毒的标准上仍然会有问题；第三，假如上一步能够通过，那么，我们必须检测并确认所谓“感染”的文件确实感染的就是这个病毒或其变形。

目前虚拟机的处理对象主要是文件型病毒。对于引导型病毒、word／excel宏病毒、木马程序在理论上都是可以通过虚拟机来处理的，但目前的实现水平仍相距甚远。就像病毒编码变形使得传统特征值方法失效一样，针对虚拟机的新病毒可以轻易使得虚拟机失效。虽然虚拟机也会在实践中不断得到发展。但是，pc的计算能力有限，反病毒软件的制造成本也有限，而病毒的发展可以说是无限的。让虚拟技术获得更加实际的功效，甚至要以此为基础来清除未知病毒，其难度相当大。

受病毒在理论上就是不可判定的这一根本前提的制约，事实上，无论是启发式，亦或是虚拟机，都只能是一种工程学的努力，其成功的概率永远不可达到100％。这是惟一的却又是无可奈何的缺憾。

未来的反病毒技术：

虚拟现实

对于未来技术的展望可能只是一种近乎飘渺的幻想，但是就如同计算机病毒最初的描述出现在科幻小说里，虽然还有许许多多我们目前仍在实现却仍未实现的技术，甚至还有许多我们根本未考虑到的因素。只要技术足够成熟，网络世界中是完全有可能出现类似人工智能的反病毒技术。

未来反病毒的疑难之一就是：我们永远无法写出一个合理的程序来辨识和查杀病毒。病毒掌握了人类所掌握的一切，它同样能辨识和分析反毒程序，并对自身重新编程；而反毒程序要可能同样地对病毒进行探测，再进行自编程。病毒与反毒程序的角逐就变成了自编程能力的实现，而这样的结果只能导致网络空间紧张，甚至崩溃！

我们还可以考虑用另一种方式：人工进入计算网络世界的方法来查杀病毒。人有足够的智能和经验积累来完成对病毒的辨识和杀除，而这就只剩下建立人与计算机之间的“桥”的问题了。

目前的虚拟现实技术重点放在了对人与人的自然界交流方式———“感官”的计算机描述的实现上，它如同人们所有的知觉都最终传感给大脑，大脑对这种传感作出一种体验上的描述，从而形成知觉意识。如果计算机将二进制代码流表述成脑电波的流信息，并通过神经传感给大脑，则完全可以描述并引导、控制人的一切思维。简单地说，人的思维与计算机语言存在了这样一个通用的接口！

这种理论如果得以实现，则虚拟现实技术将进入新的发展领域。虽然从理论上讲是不可能在对病毒未知的情况下对其做出精确判断从而预防，但是在实际应用中，经过反病毒专家多年的统计、分析、研究积累的经验，完全有可能以概率方式对病毒危险进行一种分级制测定并对其使用反病毒程序，在相当程度上达到较精确地防御未知病毒的侵入。

第三代反病毒产品：

防杀兼备、万能恢复

从技术的数学模型上来说，过去、现在、将来的反病毒软件都不可能有任何理论上的超越，即无法跨越不可判定性的鸿沟，特征码也好，启发式虚拟机也好，或者兼而有之，相互配合，暂时不会有新的突破。那么，具体到反病毒技术的产品，也基本上离不开这些模式。当然，即使是从工程学的角度上来说，在相同的技术起点上如何构筑出实现方式和最终效果完全不同的实用产品，仍然是一个永无止境的追求。

从手工查杀病毒，到早期散兵游勇式的查杀病毒，到与internet的技术接轨，直至今天担负起防杀兼备、万能恢复的第三代反病毒软件，反病毒技术在与病毒的斗争中不断进步，不断诞生各种为计算机用户解忧去患的反病毒产品。从早期的防病毒卡、手动查杀的dos版软件（即第一代，代表产品有：kill、kv100、kv200、kv300、瑞星、早期vrv、早期avxx。），到在线监控实时查杀的病毒防火墙（即第二代，代表产品为vrv杀毒套装、killxx版、kv3000预览版），我们已经发现要免除病毒的灾难，仅有杀毒是不够的。

安全专家认为，真正的安全仅有杀毒是不够的，因为在电脑世界中，永远有捉摸不定的东西游离在身边。除去泛滥的病毒，系统的漏洞、硬件或软件的冲突、人为的误操作、利用bo特洛伊木马恶意进攻、电脑本身的不稳定性、黑客袭击等形形色色的安全威胁不胜枚举。所以，一个好的安全软件，仅仅能杀毒是不够的，必须把备份与灾难恢复相结合起来。

面对呼啸而来益发凶恶的未来病毒，仅有杀毒是不够的。用户对于病毒的恐惧，并不是来自它的能够自我复制，尽管这才是病毒之所以成为病毒的根本，担心害怕的是病毒侵入并且发作，结果造成的大大小小的无可挽回的损失。这种客观的迫切的需要，成为新形势对反病毒技术和产品提出的最高要求。于是，第三代反病毒软件必须要做到突破单一杀毒的局限性，针对用户经常面临急需数据抢修、系统恢复等难题，不仅可以杀灭入侵病毒、击溃来犯黑客、消灭有害数据，还有智能灾难恢复、全息数据救援、维护系统正常运行的全面保障信息安全的功能，其代表产品是北京北信源公司研发的一种全方位、多功能、高可靠的安全软件“杀毒专家”。

我们期望有一种针对恶性病毒发作时可能实施的破坏行为的截获、阻止装置，软件的亦或是硬件的，对所有带有危险级别的、可能影响系统运行和信息资料安全的操作加以禁止，就像过滤文件中的病毒特征码一样，对一个将要执行的操作进行安全性判断。就像今天在多任务环境下实时杀毒的防火墙重新焕发了青春一样，我们不难预料，这种在线式的以危险行为监控为特征的反病毒技术和产品也一定会出现，配合以前的第一代、第二代、第三代反病毒技术，实现更高意义上的更加可靠的信息安全。

6. 杀毒软件的杀毒原理

一个杀毒软件无异于一个信息分析的系统，当它发现某些信息被感染后，就会清除其中的病毒。

假设信息是在“源系统”中，必须到达“目标系统”。这里所称的源系统可以是一个软盘，目标系统可能是计算机的硬盘，或者源系统是存储在ISP的一条消息，而目的系统是客户端计算机上基于Winsock协议的Windows通讯系统。

信息解释系统依据操作系统、应用程序或者是否需要特殊的机制等因素的不同是有区别的，该解释机制必须明确对应杀毒软件所要作用的操作系统或组件。例如：在Windows 9X系统中，需要采用一个虚拟驱动程序VxD来不断监控磁盘的行为。通过这种方式，每当硬盘或者软盘中的信息被存取时，杀毒软件就会截取对该磁盘的读写操作，并扫描将要读取或保存的信息。此种操作在Windows NT/2000/XP中是通过内核模式中的一个驱动来实现的，而在Novell中，磁盘活动的解释是通过一个NLM模块实现的。对于那些为某些特殊应用而设计（而非为某个操作系统设计）的杀毒软件，其解释机制和上面所介绍的是不同的。例如，对于支持CVP防火墙的杀毒软件，是由防火墙通过CVP协议来为杀毒软件传递需要扫描的信息；而对于支持Sendmail的杀毒软件， MilterAPI过滤器为信息的解释提供了便利。某些时候，解释机制既不是由杀毒软件提供（如VxD虚拟驱动），也不是由某种应用提供（如CVP 协议）。在这种情况下，必须采用介乎于应用和杀毒软件之间的一种特殊的解释机制。换句话说，通过某种资源来解释信息并将其传送给杀毒软件，这些资源和杀毒软件之间是一种紧密集成的关系，这样有助于杀毒软件清除病毒。

无论采用何种方式，一旦在扫描信息的过程中检测到一种威胁（病毒），将会采取两种措施：
1. 清除干净的信息将会返回给解释机制，然后再由该解释机制返回给原来的系统以便于它能够继续到达其最终目的地。这意味着如果接收到一封电子邮件，该邮件仍然会被允许到达其目的邮箱；如果是复制一个文件，复制过程将仍然会被允许正常进行直至结束。
2. 会向用户界面发送一个警告，该用户界面可能是多种多样的。对于工作站端的杀毒软件，将会在屏幕上显示一条信息，但是对于针对服务器的杀毒模块，警告将会以电子邮件、内部网络消息、病毒报告中的一条记录或者传递给杀毒软件管理工具的某种消息的形式发送。
杀毒程序能够提供高级的防护、阻止任何带给用户的特别“惊奇”。这就象往某个盒子中投入XXX元钱以获得心灵上的平安那么简单。

扫描引擎

无论需要扫描的信息是如何获得的，对于杀毒软件而言最重要的特征就是：病毒扫描引擎。该引擎扫描它所截取的数据以查看其中是否包含病毒，如果有病毒就会将其清除。

信息的扫描通常通过两种方式进行：一种是将扫描信息与病毒数据库（即所谓的“病毒特征库”）进行对照，如果信息与其中的任何一个病毒特征符合，杀毒软件就会判断此文件被病毒感染。

但是对于某些新的病毒或危险信息，在病毒数据库中并没有它们的特征，此时通过一种称为“启发式扫描”的方法有可能将其检测出来。该方法是通过分析信息的行为并将其与一个危险行为样式库进行对照以判别信息的危险性。

例如，如果某个文件试图格式化检测到的硬盘，杀毒软件就会警告该用户。尽管该文件也许是用户刚刚安装在系统中的一个新的格式化程序而不是病毒，但是该行为是危险的。一旦杀毒软件通过声音向用户发出警告，接下来就由用户来判断是否要采取这种危险的操作了。

以上两种方法各有优缺点。如果仅采用病毒特征库系统，那么至少每天更新一次病毒库就显得尤为重要。您必须时刻牢记每天全球至少会有超过15种新的病毒出现，如果杀毒软件两三天都不更新病毒库就变得很危险了。

启发式扫描的缺点是会向你误报一些本不是病毒的信息，如果你每天遇到很多此类的误报，很快就会对这种警告感到厌烦。

7. 杀毒软件的原理是什么

工作原理是部分杀毒软件是在内存里划分一部分空间，将计算机中流过内存的数据与杀毒软件自身所带的病毒库（包含病毒定义）的特征码相比较，以判断是否为病毒；另一部分杀毒软件在所划分到的内存空间里，虚拟执行系统或用户提交的程序，根据其行为或结果作出判断。 杀毒软件会生成现有主机操作系统的全新虚拟镜像，该镜像具有真实操作系统完全一致的功能。桌面虚拟化技术具有独立分挡操作系统压力，通过该技术实现运行过程中垃圾文件为零的目标，同时生成的虚拟环境与主机操作系统完全隔离，保护主机不被病毒感染，减少了系统被破坏的概率。

一个杀毒软件的构造的复杂程度要远远高于木马或病毒，所以其原理也比较复杂。而且鉴于现在木马病毒越来越向系统底层发展，杀毒软件的编译技术也在不断向系统底层靠近。例如现在的“主动防御”技术，就是应用RING0层的编译技巧。这里我简单为大家介绍一下基本构成。 一个杀毒软件一般由扫描器、病毒库与虚拟机组成，并由主程序将他们结为一体，如图1。 扫描器是杀毒软件的核心，用于发现病毒，一个杀毒软件的杀毒效果好坏就直接取决于它的扫描器编译技术与算法是否先进，而且杀毒软件不同的功能往往对应着不同的扫描器，也就是说，大多数杀毒软件都是由多个扫描器组成的。而病毒库存储的特征码形式则取决于扫描器采用哪种扫描技术。它里面存储着很多病毒所具有的独一无二的特征字符，我们称之为“特征码”。特征码总的分来只有两个，文件特征码与内存特征码。文件特征码存在于一些未执行的文件里，例如EXE文件、RMVB文件、jpg文件甚至是txt文件中都有可能存在文件特征码，也都有可能被查杀。而内存特征码仅仅存在于内存中已运行的应用程序。而虚拟机则是最近引进的概念，它可以使病毒在一个由杀毒软件构建的虚拟环境中执行，与现实的CPU、硬盘等完全隔离，从而可以更加深入的检测文件的安全性。 简单的说，杀毒软件的原理就是匹配特征码。当扫描得到一个文件时，杀毒软件会检测这个文件里是否包含病毒库里所包含的特征码，如果有，则报毒病查杀，如果没有，纵然这个文件确实是一个病毒，它也会把它当作正常文件来看待。 我觉得腾讯电脑管家就是最好的杀毒软件了二、基于文件扫描的杀毒技术 基于文件的杀毒技术可以分为“第一代扫描技术”、“第二代扫描技术”与“算法扫描”这三种方法，对于免杀爱好者来说，要对每一种方法烂熟于心，才能成为高手！但做为一个初学者来说了解一下即可。这里我们就简单介绍一下其中两种种方法，详细的技术原理如果各位得这有兴趣的话可以自己研究。