SAP智能制造,为企业带来的无限机遇
302
2024-02-28
计算机病毒的检测
最简单的方法是用较新的防病毒软件对磁盘进行全面的检测。
如何及早的发现新病毒
首先应注意内存情况,绝大部分的病毒是驻留内存的。
其次应注意常用的可执行文件的字节数。大多数病毒在对文件进行传染后会使文件的长度增加。
对于软盘,则应注意是否无故出现坏块(有些病毒会在盘上做坏蔟标记,以便将其自身部分隐藏其中)。检测病毒的方法-特征代码法
实现步骤:采集已知的病毒样本,从中抽取病毒代码
依据原则:
抽取的代码比较特殊,不大可能与普通正常程序代码吻合。
抽取的代码要有适当的长度,一方面维持特征代码的唯一性,另一方面不要有太大的空间与时间开销。
将特征代码纳入病毒数据库。
检测过程:打开被检测文件,在文件中搜索,检查文件中是否含有病毒数据库中的病毒特征代码。如果发现,由于特征代码与病毒一一对应,便可以断定,被查文件中含有何种病毒。
优点:检测准确快速、可识别病毒的名称、误报警率低、依据检测结果,可做解毒处理
缺点:不能检测未知病毒,需要搜集已知病毒的特征代码,费用开销大、在网络上效率低。
病毒检测工具SCAN、CPAV检测病毒的方法-校验和法
计算正常文件内容的校验和,将该校验和写入文件中或别的文件中保存,在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来是否一致,因而可以发现文件是否感染,这种方法叫校验和法。
运用校验和法查病毒采用3种方式:
在病毒检测工具中纳入校验和法
在应用程序中放入校验和法自我检查功能
将校验和检查程序常驻内存
优点:能发现未知病毒
缺点:不能识别病毒名称,会误报警、不能对付隐蔽型病毒(隐蔽型病毒进驻内存后,会自动剥去染毒程序中的病毒代码,使校验和法受骗,对一个有毒文件算出正常校验和)检测病毒的方法-行为监测法
行为监测法:利用病毒的特有行为特征性来监测病毒的方法。
通过对病毒多年的观察、研究,有一些行为是病毒的共同行为,而且比较特殊。在正常程序中,这些行为比较罕见。当程序运行时,监视其行为,如果发现了病毒行为,立即报警。
行为监测法的优点:可发现未知病毒、可相当准确地预报未知的多数病毒。
行为监测法的缺点:可能误报警、不能识别病毒名称、实现时有一定难度。检测病毒的方法-软件模拟法
多态性病毒每次感染都变化其病毒密码,对付这种病毒,特征代码法失效。因为多态性病毒代码实施密码化,而且每次所用密钥不同,把染毒的病毒代码相互比较也各不相同,因此,出现了一种新的病毒监测方法,那就是软件模拟法。该类工具开始使用特征代码法监测病毒,如果发现隐蔽病毒或多态性病毒嫌疑时,启动软件模拟模块,监测病毒的运行,待病毒自身的密码译码后,再运用特征代码法来识别病毒的种类。检测病毒的方法(小结)
特征代码法
采集病毒样本,抽取特征代码
特点:能快速、准确检验已知病毒,不能发现未知的病毒。
校验和法: 根据文件内容计算的校验和与以前的作比较。
优点:能判断文件细微变化,发现未知病毒。
缺点:当软件升级、改口令时会产生误报;不能识别病毒名称;对隐蔽性病毒无效。
行为监测法: 基于对病毒特有行为的判断
特点:发现许多未知病毒;可能误报,实施难
软件模拟法:一种软件分析器,用软件方法来模拟和分析程序的运行。
特点:可用于对付多态病毒。版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。
发表评论
暂时没有评论,来抢沙发吧~