计算机病毒的检测

计算机病毒的检测

最简单的方法是用较新的防病毒软件对磁盘进行全面的检测。

如何及早的发现新病毒

首先应注意内存情况，绝大部分的病毒是驻留内存的。

其次应注意常用的可执行文件的字节数。大多数病毒在对文件进行传染后会使文件的长度增加。

对于软盘，则应注意是否无故出现坏块（有些病毒会在盘上做坏蔟标记，以便将其自身部分隐藏其中）。

检测病毒的方法-特征代码法

实现步骤：采集已知的病毒样本，从中抽取病毒代码

依据原则：

抽取的代码比较特殊，不大可能与普通正常程序代码吻合。

抽取的代码要有适当的长度，一方面维持特征代码的唯一性，另一方面不要有太大的空间与时间开销。

将特征代码纳入病毒数据库。

检测过程：打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的病毒特征代码。如果发现，由于特征代码与病毒一一对应，便可以断定，被查文件中含有何种病毒。

优点：检测准确快速、可识别病毒的名称、误报警率低、依据检测结果，可做解毒处理

缺点：不能检测未知病毒，需要搜集已知病毒的特征代码，费用开销大、在网络上效率低。

病毒检测工具SCAN、CPAV

检测病毒的方法-校验和法

计算正常文件内容的校验和，将该校验和写入文件中或别的文件中保存，在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来是否一致，因而可以发现文件是否感染，这种方法叫校验和法。

运用校验和法查病毒采用3种方式：

在病毒检测工具中纳入校验和法

在应用程序中放入校验和法自我检查功能

将校验和检查程序常驻内存

优点：能发现未知病毒

缺点：不能识别病毒名称，会误报警、不能对付隐蔽型病毒（隐蔽型病毒进驻内存后，会自动剥去染毒程序中的病毒代码，使校验和法受骗，对一个有毒文件算出正常校验和）

检测病毒的方法-行为监测法

行为监测法：利用病毒的特有行为特征性来监测病毒的方法。

通过对病毒多年的观察、研究，有一些行为是病毒的共同行为，而且比较特殊。在正常程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警。

行为监测法的优点：可发现未知病毒、可相当准确地预报未知的多数病毒。

行为监测法的缺点：可能误报警、不能识别病毒名称、实现时有一定难度。

检测病毒的方法-软件模拟法

多态性病毒每次感染都变化其病毒密码，对付这种病毒，特征代码法失效。因为多态性病毒代码实施密码化，而且每次所用密钥不同，把染毒的病毒代码相互比较也各不相同，因此，出现了一种新的病毒监测方法，那就是软件模拟法。该类工具开始使用特征代码法监测病毒，如果发现隐蔽病毒或多态性病毒嫌疑时，启动软件模拟模块，监测病毒的运行，待病毒自身的密码译码后，再运用特征代码法来识别病毒的种类。

检测病毒的方法(小结)

特征代码法

采集病毒样本，抽取特征代码

特点：能快速、准确检验已知病毒，不能发现未知的病毒。

校验和法： 根据文件内容计算的校验和与以前的作比较。

优点：能判断文件细微变化，发现未知病毒。

缺点：当软件升级、改口令时会产生误报；不能识别病毒名称；对隐蔽性病毒无效。

行为监测法： 基于对病毒特有行为的判断

特点：发现许多未知病毒；可能误报，实施难

软件模拟法：一种软件分析器，用软件方法来模拟和分析程序的运行。

特点：可用于对付多态病毒。