特黄特色三级在线观看免费,看黄色片子免费,色综合久,欧美在线视频看看,高潮胡言乱语对白刺激国产,伊人网成人,中文字幕亚洲一碰就硬老熟妇

學(xué)習(xí)啦>學(xué)習(xí)電腦>電腦安全>病毒知識>

計(jì)算機(jī)病毒的檢測方法

時間: 林澤1002 分享

  檢測磁盤中的計(jì)算機(jī)病毒可分成檢測引導(dǎo)型計(jì)算機(jī)病毒和檢測文件型計(jì)算機(jī)病毒。這兩種檢測從原理上講是一樣的,但由于各自的存儲方式不同,檢測方法是有差別的。下面是學(xué)習(xí)啦小編跟大家分享的是計(jì)算機(jī)病毒的檢測方法,歡迎大家來閱讀學(xué)習(xí)。

  計(jì)算機(jī)病毒的檢測方法一

  2.4.1 比較法

  比較法是用原始備份與被檢測的引導(dǎo)扇區(qū)或被檢測的文件進(jìn)行比較。比較時可以靠打印的代碼清單(比如DEBUG的D命令輸出格式)進(jìn)行比較,或用程序來進(jìn)行比較(如DOS的DISKCOMP、FC或PCTOOLS等其它軟件)。這種比較法不需要專用的查計(jì)算機(jī)病毒程序,只要用常規(guī)DOS軟件和PCTOOLS等工具軟件就可以進(jìn)行。而且用這種比較法還可以發(fā)現(xiàn)那些尚不能被現(xiàn)有的查計(jì)算機(jī)病毒程序發(fā)現(xiàn)的計(jì)算機(jī)病毒。因?yàn)橛?jì)算機(jī)病毒傳播得很快,新的計(jì)算機(jī)病毒層出不窮,由于目前還沒有做出通用的能查出一切計(jì)算機(jī)病毒,或通過代碼分析,可以判定某個程序中是否含有計(jì)算機(jī)病毒的查毒程序,發(fā)現(xiàn)新計(jì)算機(jī)病毒就只有靠比較法和分析法,有時必須結(jié)合這兩者來一同工作。

  使用比較法能發(fā)現(xiàn)異常,如文件的長度有變化,或雖然文件長度未發(fā)生變化,但文件內(nèi)的程序代碼發(fā)生了變化。對硬盤主引導(dǎo)扇區(qū)或?qū)OS的引導(dǎo)扇區(qū)做檢查,比較法能發(fā)現(xiàn)其中的程序代碼是否發(fā)生了變化。由于要進(jìn)行比較,保留好原始備份是非常重要的,制作備份時必須在無計(jì)算機(jī)病毒的環(huán)境里進(jìn)行,制作好的備份必須妥善保管,寫好標(biāo)簽,并加上寫保護(hù)。

  比較法的好處是簡單、方便,不需專用軟件。缺點(diǎn)是無法確認(rèn)計(jì)算機(jī)病毒的種類名稱。另外,造成被檢測程序與原始備份之間差別的原因尚需進(jìn)一步驗(yàn)證,以查明是由于計(jì)算機(jī)病毒造成的,或是由于DOS數(shù)據(jù)被偶然原因,如突然停電、程序失控、惡意程序等破壞的。這些要用到以后講的分析法,查看變化部分代碼的性質(zhì),以此來確證是否存在計(jì)算機(jī)病毒。另外,當(dāng)找不到原始備份時,用比較法就不能馬上得到結(jié)論。從這里可以看到制作和保留原始主引導(dǎo)扇區(qū)和其它數(shù)據(jù)備份的重要性。

  2.4.2 加總比對法

  根據(jù)每個程序的檔案名稱、大小、時間、日期及內(nèi)容,加總為一個檢查碼,再將檢查碼附于程序的后面,或是將所有檢查碼放在同一個數(shù)據(jù)庫中,再利用此加總對比系統(tǒng),追蹤并記錄每個程序的檢查碼是否遭更改,以判斷是否感染了計(jì)算機(jī)病毒。一個很簡單的例子就是當(dāng)您把車停下來之后,將里程表的數(shù)字記下來。那么下次您再開車時,只要比對一下里程表的數(shù)字,那么您就可以斷定是否有人偷開了您的車子。這種技術(shù)可偵測到各式的計(jì)算機(jī)病毒,但最大的缺點(diǎn)就是誤判斷高,且無法確認(rèn)是哪種計(jì)算機(jī)病毒感染的。對于隱形計(jì)算機(jī)病毒也無法偵測到。

  2.4.3 搜索法.

  搜索法是用每一種計(jì)算機(jī)病毒體含有的特定字符串對被檢測的對象進(jìn)行掃描。如果在被檢測對象內(nèi)部發(fā)現(xiàn)了某一種特定字節(jié)串,就表明發(fā)現(xiàn)了該字節(jié)串所代表的計(jì)算機(jī)病毒。國外對這種按搜索法工作的計(jì)算機(jī)病毒掃描軟件叫Virus Scanner。計(jì)算機(jī)病毒掃描軟件由兩部分組成:一部分是計(jì)算機(jī)病毒代碼庫,含有經(jīng)過特別選定的各種計(jì)算機(jī)病毒的代碼串;另一部分是利用該代碼庫進(jìn)行掃描的掃描程序。目前常見的防殺計(jì)算機(jī)病毒軟件對已知計(jì)算機(jī)病毒的檢測大多采用這種方法。計(jì)算機(jī)病毒掃描程序能識別的計(jì)算機(jī)病毒的數(shù)目完全取決于計(jì)算機(jī)病毒代碼庫內(nèi)所含計(jì)算機(jī)病毒的種類多少。顯而易見,庫中計(jì)算機(jī)病毒代碼種類越多,掃描程序能認(rèn)出的計(jì)算機(jī)病毒就越多。計(jì)算機(jī)病毒代碼串的選擇是非常重要的。短小的計(jì)算機(jī)病毒只有一百多個字節(jié),長的有上萬字節(jié)的。如果隨意從計(jì)算機(jī)病毒體內(nèi)選一段作為代表該計(jì)算機(jī)病毒的特征代碼串,可能在不同的環(huán)境中,該特征串并不真正具有代表性,不能用于將該串所對應(yīng)的計(jì)算機(jī)病毒檢查出來。選這種串做為計(jì)算機(jī)病毒代碼庫的特征串就是不合適的。

  另一種情況是代碼串不應(yīng)含有計(jì)算機(jī)病毒的數(shù)據(jù)區(qū),數(shù)據(jù)區(qū)是會經(jīng)常變化的。代碼串一定要在仔細(xì)分析了程序之后才選出最具代表特性的,足以將該計(jì)算機(jī)病毒區(qū)別于其它計(jì)算機(jī)病毒的字節(jié)串。選定好的特征代碼串是很不容易的,是計(jì)算機(jī)病毒掃描程序的精華所在。一般情況下,代碼串是連續(xù)的若干個字節(jié)組成的串,但是有些掃描軟件采用的是可變長串,即在串中包含有一個到幾個“模糊”字節(jié)。掃描軟件遇到這種串時,只要除“模糊”字節(jié)之外的字串都能完好匹配,則也能判別出計(jì)算機(jī)病毒。

  除了前面說的選特征串的規(guī)則外,最重要的是一條是特征串必須能將計(jì)算機(jī)病毒與正常的非計(jì)算機(jī)病毒程序區(qū)分開。不然將非計(jì)算機(jī)病毒程序當(dāng)成計(jì)算機(jī)病毒報告給用戶,是假警報,這種“狼來了”的假警報太多了,就會使用戶放松警惕,等真的計(jì)算機(jī)病毒一來,破壞就嚴(yán)重了;再就是若將這假警報送給殺計(jì)算機(jī)病毒程序,會將好程序給“殺死”了。

  使用特征串的掃描法被查計(jì)算機(jī)病毒軟件廣泛應(yīng)用。當(dāng)特征串選擇得很好時,計(jì)算機(jī)病毒檢測軟件讓計(jì)算機(jī)用戶使用起來很方便,對計(jì)算機(jī)病毒了解不多的人也能用它來發(fā)現(xiàn)計(jì)算機(jī)病毒。另外,不用專門軟件,用PCTOOLS等軟件也能用特征串掃描法去檢測特定的計(jì)算機(jī)病毒。

  這種掃描法的缺點(diǎn)也是明顯的。第一是當(dāng)被掃描的文件很長時,掃描所花時間也越多;第二是不容易選出合適的特征串;第三是新的計(jì)算機(jī)病毒的特征串未加入計(jì)算機(jī)病毒代碼庫時,老版本的掃毒程序無法識別出新的計(jì)算機(jī)病毒;第四是懷有惡意的計(jì)算機(jī)病毒制造者得到代碼庫后,會很容易地改變計(jì)算機(jī)病毒體內(nèi)的代碼,生成一個新的變種,使掃描程序失去檢測它的能力;第五是容易產(chǎn)生誤報,只要在正常程序內(nèi)帶有某種計(jì)算機(jī)病毒的特征串,即使該代碼段已不可能被執(zhí)行,而只是被殺死的計(jì)算機(jī)病毒體殘余,掃描程序仍會報警;第六是不易識別多維變形計(jì)算機(jī)病毒。不管怎樣,基于特征串的計(jì)算機(jī)病毒掃描法仍是今天用得最為普遍的查計(jì)算機(jī)病毒方法。

  計(jì)算機(jī)病毒的檢測方法二

  2.4.4 分析法

  一般使用分析法的人不是普通用戶,而是防殺計(jì)算機(jī)病毒技術(shù)人員。使用分析法的目的在于:

  1. 確認(rèn)被觀察的磁盤引導(dǎo)扇區(qū)和程序中是否含有計(jì)算機(jī)病毒;

  2. 確認(rèn)計(jì)算機(jī)病毒的類型和種類,判定其是否是一種新的計(jì)算機(jī)病毒;

  3. 搞清楚計(jì)算機(jī)病毒體的大致結(jié)構(gòu),提取特征識別用的字節(jié)串或特征字,用于增添到計(jì)算機(jī)病毒代碼庫供計(jì)算機(jī)病毒掃描和識別程序用;

  4. 詳細(xì)分析計(jì)算機(jī)病毒代碼,為制定相應(yīng)的防殺計(jì)算機(jī)病毒措施制定方案。

  上述四個目的按順序排列起來,正好是使用分析法的工作順序。使用分析法要求具有比較全面的有關(guān)計(jì)算機(jī)、DOS、Windows、網(wǎng)絡(luò)等的結(jié)構(gòu)和功能調(diào)用以及關(guān)于計(jì)算機(jī)病毒方面的各種知識,這是與其他檢測計(jì)算機(jī)病毒方法不一樣的地方。

  要使用分析法檢測計(jì)算機(jī)病毒,其條件除了要具有相關(guān)的知識外,還需要反匯編工具、二進(jìn)制文件編輯器等分析用工具程序和專用的試驗(yàn)計(jì)算機(jī)。因?yàn)榧词故呛苁炀毜姆罋⒂?jì)算機(jī)病毒技術(shù)人員,使用性能完善的分析軟件,也不能保證在短時間內(nèi)將計(jì)算機(jī)病毒代碼完全分析清楚。而計(jì)算機(jī)病毒有可能在被分析階段繼續(xù)傳染甚至發(fā)作,把軟盤硬盤內(nèi)的數(shù)據(jù)完全毀壞掉,這就要求分析工作必須在專門設(shè)立的試驗(yàn)計(jì)算機(jī)機(jī)上進(jìn)行,不怕其中的數(shù)據(jù)被破壞。在不具備條件的情況下,不要輕易開始分析工作,很多計(jì)算機(jī)病毒采用了自加密、反跟蹤等技術(shù),使得分析計(jì)算機(jī)病毒的工作經(jīng)常是冗長和枯燥的。特別是某些文件型計(jì)算機(jī)病毒的代碼可達(dá)10Kb以上,與系統(tǒng)的牽扯層次很深,使詳細(xì)的剖析工作十分復(fù)雜。

  計(jì)算機(jī)病毒檢測的分析法是防殺計(jì)算機(jī)病毒工作中不可缺少的重要技術(shù),任何一個性能優(yōu)良的防殺計(jì)算機(jī)病毒系統(tǒng)的研制和開發(fā)都離不開專門人員對各種計(jì)算機(jī)病毒的詳盡而認(rèn)真的分析。

  分析的步驟分為靜態(tài)分析和動態(tài)分析兩種。靜態(tài)分析是指利用反匯編工具將計(jì)算機(jī)病毒代碼打印成反匯編指令后程序清單后進(jìn)行分析,看計(jì)算機(jī)病毒分成哪些模塊,使用了哪些系統(tǒng)調(diào)用,采用了哪些技巧,并將計(jì)算機(jī)病毒感染文件的過程翻轉(zhuǎn)為清除該計(jì)算機(jī)病毒、修復(fù)文件的過程;判斷哪些代碼可被用做特征碼以及如何防御這種計(jì)算機(jī)病毒。分析人員具有的素質(zhì)越高,分析過程越快、理解越深。動態(tài)分析則是指利用DEBUG等調(diào)試工具在內(nèi)存帶毒的情況下,對計(jì)算機(jī)病毒做動態(tài)跟蹤,觀察計(jì)算機(jī)病毒的具體工作過程,以進(jìn)一步在靜態(tài)分析的基礎(chǔ)上理解計(jì)算機(jī)病毒工作的原理。在計(jì)算機(jī)病毒編碼比較簡單的情況下,動態(tài)分析不是必須的。但當(dāng)計(jì)算機(jī)病毒采用了較多的技術(shù)手段時,必須使用動、靜相結(jié)合的分析方法才能完成整個分析過程。

  2.4.5 人工智能陷阱技術(shù)和宏病毒陷阱技術(shù)

  人工智能陷阱是一種監(jiān)測計(jì)算機(jī)行為的常駐式掃描技術(shù)。它將所有計(jì)算機(jī)病毒所產(chǎn)生的行為歸納起來,一旦發(fā)現(xiàn)內(nèi)存中的程序有任何不當(dāng)?shù)男袨?,系統(tǒng)就會有所警覺,并告知使用者。這種技術(shù)的優(yōu)點(diǎn)是執(zhí)行速度快、操作簡便,且可以偵測到各式計(jì)算機(jī)病毒;其缺點(diǎn)就是程序設(shè)計(jì)難,且不容易考慮周全。不過在這千變?nèi)f化的計(jì)算機(jī)病毒世界中,人工智能陷阱掃描技術(shù)是一個至少具有主動保護(hù)功能的新技術(shù)。

  宏病毒陷阱技術(shù)(MacroTrap)是結(jié)合了搜索法和人工智能陷阱技術(shù),依行為模式來偵測已知及未知的宏病毒。其中,配合OLE2技術(shù),可將宏與文件分開,使得掃描速度變得飛快,而且更可有效地將宏病毒徹底清除。

  2.4.6 軟件仿真掃描法

  該技術(shù)專門用來對付多態(tài)變形計(jì)算機(jī)病毒(Polymorphic/MutationVirus)。多態(tài)變形計(jì)算機(jī)病毒在每次傳染時,都將自身以不同的隨機(jī)數(shù)加密于每個感染的文件中,傳統(tǒng)搜索法的方式根本就無法找到這種計(jì)算機(jī)病毒。軟件仿真技術(shù)則是成功地仿真CPU執(zhí)行,在DOS虛擬機(jī)(Virtual Machine)下偽執(zhí)行計(jì)算機(jī)病毒程序,安全并確實(shí)地將其解密,使其顯露本來的面目,再加以掃描。

  2.4.7 先知掃描法

  先知掃描技術(shù)(VICE,Virus Instruction Code Emulation)是繼軟件仿真后的一大技術(shù)上突破。既然軟件仿真可以建立一個保護(hù)模式下的DOS虛擬機(jī),仿真CPU動作并偽執(zhí)行程序以解開多態(tài)變形計(jì)算機(jī)病毒,那么應(yīng)用類似的技術(shù)也可以用來分析一般程序,檢查可疑的計(jì)算機(jī)病毒代碼。因此先知掃描技術(shù)將專業(yè)人員用來判斷程序是否存在計(jì)算機(jī)病毒代碼的方法,分析歸納成專家系統(tǒng)和知識庫,再利用軟件模擬技術(shù)(Software Emulation)偽執(zhí)行新的計(jì)算機(jī)病毒,超前分析出新計(jì)算機(jī)病毒代碼,對付以后的計(jì)算機(jī)病毒。

2624766