西安理工大学-信息安全科学出版社新版课件 第十章 计算机病毒与恶意代码的防治.pptVIP

* * 　计算机病毒的检测 　　目前计算机病毒检测的常用方法有特征代码法、校验和法、行为监测法、比较法等。 1. 特征代码法 　　特征代码法具有检测准确、误报率低的优点，因为能够准确检测出具体是哪一种病毒，所以一般能够进行相应的清除病毒的工作，病毒清除效果较好。 * 　计算机病毒的检测 　　但是，特征代码法也有其无法克服的缺点。 1）无法检测新病毒。 2）特征代码库必须及时更新。 3）检测速度慢，所需时间长。 4）不能检测没有特征代码的病毒。 因为不掌握新出现病毒的特征代码，因此不能够检测新出现的病毒。 为了对付新病毒，特征代码库必须能够及时地得到更新。 对于待检测的每一个文件，需要将每一种已知病毒的特征代码查找一遍，随着已知病毒数量的增长，检测所需时间也越来越长 如果有些病毒根本就没有特征代码或者特征代码总是不停地变化，则这种病毒就无法使用特征代码法检测出来。 * 　计算机病毒的检测 　　2. 检验和法　 　　校验和法的原理是利用某种算法计算正常文件的校验和，并将其存入文件或者特定地方，定期或使用此文件时重新计算其校验和并与之前的校验和进行比较，如果不一致则此文件被感染。校验和法能够精准地判断文件是否被修改过，排除用户自己进行的修改则基本可以判定是感染了病毒。 　　检验和法的优点：既可以检测出已知的病毒，也可以检测出未知病毒；与特征代码法相比，检测一个文件只需