第九章 计算病毒查杀方法.pptVIP

计算机病毒查杀 本章学习目标 掌握计算机病毒诊断知识 掌握杀毒引擎扫描算法 了解病毒诊断实验 理解计算机病毒清除知识 本章内容： 计算机病毒的诊断 原理 方法 源码分析 计算机病毒的清除 典型病毒的查杀 1 计算机病毒的诊断 内容： 计算机病毒的诊断原理 计算机病毒的诊断方法 高速模式匹配 自动诊断的源码分析 计算机病毒的诊断原理 用什么来判断？ 染毒后的特征 常用方法： 比较法 校验和 扫描法 行为监测法 行为感染试验法 虚拟执行法 陷阱技术 先知扫描 分析法等等 比较法 比较法是用原始或正常的对象与被检测的对象进行比较。 手工比较法是发现新病毒的必要方法。 比较法又包括： 注册表比较法 工具RegMon 弱点:正常程序也操作注册表 文件比较法 通常比较文件的长度和内容两个方面 工具FileMon 弱点：长度和内容的变化有时是合法的 病毒可以模糊这种变化 内存比较法 主要针对驻留内存病毒 判断驻留特征 中断比较法 将正常系统的中断向量与有毒系统的中断向量进行比较 比较法的好处：简单 比较法的缺点：无法确认病毒，依赖备份 校验和法 首先，计算正常文件内容的校验和并且将该校验和写入某个位置保存。然后，在每次使用文件前或文件使用过程中，定期地检查文件现在内容算出的校验和与原来保存的校验和是否一致，从而可以发现文件是否感染，这种方法叫校验和法，它既可发现已知病毒又