网络安教材资料全技术第七章节.pptVIP

一、病毒诊断技术原理 3、病毒扫描法诊断的原理 扫描法是用每一种病毒体还有的特定字符串对被检测的对象进行扫描。如果在被检测对象内部发现了某一种特定字符串，就表明发现了该字符串所代表的病毒。 扫描法包括特征代码扫描法和特征字扫描法。 扫描法的优点是可以识别病毒的名称、误报警率低、依据检测结果可以做杀毒处理。 一、病毒诊断技术原理 4、病毒行为检测法诊断的原理 利用病毒的特有行为特性监测病毒的方法称做行为监测法。 行为监测法的长处在于不仅可以发现已知病毒，而且可以相当准确地预报多数未知病毒。但行为监测法也有短处，即可能误报警和不能识别病毒名称，而且实现起来有一定难度。 监测病毒的行为特征可列举如下： （1）占用INT13H：所有的引导型病毒都攻击BOOT扇区或主引导扇区。 （2）修改DOS系统数据区的内存总量：病毒常驻内存后，为了防止DOS系统将其覆盖，必须修改内存总量。 （3）对COM和EXE文件做写入操作：病毒要进行感染，必须写COM和EXE文件。 （4）病毒程序与宿主程序的切换染毒程序运行时，先运行病毒，而后执行宿主程序。在两者切换时，有许多特征行为。 一、病毒诊断技术原理 5、病毒行为感染实验法诊断的原理 感染实验是一种简单实用的病毒检测方法，采用感染实验法可以检测出病毒检测工具不认识的新病毒，从而摆脱对病毒检测工具的