计算机病毒的检测方法[汇编].pptVIP

1.3 软件模拟法 为了检测多态性病毒，国外研制了新的检测方法——软件模拟法。它是一种软件分析器，用软件方法来模拟和分析程序的运行，以后演绎为虚拟机上进行的查毒，启发式查毒技术等，是相对成熟的技术。 新型检测工具纳入了软件模拟法，该类工具开始运行时，使用特征代码法检测病毒，如果发现隐蔽病毒或多态性病毒嫌疑时，启动软件模拟模块，监视病毒的运行，待病毒自身的密码译码以后，再运用特征代码法来识别病毒的种类。 * 方法汇编·实用借鉴 1.4 比较法 比较法是用原始的或正常的文件与被检测的文件进行比较。 长度比较法 内容比较法 内存比较法 中断比较法 比较时可以靠打印的代码清单（比如DEBUG的口命令输出格式）进行比较，或用程序来进行比较（如DOS的DISKCOMP、COMP或PCTOOLS等其他软件）。 * 方法汇编·实用借鉴 可以发现那些尚不能被现有的查病毒程序发现的计算机病毒。因为病毒传播得很快，新病毒层出不穷，由于目前还没有做出通用的能查出一切病毒，或通过代码分析，可以判定某个程序中是否含有病毒的查毒程序，发现新病毒就只有靠比较法和分析法，有时必须结合这两者一同工作。 * 方法汇编·实用借鉴 方法汇编·实用借鉴 方法汇编·实用借鉴 方法汇编·实用借鉴 方法汇编·实用借鉴 方法汇编·实用借鉴 方法汇编·实用借鉴 方法汇编·实用借鉴 方法汇编·实用借鉴 方法汇编·实用借鉴 方法汇编·实用借鉴 方法汇编·实用借鉴 方法汇编·实用借鉴 方法汇编·实用借鉴 方法汇编·实用借鉴 方法汇编·实用借鉴 方法汇编·实用借鉴 方法汇编·实用借鉴 方法汇编·实用借鉴 方法汇编·实用借鉴 方法汇编·实用借鉴 方法汇编·实用借鉴 方法汇编·实用借鉴 方法汇编·实用借鉴 方法汇编·实用借鉴 方法汇编·实用借鉴 方法汇编·实用借鉴 方法汇编·实用借鉴 方法汇编·实用借鉴 方法汇编·实用借鉴 方法汇编·实用借鉴 方法汇编·实用借鉴 方法汇编·实用借鉴 方法汇编·实用借鉴 方法汇编·实用借鉴 方法汇编·实用借鉴 方法汇编·实用借鉴 方法汇编·实用借鉴 方法汇编·实用借鉴 20XX年X月 整理自网络 计算机病毒的检测方法 * 方法汇编·实用借鉴 计算机病毒进行传染，必然会留下痕迹。检测计算机病毒，就是要到病毒寄生场所去检查，发现异常情况，并进而验明“正身”，确认计算机病毒的存在。病毒静态时存储于磁盘中，激活时驻留在内存中。 因此对计算机病毒的检测分为对内存的检测和对磁盘的检测。 * 方法汇编·实用借鉴 一般对磁盘进行病毒检测时，要求内存中不带病毒，因为某些计算机病毒会向检测者报告假情况。 例如4096病毒在内存中时，查看被它感染的文件长度时，不会发现该文件的长度已发生变化，而当在内存中没有病毒时，才会发现文件长度已经增加了4096字节。 又如引导区型的巴基斯坦大脑病毒，当它被激活在内存中时，检查引导区时看不到病毒程序而只看到正常的引导扇区。 * 方法汇编·实用借鉴 病毒检测的原理主要基于下列几种方法： 利用病毒特征代码串的特征代码法 利用文件内容校验的校验和法 用软件虚拟分析的软件模拟法 比较被检测对象与原始备份的比较法 运用反汇编技术分析被检测对象确认是否为病毒的分析法 * 方法汇编·实用借鉴 1. 病毒的检测方法 1.1 特征代码法 特征代码法被认为是用来检测已知病毒的最简单、开销最小的方法。 原理： 将所有病毒的病毒码加以剖析，并且将这些病毒独有的特征搜集在一个病毒码资料库中，简称“病毒库”，检测时，以扫描的方式将待检测程序与病毒库中的病毒特征码进行一一对比，如果发现有相同的代码，则可判定该程序已遭病毒感染。 * 方法汇编·实用借鉴 在设计此类检测工具时，应考虑如下一些问题： （1） 高速性。 随着病毒种类的增多，检索时间变长。如果检索5000种病毒，必须对5000个病毒特征代码逐一检查。如果病毒种数再增加，检查病毒的时间开销就变得十分可观。此类工具检测的高速性，将变得日益困难。 （2） 误报警率低。 （3） 要具有检查多态性病毒的能力。此要求是对病毒检测工具的新要求，特征代码法是不可能检测多态性病毒的。 * 方法汇编·实用借鉴 （4） 能对付隐蔽性病毒。隐蔽性病毒如果先进驻内存，后运行病毒检测工具，隐蔽性病毒能先于检测工具，将被查文件中的病毒代码剥去，检测工具的确是在检查一个有毒文件，但它真正看到的却是一个虚假的“好文件”，而不能报警，被隐蔽性病毒所蒙骗。 * 方法汇编·实用借鉴 1.2 校验和法 校验和