下载文档原格式
计算机病检测和清除方法计算机病毒是指一种具有自我复制能力、具有破坏、屏蔽或篡改计算机系统功能的程序。
病毒可以通过各种途径传播,如通过下载文件、浏览恶意网站、插入感染的USB设备等方式。
为了保障计算机安全,我们需要了解计算机病毒的检测和清除方法。
一、计算机病毒的检测方法1. 使用杀毒软件:目前市场上有许多杀毒软件可供选择,如金山毒霸、卡巴斯基等。
这些杀毒软件能够扫描计算机系统,检测潜在的病毒,并将其隔离或清除。
使用杀毒软件需要及时更新病毒库,以保证最新的病毒能够被检测到。
2. 定期进行病毒扫描:除了安装杀毒软件外,我们还应该定期进行病毒扫描。
通过设置扫描时间表,计算机可以自动进行病毒扫描,以便及时发现并清除潜在的病毒。
3. 注意文件来源和下载链接:在互联网上浏览和下载文件时,我们应该保持警惕。
避免下载不明文件或从不可靠的网站下载软件,以减少计算机感染病毒的风险。
二、计算机病毒的清除方法1. 使用杀毒软件进行清除:一旦计算机被病毒感染,我们可以使用杀毒软件对系统进行全盘扫描,并进行病毒清除操作。
杀毒软件能够找出潜藏在系统中的病毒,并将其隔离或删除。
2. 恢复系统:如果病毒已经对计算机系统造成了严重损坏,我们可以考虑进行系统恢复。
在Windows系统中,可以使用系统还原功能恢复到之前无病毒的状态。
但这需要提前设置系统还原点,并且会导致你系统中其他的文件也随之恢复。
3. 格式化硬盘:如果计算机系统已经被病毒完全控制,并且无法通过杀毒软件清除,最后的手段是格式化硬盘。
这样会将系统恢复到出厂设置,但同时也会删除硬盘中的所有数据,因此在执行这一操作前需要备份重要数据。
总结:计算机病毒的出现给我们的生活和工作带来了许多麻烦,因此我们需要掌握计算机病毒的检测和清除方法。
通过使用杀毒软件进行定期扫描和更新病毒库,我们可以及时发现和清除潜在的病毒。
此外,我们还应该注意文件来源和下载链接,避免从不可靠的来源下载文件。
如果计算机已经感染病毒,我们可以使用杀毒软件进行清除,或者考虑进行系统恢复或硬盘格式化。
浅谈计算机病毒的检测及防治方法一、计算机病毒的检测方法1. 病毒扫描器病毒扫描器是一种专门用于检测计算机病毒的工具。
它可以扫描计算机系统中的各种文件和程序,并对其进行检测,以判断是否存在病毒。
如果发现病毒,病毒扫描器可以将其进行隔离或删除。
目前市面上有很多种病毒扫描器,如Norton、360安全卫士等,用户可以根据自己的需求选择适合的病毒扫描器进行使用。
2. 病毒特征识别病毒特征识别是一种通过对病毒的特征进行分析和识别的方法。
当病毒感染了计算机系统后,会对系统中的文件和程序进行修改,这些修改会留下病毒的特征。
通过对这些特征进行分析和识别,可以及时发现和处理病毒。
目前,病毒特征识别已经成为了一种常见的病毒检测方法,可以有效地降低病毒对计算机系统的危害。
以上所述是计算机病毒的检测方法,但这些方法并不能百分之百地保证计算机系统的安全,因为计算机病毒的种类和变种非常多,可能会出现对这些检测方法的规避。
除了检测方法的使用,还需进行计算机病毒的防治。
计算机病毒的防治方法主要包括以下几种:1. 及时更新防病毒软件防病毒软件是保护计算机系统安全的重要工具,可以及时发现和处理计算机病毒。
用户在使用计算机时要及时更新防病毒软件,保持其在最新的版本,以提高对病毒的识别和处理能力。
2. 避免下载未知来源的文件和软件网络是计算机病毒传播的重要途径,用户在使用计算机时要避免下载未知来源的文件和软件,以减少病毒感染的可能。
还需谨慎访问和浏览一些不安全的网站,以防止病毒通过网络进行传播。
3. 备份重要数据由于计算机病毒可能对系统中的文件和数据进行破坏,因此用户在使用计算机时要定期对重要数据进行备份,以防止病毒感染后造成数据的不可恢复损失。
4. 远离垃圾邮件垃圾邮件常常是计算机病毒的传播途径之一,用户在使用电子邮件时要远离垃圾邮件,不要打开未知来源的邮件附件,以保护计算机系统的安全。
3. 定期进行系统安全检查用户在使用计算机时要定期进行系统安全检查,查杀可能隐藏在系统中的病毒,以保护计算机系统的安全。
电脑病毒有哪些检测方法在与病毒的对抗中,及早发现病毒很重要。
早发现,早处置,可以减少损失。
检测病毒方法有:特征代码法、校验和法、行为监测法、软件模拟法,这些方法依据的原理不同,实现时所需开销不同,检测范围不同,各有所长。
以下店铺整理的电脑病毒的检测方法,供大家参考,希望大家能够有所收获!电脑病毒检测方法1:特征代码法特征代码法是检测已知病毒的最简单、开销最小的方法。
它的实现是采集已知病毒样本。
病毒如果既感染COM文件,又感染EXE文件,对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。
打开被检测文件,在文件中搜索,检查文件中是否含有病毒数据库中的病毒特征代码。
如果发现病毒特征代码,由于特征代码与病毒一一对应,便可以断定,被查文件中患有何种病毒。
采用病毒特征代码法的检测工具,面对不断出现的新病毒,必须不断更新版本,否则检测工具便会老化,逐渐失去实用价值。
病毒特征代码法对从未见过的新病毒,自然无法知道其特征代码,因而无法去检测这些新病毒。
特征代码法的优点是:检测准确快速、可识别病毒的名称、误报警率低、依据检测结果,可做解毒处理。
其缺点是:A、速度慢。
随着病毒种类的增多,检索时间变长。
如果检索5000种病毒,必须对5000种病毒特征代码逐一检查。
如果病毒种数再增加,检病毒的时间开销就变得十分可观。
此类工具检测的高速性,将变得日益困难。
B、不能检查多形性病毒。
特征代码法是不可能检测多态性病毒的。
国外专家认为多态性病毒是病毒特征代码法的索命者。
C、不能对付隐蔽性病毒。
隐蔽性病毒如果先进驻内存,后运行病毒检测工具,隐蔽性病毒能先于检测工具,将被查文件中的病毒代码剥去,检测工具的确是在检查一个虚假的"好文件",而不能报警,被隐蔽性病毒所蒙骗。
电脑病毒检测方法2:校验和法将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存。
在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法叫校验和法,它既可发现已知病毒又可发现未知病毒。
浅谈计算机病毒的检测及防治方法计算机病毒是指能够自我繁殖、感染计算机系统和程序的恶意软件。
计算机病毒的存在给人们带来了很大的安全隐患,因为它能够窃取用户的信息、破坏系统和文件,甚至进行勒索、攻击等行为。
因此,如何及时地检测和防治计算机病毒成为了计算机安全领域中的重要问题。
一、计算机病毒检测计算机病毒检测是指通过一定的手段来识别计算机系统中的病毒威胁。
当前,常见的计算机病毒检测方法主要包括如下几种:1. 签名检测法签名检测法利用病毒库中已知的病毒样本信息,以对比分析的方式来检测恶意软件。
当计算机系统中的文件与病毒库中已知的病毒样本信息相符时,就可以确定该文件为病毒。
行为检测法是指通过监控计算机系统中软件的行为来识别病毒威胁。
当软件的行为与病毒的典型行为相似时,就可以判定该软件为病毒。
堆叠检测法是基于人工智能技术的一种计算机病毒检测方法。
该方法通过建立分类器来识别病毒威胁,具备较高的准确率和鲁棒性。
1. 安装杀毒软件安装杀毒软件是当前比较普遍的防治计算机病毒的方法。
杀毒软件通过实时监测计算机系统中的软件和文件,及时发现并清除病毒。
2. 加强网络安全防护加强网络安全防护是保护计算机网络免受病毒攻击的重要手段。
加强网络安全防护包括建立防火墙、设置访问控制、加密敏感数据等措施。
3. 差异化备份数据差异化备份数据是指对计算机系统中的重要数据进行备份,并在备份数据之间设定差异化策略,以减少因病毒感染而导致数据丢失的风险。
4. 系统更新计算机系统更新是指安装和使用最新的操作系统,以及更新系统和软件的安全补丁。
这样可以保证系统的安全性,使其能够及时防范和应对病毒攻击。
综上所述,计算机病毒的检测和防治是计算机安全领域中的一项重要任务。
为了保证计算机系统的安全,需要采用多种防治手段,如安装杀毒软件、加强网络安全防护、差异化备份数据、系统更新等方法。
只有多方联合防范,才能有效地遏制计算机病毒的威胁。
如何检测计算机病随着计算机技术的飞速发展,计算机病毒越来越多地威胁到了我们的计算机安全。
计算机病毒会给我们带来很多麻烦,比如数据丢失、系统崩溃、甚至是信息泄露和身份盗窃。
为了保障自己的计算机安全,我们需要学会如何检测计算机病毒。
本文将介绍一些常用的检测方法,以帮助读者更好地保护自己的计算机。
一、杀毒软件检测此方法是最为常用和效果最好的方法之一。
杀毒软件是一种专门用来检测和杀除计算机病毒的工具。
杀毒软件提供了多种功能,如实时监控、扫描、清除病毒等。
当计算机感染了病毒,杀毒软件会发出警报,然后对病毒进行隔离和清除,保障计算机的安全。
更进一步地,一些高级的杀毒软件可以进行深度扫描和自定义扫描,可以彻底检测计算机里的系统漏洞和恶意程序。
如果您没有安装杀毒软件,那么赶快行动,选择一款可靠的杀毒软件进行安装和使用。
二、实时监测检测实时监测是杀毒软件提供的一个重要功能。
此功能可以在计算机使用的同时对病毒进行监测,发现病毒后立即采取相应的措施。
一些高级杀毒软件还可以监测和拦截计算机中的恶意软件、垃圾邮件、木马程序等等,可以大大提高计算机的安全性。
三、文件扫描检测文件扫描是另一个常用的检测计算机病毒的方法。
这种方法就是对计算机中的所有文件进行扫描,然后对检测到的可疑文件进行处理。
文件扫描可以分为快速扫描和完全扫描两种。
快速扫描只扫描计算机中的系统文件和一些常用软件,而完全扫描则扫描计算机中的所有文件,确保计算机的安全性。
四、安全网站检测安全网站检测是一种新兴的检测计算机病毒的方法。
现在,很多网站都提供了免费的在线病毒扫描服务,如Virustotal、Jotti Malware Scan等等。
使用这些安全网站可以检测出计算机中的潜在威胁。
这种方法虽然不如杀毒软件检测效果显著,但是可以提供额外的安全保障,让计算机更加安全。
以上几种方法是常用的检测计算机病毒的方法。
当然,作为计算机使用者,我们需要做好以下几点:1、不随意打开邮件和下载文件。
浅谈计算机病毒的检测及防治方法计算机病毒是计算机系统中常见的一种恶意软件,能够在未经用户授权的情况下在计算机系统中进行破坏、篡改、窃取数据等操作。
计算机病毗主要通过网络传播,对用户的计算机系统和数据造成不可估量的危害。
为了保护计算机系统的安全,我们需要学习计算机病毒的检测及防治方法。
一、计算机病毒的检测方法1. 安装杀毒软件安装杀毒软件是最基本的计算机病毒检测方法。
选择一款可信赖的杀毒软件,并经常更新病毒库,及时发现和清除计算机中的病毒。
2. 定期进行全盘扫描除了实时监控外,定期进行全盘扫描也是必不可少的。
全盘扫描可以检测隐藏在计算机各个角落的病毒,保护计算机系统的安全。
3. 手动检测在安装杀毒软件的基础上,可以通过手动检测的方式来确认计算机系统中是否存在病毒。
检测过程中应该注意一些系统异常,如速度变慢、程序频繁崩溃等现象。
1. 谨慎下载在互联网上下载文件时,一定要选择正规的网站,并且不要下载来源不明的文件。
病毒很容易隐藏在一些看似无害的文件中,从而破坏计算机系统。
2. 定期更新系统软件定期更新系统软件可以修补系统中的漏洞,增强系统的安全性,减少病毒的侵袭。
3. 备份重要数据备份重要数据是保护计算机系统安全的关键措施之一。
在病毒入侵时,及时恢复备份的数据,可以减少病毒对计算机系统的损害。
4. 注意邮件附件不要随意打开不明邮件附件,这些附件中可能隐藏着病毒。
在收到陌生邮件时,一定要小心谨慎。
5. 使用强密码使用强密码可以有效防止黑客对计算机系统的攻击,减少病毒的传播。
总结:计算机病毒的检测及防治方法对于保护计算机系统的安全至关重要。
通过安装杀毒软件、定期进行全盘扫描、手动检测等方法来检测计算机病毒;通过谨慎下载、定期更新系统软件、备份重要数据、注意邮件附件、使用强密码等方法来防治计算机病毒。
我们也应该不断加强自己对计算机安全的认识,提高自身防范能力,共同保护计算机系统的安全。
你的计算机是否感染病如何检测计算机病计算机已经成为我们日常生活中不可或缺的工具,但与此同时,计算机病毒的泛滥也给我们的电脑安全带来了很大的威胁。
那么,我们如何判断自己的计算机是否感染了病毒呢?本文将为您介绍几种常见的计算机病毒检测方法。
首先,我们可以通过安装杀毒软件来保护计算机的安全。
杀毒软件是一种专门用来检测和清除计算机病毒的工具,它能够实时监测计算机中的文件和程序,一旦发现可疑的活动,就会立即进行扫描和处理。
常见的杀毒软件有卡巴斯基、诺顿等,用户可以根据自己的需求和喜好选择合适的杀毒软件安装在计算机上。
其次,我们可以通过定期进行计算机病毒扫描来检测是否感染了病毒。
杀毒软件通常都内置了病毒扫描功能,用户可以选择全盘扫描或选择性扫描来检测计算机中的病毒。
全盘扫描会对计算机中的所有文件和程序进行检测,而选择性扫描则可以根据用户的需要选择特定的文件夹或驱动器进行扫描。
定期进行病毒扫描可以帮助我们及时发现和清除计算机中的病毒,保护计算机的安全。
除此之外,我们还可以通过观察计算机的异常表现来判断是否感染了病毒。
计算机感染了病毒后,常常会出现一些异常的表现,比如系统运行缓慢、频繁出现错误提示、无法正常访问某些网页等等。
这些异常表现可能是病毒在背后进行破坏和控制的结果,因此当我们发现计算机出现了这些异常情况时,就需要警惕是否感染了病毒,并及时采取措施进行处理。
此外,我们还可以利用在线杀毒工具进行计算机病毒检测。
在线杀毒工具是一种通过互联网连接到杀毒服务器进行计算机病毒扫描和清除的工具,它可以免去用户下载和安装病毒库的步骤,直接在云端进行病毒识别和清除。
常见的在线杀毒工具有360云扫描、瑞星在线杀毒等,用户只需要访问相应的网站,上传待扫描的文件,工具就会在短时间内给出扫描结果。
使用在线杀毒工具可以方便快捷地检测计算机是否感染了病毒。
最后,我们还可以定期更新操作系统和软件来增强计算机的安全性。
厂家会对操作系统和软件进行定期的安全更新,其中包括修复已知漏洞、增强安全功能等。
了解计算机病检测的基本原理计算机病毒检测的基本原理计算机病毒是一种针对计算机系统和文件的恶意软件。
为了保护计算机的安全,了解计算机病毒检测的基本原理变得至关重要。
本文将介绍常见的计算机病毒检测方法,包括特征码匹配、行为分析和启发式检测。
一、特征码匹配特征码匹配是最常见的病毒检测方法之一。
计算机病毒通常由一组特定的字节序列组成,这些序列被称为特征码或病毒特征码。
特征码匹配的基本原理是比较可疑文件中的字节序列是否与已知的病毒特征码相匹配。
如果匹配成功,就可以确认该文件被感染。
然而,特征码匹配的缺点是需要经常更新病毒特征库,并且对于未知的病毒无法有效匹配。
二、行为分析行为分析是一种通过观察程序运行时的行为来检测病毒的方法。
计算机病毒通常会在感染计算机后改变系统的行为。
行为分析的基本原理是监控程序运行期间的活动,并与已知的病毒行为进行比对,以确定是否存在异常或可疑的行为。
例如,如果一个程序突然开始大量复制文件或修改系统设置,就可能是存在病毒感染。
然而,行为分析需要对系统进行监控和分析,对于高性能系统可能会产生较大的开销。
三、启发式检测启发式检测是一种结合特征码匹配和行为分析的方法。
启发式检测的基本原理是根据已知病毒的特征码和行为,预测未知病毒的可能特征码和行为。
这种方法可以减少特征码更新的频率,并能够检测到未知病毒。
启发式检测利用了机器学习和数据挖掘等技术,通过分析病毒的性质和传播方式预测未知病毒的特征。
然而,启发式检测的误报率较高,可能会将正常的文件误判为病毒。
综上所述,计算机病毒的检测是保护计算机安全的重要环节。
特征码匹配、行为分析和启发式检测是常见的计算机病毒检测方法。
特征码匹配通过比对文件的特征码来检测病毒,行为分析通过观察程序运行时的行为来检测病毒,而启发式检测则结合了两者的优点。
在实际应用中,可以根据需要选择适合的检测方法,以提高计算机系统的安全性。
请注意,在实际使用时,单一的病毒检测方法可能无法完全保证计算机系统的安全性。
谈计算机病毒的检测谈计算机病毒的检测张莉1李佩臻2窦小楠2(1、河南省测绘发展研究中心2、河南省基础地理信息中心)关键词:病毒计算机异常代码1、常用检测方法1.1、外观检测法:病毒侵入计算机系统后,会使计算机系统的某些部分发生变化,引起一些异常现象,如屏幕显示的异常现象、系统运行速度的异常、打印机并行端口的异常、通信串行口的异常等等。
可以根据这些异常现象来判断病毒的存在,尽早地发现病毒,并作适当处理。
外观检测法是最常用的病毒检测方法,它要求用户对计算机有相当的了解并有一定的经验,才可以较准确地发现病毒。
1.2、特征代码法:一种病毒可能感染很多文件或计算机系统的多个地方,而且在每个被感染的文件中,病毒程序所在的位置也不尽相同,但是计算机病毒程序一般都具有明显的特征代码,这些特征代码,可能是病毒的感染标记(一般由若干个英文字母和阿拉伯数字组成)。
特征代码也可能是一小段计算机程序,它由若干个计算机指令组成。
特征代码不一定是连续的,也可以用一些通配符或模糊代码来表示任意代码。
只要是同一种病毒,在任何一个被该病毒感染的文件或计算机中,总能找到这些特征代码。
特征代码法的实现步骤:a.采集已知病毒样本,同一种病毒,当它感染一种宿主,就要采集一种样本,如果一种病毒既感染COM文件,又感染EXE文件以及引导区,就要同时采集COM型、EXE 型和引导区型3种病毒样本。
b.在病毒样本中,抽取特征代码,依据如下原则:抽取的代码比较特殊,不大可能与普通正常程序代码吻合;抽取的代码要有适当长度,一方面维持特征代码的唯一性,另一方面又不要有太大的空间与时间的开销;在既感染COM文件又感染EXE文件的病毒样本中,要抽取两种样本共有的代码。
c.将特征代码纳入病毒数据库。
d.打开被检测文件,在计算机系统中搜索,检查计算机系统中是否含有病毒数据库中的病毒特征代码。
如果发现病毒特征代码,由于特征代码与病毒一一对应,便可以断定被查文件中患有何种病毒。
谈计算机病毒的检测
谈计算机病毒的检测
张莉1李佩臻2窦小楠2
(1、河南省测绘发展研究中心2、河南省基础地理信息中心)关键词:病毒计算机异常代码
1、常用检测方法
1.1、外观检测法:病毒侵入计算机系统后,会使计算机系统的某些部分发生变化,引起一些异常现象,如屏幕显示的异常现象、系统运行速度的异常、打印机并行端口的异常、通信串行口的异常等等。
可以根据这些异常现象来判断病毒的存在,尽早地发现病毒,并作适当处理。
外观检测法是最常用的病毒检测方法,它要求用户对计算机有相当的了解并有一定的经验,才可以较准确地发现病毒。
1.2、特征代码法:一种病毒可能感染很多文件或计算机系统的多个地方,而且在每个被感染的文件中,病毒程序所在的位置也不尽相同,但是计算机病毒程序一般都具有明显的特征代码,这些特征代码,可能是病毒的感染标记(一般由若干个英文字母和阿拉伯数字组成)。
特征代码也可能是一小段计算机程序,它由若干个计算机指令组成。
特征代码不一定是连续的,也可以用一些通配符或模糊代码来表示任意代码。
只要是同一种病毒,在任何一个被该病毒感染的文件或计算机中,总能找到这些特征代码。
特征代码法的实现步骤:a.采集已知病毒样本,同一种病毒,当它感染一种宿主,就要采集一种样本,如果一种病毒既感染COM文件,又感染EXE文件以及引导区,就要同时采集COM型、EXE 型和引导区型3种病毒样本。
b.在病毒样本中,抽取特征代码,依据如下原则:抽取的代码比较特殊,不大可能与普通正常程序代码吻合;抽取的代码要有适当长度,一方面维持特征代码的唯一性,另一方面又不要有太大的空间与时间的开销;在既感染COM文件又感染EXE文件的病毒样本中,要抽取两种样本共有的代码。
c.将特征代码纳入病毒数据库。
d.打开被检测文件,在计算机系统中搜索,检查计算机系统中是否含有病毒数据库中的病毒特征代码。
如果发现病毒特征代码,由于特征代码与病毒一一对应,便可以断定被查文件中患有何种病毒。
特征代码检测的优点是检测准确、快速;可识别病毒的名称;误报警率低;根据检测结果,可准确杀毒。
1.3、检查常规内存数:计算机病毒在传染或执行时必然要占用一定的内存空间,并且通常在加载之后会驻留内存,等待时机进行感染或表现。
病毒驻留到内存后,为防止DOS系统将其覆盖,一般都要修改系统数据区记录的系统内存数据或内存控制块中的数据,使得用户不能覆盖病毒占用的内存空间,因此,可通过检查内存的大小和内存中的数据来判断系统中是否有病毒。
通常有两种方法对常规内存数进行检查:a.查看系统内存的总量,与正常情况进行比较。
b.检查系统内存高端的内容,判断其中的代码是否可疑。
1.4、系统数据对比法:a.检查硬盘的主引导扇区、DOS分区引导扇区、软盘的引导扇区、FAT表、
··
375
全国测绘科技信息网中南分网第二十四次学术信息交流会论文集
中断向量表、设备驱动程序头,与正常的内容进行比较,或用以上数据的备份与当前的数据对比,如
果发现异常变化,机器则极可能感染病毒。
b.检查FAT表,病毒隐藏在磁盘上,一般要对存放的位置做出“坏簇”标志,坏簇”信息将反映在FAT表中,因此,可通过检查FAT表,看有无意外坏簇,来判断是否感染了病毒。
c.检查中断向量,计算机病毒平时隐藏在磁盘上,在系统启动后,随系统或随调用的可执行文件进入内存,通过修改中断向量的方法驻留下来,只要调用这些被修改的中断向量,
病毒就会被激活,使系统转向病毒的执行代码。
病毒程序执行后,达到了感染或破坏的目的,再转回
到原中断处理程序执行。
因此可以通过检查中断向量有无变化来确定是否感染了病毒。
1.5、实时监测法:这种方法实际上是利用病毒的特有行为特征来监测病毒的方法,也称为行为
监测法。
计算机病毒有一些行为是共同的行为以实施传染或破坏的目的,这些行为往往比较特殊,
很少出现在正常程序中。
实时监测法的思想就是当程序运行时,利用操作系统底层接口技术监视其
行为,一旦发现这些特殊的病毒行为,就立即报警。
实时监测法不能在DOS环境实现,只能在多任务并行运行的系统下进行,比如Windows系统。
实时监测法可发现未知病毒,相当准确地预报未知的多数病毒;可以实现对病毒的实时、永久、自
动监控,这种技术能够有效控制病毒的传播途径。
其缺点是:可能误报警;不能识别病毒名称;占
用较多的系统资源;全面实时监测技术的实现难度较大。
1.6、软件模拟法——
—检测多态病毒:为了检测多态病毒,反病毒专家研制了一种新的检测方
—软件模拟法。
它是一种软件分析器,在机器的虚拟内存中用软件方法来模拟和分析不明程序法——
的运行,而且程序的运行不会对系统各部分起实际的作用,因而不会对系统造成危害在执行过程中,
从虚拟机环境内截获文件数据,如果含有可疑病毒代码,则杀毒后将其还原到原文件中,从而实现
对各种可执行文件内病毒的查杀。
2、新一代病毒检测技术
2.1、启发式代码扫描技术
2.1.1、启发式代码扫描技术的原理:通常一个应用程序在最初的指令是检查命令行输入有无参
数项、清屏和保存原来屏幕显示等,而病毒程序则从来不会这样做,它通常最初的指令是直接写盘
操作、解码指令,或搜索某路径下的可执行程序等相关操作指令序列。
这些显著的不同之处,一个
熟练的程序员在调试状态下可一目了然。
启发式代码扫描技术实际上就是把这种经验和知识移植到
一个查病毒软件的具体程序中。
因此,在这里,启发式指“自我发现的能力”或“运用某种方式或
方法去判定事物的知识和技能”。
一个运用启发式代码扫描技术的病毒检测软件,实际上就是以特定
方式实现的动态反编译器,通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。
在具
体实现上,启发式代码扫描技术是相当复杂的。
通常这类病毒检测软件要能够识别并探测许多可疑
的程序代码指令序列,如格式化磁盘的操作,搜索和定位各种可执行程序的操作,实现驻留内存的
操作,发现非常的或未公开的系统功能调用的操作,等等,这些操作将被按照安全和可疑的等级排
序,根据病毒可能使用和具备的特点而授以不同的加权值。
2.1.2、启发式代码扫描通常应设立的标志:为了方便用户或研究人员直观地检测被测试程序中
可疑功能调用的存在情况,病毒检测程序可以显示不同的可疑功能调用,对于某个文件来说,被点
亮的标志越多,染毒的可能性就越大。
常规干净程序甚至很少会点亮一个标志旗,但如果要作为可
疑病毒报警的话,则至少要点亮两个以上标志旗。
如果再给不同的标志旗赋予不同的加权值,情况
还要复杂多。
2.1.3、关于虚警(谎报):正如任何其他的通用检测技术一样,启发式代码扫描技术有时也会把
一个本无病毒的程序指正为染毒程序,这就是所谓的查毒程序虚警或谎报现象。
尽管有虚警和误报··
376
谈计算机病毒的检测
的缺点,和其他的扫描识别技术相比起来,启发式代码扫描技术还几乎能提供足够的辅助判断信息让我们最终判定被检测的目标对象是染毒的,还是干净的。
启发式代码扫描技术仍然是一种正在发展和不断完善中的新技术,但已经在大量优秀的反病毒软件中得到迅速的推广和应用。
2.1.4、传统扫描技术和启发式代码扫描技术的结合运用:传统扫描技术由于基于对已知病毒的分析和研究,在检测时能够更准确,减少误报,但如果是对待此前根本没有见过的新病毒,由于传统手段的知识库并不存在该类(种)病毒的特征数据,则有可能造成漏报。
而这时基于规则和定义的启发式代码分析技术则正好可以大显身手,使这类新病毒不至于成为漏网之鱼。
传统扫描技术与启发式代码扫描技术的结合使用,可以使病毒检测软件的检出率达到很高水平,而另一方面,又大大降低了总的误报率。
某种病毒能够同时逃脱传统扫描和启发式扫描分析的可能性是小的,如果两种分析的结论相一致,那么真实的结果往往就如同其判断结论一样确定无疑。
两种不同技术对同一检测样本分析的结果不一致的情况比较少见,这种情况下需借助另外的分析得出最后结论。
2.2、主动内核技术:从防病毒卡到自动升级的反病毒软件产品,再到动态、实时的反病毒技术,采用的都是被动式防御理念。
这种理念最大的缺点在于将防治病毒的基础建立在病毒侵入操作系统或网络系统以后作为上层应用软件的反病毒产品,才能借助于操作系统或网络系统所提供的功能来被动地防治病毒。
这种做法就给计算机系统的安全性、可靠性造成了很大的影响。
实时化的反病毒技术,可以被称为“主动反应”技术,因为这种反病毒技术能够在用户不关心的情况下,自动将病毒拦截在系统之外,但仍是将防治病毒的基础建立在病毒侵入操作系统或网络系统之后。
作为上层应用软件的反病毒产品,借助于操作系统或网络系统所提供的功能来被动地防治病毒。
这种做法有时会给计算机系统的安全性、可靠性造成一定影响。
2.3、其他检测病毒的新技术主要有:智能引擎技术、嵌入式杀毒技术、未知病毒查杀技术、压缩智能还原技术。
3、结束语
本文简单阐述了病毒的常用检测方法和新一代病毒检测技术。
··
377。
