四种查找技巧巧妙地检查硬盘和内存
检测病毒的方法有很多种。今天我们教你四种检测硬盘和内存的方法!搜索方法
此方法主要用于扫描每个病毒包含的特定字符串。如果在检测到的对象中找到一个特定的字节字符串,则表示找到了由字节字符串表示的病毒。
病毒扫描软件主要包括两个部分:第一部分是病毒代码库,通过各种含有特别选定的代码串的计算机病毒;另一部分是由扫描程序代码库进行扫描,病毒扫描的数量可以识别计算机病毒后的多少取决于病毒代码库包含病毒的类型。
病毒代码串的选择非常重要。短暂的病毒代码只有100多个字节,和长一只10kb字节。要选择程序的仔细分析后最具代表性的特征,能够区分病毒与其他病毒和病毒的其他变种。
在一般情况下,代码串是由连续的字节,但有些扫描软件采用的是可变长度的字符串,字符串中,有一些模糊的字节。当扫描软件满足这根弦,只要除了模糊的字节字符串可以很好地匹配,病毒也可以被识别。此外,特征字符串也必须能够使病毒与正常的非病毒程序区,否则会有虚假报告,虚假报告。
特征识别
这是一种基于特征串扫描的方法,它运行速度快,误报率低,特征词识别方法只需要从病毒中提取少数关键特征词,形成特征字库,由于需要处理的字节数少,不需要字符串匹配,加快了识别速度。当处理的程序较大时,此方法更为合适。
由于特征字识别的方法更注重计算机病毒程序的活动,降低了误报的可能性。该方法基于特征串扫描法检查病毒是基于特征字的识别方法基于病毒软件方法相同。只要病毒检查程序运行,已知的病毒就可以检出,使用这两种方法需要不断扩充病毒库。一旦病毒被捕获,在提取特征并添加到病毒库之后,它将使病毒检测程序检测到不止一种新病毒。
比较法
这是一个与原始备份的比较法和检测的引导扇区或文件可用于打印的代码清单(如D命令输出格式的调试)的比较,也可以用来比较的程序(如DOS软盘比较,COMP PCTOOLS或其他软件)。
没有必要在比较法的特殊病毒检查程序,只要使用常规的DOS软件PCTOOLS工具。我们也可以发现计算机病毒,不被现有的杀毒软件发现的。因为病毒传播得很快,新病毒层出不穷,没有一般的程序,可以检测出所有的病毒,或通过代码分析,可以确定一个程序是否含有病毒的病毒程序,所以只有通过比较与分析,或两者结合的方法来发现新的病毒。
检查硬盘的主引导区或DOS的引导扇区,并使用比较方法找出程序源代码是否发生了变化。比较而言,保持原始备份非常重要。在备份时,必须在没有计算机病毒的环境中进行备份。良好的备份必须妥善保存,标签写得好,附加保护,比较简单,方便,没有特殊软件的优点;缺点是无法识别病毒的名称。
此外,对于检测到的程序和原始备份仍需要进一步的验证,发现无论是由计算机病毒引起差异的原因,或是DOS数据意外损坏的原因,如突然停电,从控制程序、恶意程序等。这些都是用在下面分析检查代码的变化部分的性质来确定病毒的存在。
分析方法
另一方面,这种方法可以确定所观察到的磁盘引导区和程序是否含有病毒的类型和种类,另一方面可以识别病毒,以确定是否一个新的病毒,也可以了解病毒的一般结构,提取特征标识字节字符串或字符,添加病毒代码库病毒扫描和识别程序。同时,该病毒代码的详细分析,有助于制定相应的反病毒解决方案。
不同于前三种方法检测病毒,用解析法来检测病毒,除了具有相关的知识,他们还需要使用调试、唯冠等分析工具和专用测试电脑。因为技术人员在病毒甚至很精通,性能完善的分析软件,不可能在短时期时间完全保证将清除病毒代码分析;和病毒可能是在分析阶段感染甚至攻击软盘、硬盘数据完全破坏,使分析工作必须由PC机在一个特殊的测试,不怕破坏数据。
没有必要的条件。不启动分析容易。很多计算机病毒利用自加密、反跟踪等技术,使得分析病毒的工作往往单调乏味。特别是,一些文件型病毒的源代码,可以达到超过10KB,这是深入参与系统的参与,并制定详细的工作分析很复杂。病毒检测分析是一个必不可少的杀毒技术和重要工作。任何优秀的反病毒系统的开发和开发离不开专业人员对各种病毒的详细、认真的分析。
分析方法分为两种:静态的和动态的。静态分析是指利用调试程序将打印清单的程序反病毒代码结合起来分析,将其分为病毒模块,它使用的系统调用,通过这些技巧,如何处理倒装病毒去除文件、修复文件,代码可以用来做签名和如何防病毒等。
人员素质分析是高,分析过程更快,更深入的了解;动态分析是指利用DEBUG调试工具与病毒在内存中,使病毒的动态跟踪观察,病毒的具体工作过程,以进一步了解病毒的工作原理的基础上,在简单的静态分析。病毒编码的情况下,动态分析是不必要的。然而,当病毒使用更多的技术手段,有必要使用静态和动态分析的方法来完成整个分析过程。
总之,利用原始备份和不适合特殊的软件程序进行检测可以发现异常情况的,是一种病毒检测方法简单,字符串的基本方法;扫描和文字识别的特点,更适合广大PC用户的用机,方便快捷;但新的病毒会出现漏检,需要使用联合分析和比较。