计算机病毒检测方法百科全书计算机病毒知识
预防计算机病毒是很重要的,小编辑要如何防范,共同学习保护计算机安全。在对抗病毒,它是早期发现病毒重要。早发现、早处置,可以减少损失。检测病毒的方法:特征代码法和校准方法、行为监测法、软件模拟的方法,基于这些方法的原理不同,需要达到不同的检测范围成本,每个人都有他的优点。
1。特征代码法
特征代码法是最简单和最昂贵的用于检测已知病毒的方法,实现采集已知病毒样本。如果病毒是感染COM文件和EXE文件,的COM类型和EXE病毒样品应在同一时间收集。开放检测到的文件,在文件中搜索,检查文件是否含有病毒特征码的病毒数据库。如果找到病毒特征码,特征码对应的病毒之一,它可以得出结论,文件中的病毒检查。
基于病毒特征码的检测工具必须在新出现的病毒面前不断更新版本,否则检测工具就会变得陈旧,逐渐失去实用价值,而病毒特性码,却从未见过从未见过的新病毒的特征码,无法检测出这些新病毒。
特征码法的优点是:检测准确快速,能识别病毒的名称,误报率低,可根据检测结果进行解毒。
它的缺点是:
随着病毒种类的增加,检索时间也越来越长,如果检索到5000种病毒,必须逐一检查5000种病毒特征码,如果病毒数量再次增加,病毒检测的时间成本就相当大,这种工具的高速性将变得越来越困难。
B不能检测多态病毒,用特征码法检测多态病毒是不可能的,国外专家认为多态病毒是一种病毒特征码。
无法处理隐藏病毒。如果病毒隐藏在内存中,在运行病毒检测工具后,可以在病毒隐蔽的检测工具之前,将文件中的病毒代码检查掉,检测工具确实在检查一个错误的文件。
2、检查和法
正常的文件的校验和计算与存储的校验和写入文件或其他文件,使用文件的过程中,经常使用或文件,检查文件现在检查计算与原来的校验和保存的内容一致,可以发现文件是否感染,这方法称为校验和的方法,可以发现病毒可以发现和已知的未知病毒。在扫描和CPAV工具以后的版本,校验和的方法还包括另外的病毒特征码的方法来提高其检测能力。
该方法可以检测出已知病毒和未知病毒,但它不能识别病毒类和不可报告的病毒名称,因为病毒感染是不改变文件内容的唯一非性原因,文件内容的改变可以通过正常程序引起的,所以校验方法,经常擦枪走火。这种方法也会影响文件的速度。
检查和法的优点是,该方法能发现未知病毒的细微变化和找到的文件。
缺点是交通记录正常状态的校验和将被发出,报警错误,病毒的名称无法识别,隐藏的病毒无法处理。
三.行为监测法
通过对病毒的特征行为特征监测病毒的方法称为行为监测法。通过观察和病毒研究多年,有一些行为是病毒的共同行为,这是比较特殊的。在正常程序中,这些行为是罕见的。当程序运行时,监控它的行为,如果该病毒已被发现,立即报警。
行为监测方法的优点是:可以找到未知的病毒,可以准确地预测未知的大多数病毒。
这种行为监测方法的缺点是:可能是错误的,无法识别病毒的名称,在实现该病毒时存在一定的困难。
4。软件模拟法
每一个多态病毒感染改变病毒代码,和特征码的方法无法解决的病毒。因为多态性病毒代码进行加密,每次使用的关键是不同的,病毒代码,感染可以相互比较,并且很难找到相同的稳定的代码,可以的特点。虽然行为检测方法可以检测多态性病毒,但是在检测病毒,因为它不知道该病毒的物种消毒病毒是很困难的。