1. 病毒檢測方法
檢測病毒方法有:特徵代碼法、校驗和法、行為監測法、軟體模擬法, 這些方法依據的原理不同,實現時所需開銷不同,檢測范圍不同,各有所長。
1、特徵代碼法:
特徵代碼法被早期應用於SCAN、CPAV等著名病毒檢測工具中。國外專家認為特徵代碼法是檢測已知病毒的最簡單、開銷最小的方法。
2、校驗和法:
將正常文件的內容,計算其校驗和,將該校驗和寫入文件中或寫入別的文件中保存。在文件使用過程中,定期地或每次使用文件前,檢查文件現在內容算出的校驗和與原來保存的校驗和是否一致,因而可以發現文件是否感染,這種方法叫校驗和法,它既可發現已知病毒又可發現未知病毒。在SCAN和CPAV工具的後期版本中除了病毒特徵代碼法之外,還納入校驗和法,以提高其檢測能力。
3、行為監測法:
利用病毒的特有行為特徵性來監測病毒的方法,稱為行為監測法。通過對病毒多年的觀察、研究,有一些行為是病毒的共同行為,而且比較特殊。在正常程序中,這些行為比較罕見。當程序運行時,監視其行為,如果發現了病毒行為,立即報警。
4、軟體模擬法:
多態性病毒每次感染都變化其病毒密碼,對付這種病毒,特徵代碼法失效。因為多態性病毒代碼實施密碼化,而且每次所用密鑰不同,把染毒的病毒代碼相互比較,也無法找出相同的可能做為特徵的穩定代碼。雖然行為檢測法可以檢測多態性病毒,但是在檢測出病毒後,因為不知病毒的種類,難於做消毒處理。
2. 計算機病毒的檢測方法有哪些簡述其原理
計算機病毒檢測方法:
1.手工檢測
手工檢測是指通過一些軟體工具(DEBUG.COM、PCTOOLS.EXE、NU.COM、SYSINFO.EXE等提供的功能) 進行病毒的檢測。這種方法比較復雜,需要檢測者熟悉機器指令和操作系統,因而無法普及。它的基本過程是利用一些工具軟體,對易遭病毒攻擊和修改的內存及磁碟的有關部分進行檢查,通過和正常情況下的狀態進行對比分析,來判斷是否被病毒感染。這種方法檢測病毒,費時費力,但可以剖析新病毒,檢測識別未知病毒,可以檢測一些自動檢測工具不認識的新病毒。
2.自動檢測
自動檢測是指通過一些診斷軟體來判讀一個系統或一個軟盤是否有毒的方法。自動檢測則比較簡單,一般用戶都可以進行,但需要較好的診斷軟體。這種方法可方便地檢測大量的病毒,但是,自動檢測工具只能識別已知病毒,而且自動檢測工具的發展總是滯後於病毒的發展,所以檢測工具總是對相對數量的未知病毒不能識別。
3、廣泛使用的主要檢測病毒方法有:比較法、搜索法、分析法、感染實驗法、軟體模擬法、行為檢測法。
3. 殺軟是根據什麼查出木馬病毒的,求答案,請詳細一點
病毒檢測的方法 在與病毒的對抗中,及早發現病毒很重要。早發現,早處置,可以減少損失。檢測病毒方法有:特徵代碼法、校驗和法、行為監測法、軟體模擬法 這些方法依據的原理不同,實現時所需開銷不同,檢測范圍不同,各有所長。 特徵代碼法 特徵代碼法被早期應用於SCAN、CPAV等著名病毒檢測工具中。國外專家認為特徵代碼法是檢測已知病毒的最簡單、開銷最小的方法。 特徵代碼法的實現步驟如下: 採集已知病毒樣本,病毒如果既感染COM文件,又感染EXE文件,對這種病毒要同時採集COM型病毒樣本和EXE型病毒樣本。 在病毒樣本中,抽取特徵代碼。依據如下原則: 抽取的代碼比較特殊,不大可能與普通正常程序代碼吻合。抽取的代碼要有適當長度,一方面維持特徵代碼的唯一性,另一方面又不要有太大的空間與時間的開銷。如果一種病毒的特徵代碼增長一位元組,要檢測3000種病毒,增加的空間就是3000位元組。在保持唯一性的前提下,盡量使特徵代碼長度短些,以減少空間與時間開銷。 在既感染COM文件又感染EXE文件的病毒樣本中,要抽取兩種樣本共有的代碼。將特徵代碼納入病毒資料庫。 打開被檢測文件,在文件中搜索,檢查文件中是否含有病毒資料庫中的病毒特徵代碼。如果發現病毒特徵代碼,由於特徵代碼與病毒一一對應,便可以斷定,被查文件中患有何種病毒。 採用病毒特徵代碼法的檢測工具,面對不斷出現的新病毒,必須不斷更新版本,否則檢測工具便會老化,逐漸失去實用價值。病毒特徵代碼法對從未見過的新病毒,自然無法知道其特徵代碼,因而無法去檢測這些新病毒。 特徵代碼法的優點是:檢測准確快速、可識別病毒的名稱、誤報警率低、依據檢測結果,可做解毒處理。其缺點是:不能檢測未知病毒、搜集已知病毒的特徵代碼,費用開銷大、在網路上效率低(在網路伺服器上,因長時間檢索會使整個網路性能變壞)。 其特點: A.速度慢。隨著病毒種類的增多,檢索時間變長。如果檢索5000種病毒,必須對5000個病毒特徵代碼逐一檢查。如果病毒種數再增加,檢病毒的時間開銷就變得十分可觀。此類工具檢測的高速性,將變得日益困難。 B.誤報警率低。 非C.不能檢查多形性病毒。特徵代碼法是不可能檢測多態性病毒的。國外專家認為多態性病毒是病毒特徵代碼法的索命者。 D.不能對付隱蔽性病毒。隱蔽性病毒如果先進駐內存,後運行病毒檢測工具,隱蔽性病毒能先於檢測工具,將被查文件中的病毒代碼剝去,檢測工具的確是在檢查一個虛假的「好文件」,而不能報警,被隱蔽性病毒所蒙騙。 校驗和法 將正常文件的內容,計算其校驗和,將該校驗和寫入文件中或寫入別的文件中保存。在文件使用過程中,定期地或每次使用文件前,檢查文件現在內容算出的校驗和與原來保存的校驗和是否一致,因而可以發現文件是否感染,這種方法叫校驗和法,它既可發現已知病毒又可發現未知病毒。在SCAN和CPAV工具的後期版本中除了病毒特徵代碼法之外,還納入校驗和法,以提高其檢測能力。 這種方法既能發現已知病毒,也能發現未知病毒,但是,它不能識別病毒類,不能報出病毒名稱。由於病毒感染並非文件內容改變的唯一的非他性原因,文件內容的改變有可能是正常程序引起的,所以校驗和法常常誤報警。而且此種方法也會影響文件的運行速度。 病毒感染的確會引起文件內容變化,但是校驗和法對文件內容的變化太敏感,又不能區分正常程序引起的變動,而頻繁報警。用監視文件的校驗和來檢測病毒,不是最好的方法。 這種方法遇到下述情況:已有軟體版更新、變更口令、修改運行參數、校驗和法都會誤報警。 校驗和法對隱蔽性病毒無效。隱蔽性病毒進駐內存後,會自動剝去染毒程序中的病毒代碼,使校驗和法受騙,對一個有毒文件算出正常校驗和。 運用校驗和法查病毒採用三種方式: ①在檢測病毒工具中納入校驗和法,對被查的對象文件計算其正常狀態的校驗和,將校驗和值寫入被查文件中或檢測工具中,而後進行比較。 ②在應用程序中,放入校驗和法自我檢查功能,將文件正常狀態的校驗和寫入文件本身中,每當應用程序啟動時,比較現行校驗和與原校驗和值。實現應用程序的自檢測。 ③將校驗和檢查程序常駐內存,每當應用程序開始運行時,自動比較檢查應用程序內部或別的文件中預先保存的校驗和。 校驗和法的優點是:方法簡單能發現未知病毒、被查文件的細微變化也能發現。其缺點是:發布通行記錄正常態的校驗和、會誤報警、不能識別病毒名稱、不能對付隱蔽型病毒。 行為監測法 利用病毒的特有行為特徵性來監測病毒的方法,稱為行為監測法。通過對病毒多年的觀察、研究,有一些行為是病毒的共同行為,而且比較特殊。在正常程序中,這些行為比較罕見。當程序運行時,監視其行為,如果發現了病毒行為,立即報警。 這些做為監測病毒的行為特徵如下: A.佔有INT 13H 所有的引導型病毒,都攻擊Boot扇區或主引導扇區。系統啟動時,當Boot扇區或主引導扇區獲得執行權時,系統剛剛開工。一般引導型病毒都會佔用INT 13H功能,因為其他系統功能未設置好,無法利用。引導型病毒占據INT 13H功能,在其中放置病毒所需的代碼。 B.改DOS系統為數據區的內存總量 病毒常駐內存後,為了防止DOS系統將其覆蓋,必須修改系統內存總量。 C.對COM、EXE文件做寫入動作 病毒要感染,必須寫COM、EXE文件。 D.病毒程序與宿主程序的切換 染毒程序運行中,先運行病毒,而後執行宿主程序。在兩者切換時,有許多特徵行為。 行為監測法的長處:可發現未知病毒、可相當准確地預報未知的多數病毒。行為監測法的短處:可能誤報警、不能識別病毒名稱、實現時有一定難度。 軟體模擬法 多態性病毒每次感染都變化其病毒密碼,對付這種病毒,特徵代碼法失效。因為多態性病毒代碼實施密碼化,而且每次所用密鑰不同,把染毒的病毒代碼相互比較,也無法找出相同的可能做為特徵的穩定代碼。雖然行為檢測法可以檢測多態性病毒,但是在檢測出病毒後,因為不知病毒的種類,難於做消毒處理。 計算機病毒的防治策略 計算機病毒的防治要從防毒、查毒、解毒三方面來進行;系統對於計算機病毒的實際防治能力和效果也要從防毒能力、查毒能力和解毒能力三方面來評判。 「防毒」是指根據系統特性,採取相應的系統安全措施預防病毒侵入計算機。「查毒」是指對於確定的環境,能夠准確地報出病毒名稱,該環境包括,內存、文件、引導區(含主導區)、網路等。「解毒」是指根據不同類型病毒對感染對象的修改,並按照病毒的感染特性所進行的恢復。該恢復過程不能破壞未被病毒修改的內容。感染對象包括:內存、引導區(含主引導區)、可執行文件、文檔文件、網路等。 防毒能力是指預防病毒侵入計算機系統的能力。通過採取防毒措施,應可以准確地、實時地監測預警經由光碟、軟盤、硬碟不同目錄之間、區域網、網際網路(包括FTP方式、E-MAIL、HTTP方式)或其它形式的文件下載等多種方式進行的傳輸;能夠在病毒侵入系統是發出警報,記錄攜帶病毒的文件,即時清除其中的病毒;對網路而言,能夠向網路管理員發送關於病毒入侵的信息,記錄病毒入侵的工作站,必要時還要能夠注銷工作站,隔離病毒源。 查毒能力是指發現和追蹤病毒來源的能力。通過查毒應該能准確地發現計算機系統是否感染有病毒,並准確查找出病毒的來源,並能給出統計報告;查解病 毒的能力應由查毒率和誤報率來評判。 解毒能力是指從感染對象中清除病毒,恢復被病毒感染前的原始信息的能力;解毒能力應用解毒率來評判。 摘自網路
採納哦
4. 殺毒軟體是如何搜查到病毒的
病毒檢測的方法
在與病毒的對抗中,及早發現病毒很重要。早發現,早處置,可以減少損失。檢測病毒方法有:特徵代碼法、校驗和法、行為監測法、軟體模擬法
這些方法依據的原理不同,實現時所需開銷不同,檢測范圍不同,各有所長。
特徵代碼法
特徵代碼法被早期應用於SCAN、CPAV等著名病毒檢測工具中。國外專家認為特徵代碼法是檢測已知病毒的最簡單、開銷最小的方法。
特徵代碼法的實現步驟如下:
採集已知病毒樣本,病毒如果既感染COM文件,又感染EXE文件,對這種病毒要同時採集COM型病毒樣本和EXE型病毒樣本。
在病毒樣本中,抽取特徵代碼。依據如下原則:
抽取的代碼比較特殊,不大可能與普通正常程序代碼吻合。抽取的代碼要有適當長度,一方面維持特徵代碼的唯一性,另一方面又不要有太大的空間與時間的開銷。如果一種病毒的特徵代碼增長一位元組,要檢測3000種病毒,增加的空間就是3000位元組。在保持唯一性的前提下,盡量使特徵代碼長度短些,以減少空間與時間開銷。
在既感染COM文件又感染EXE文件的病毒樣本中,要抽取兩種樣本共有的代碼。將特徵代碼納入病毒資料庫。
打開被檢測文件,在文件中搜索,檢查文件中是否含有病毒資料庫中的病毒特徵代碼。如果發現病毒特徵代碼,由於特徵代碼與病毒一一對應,便可以斷定,被查文件中患有何種病毒。
採用病毒特徵代碼法的檢測工具,面對不斷出現的新病毒,必須不斷更新版本,否則檢測工具便會老化,逐漸失去實用價值。病毒特徵代碼法對從未見過的新病毒,自然無法知道其特徵代碼,因而無法去檢測這些新病毒。
特徵代碼法的優點是:檢測准確快速、可識別病毒的名稱、誤報警率低、依據檢測結果,可做解毒處理。其缺點是:不能檢測未知病毒、搜集已知病毒的特徵代碼,費用開銷大、在網路上效率低(在網路伺服器上,因長時間檢索會使整個網路性能變壞)。
其特點:
A.速度慢。隨著病毒種類的增多,檢索時間變長。如果檢索5000種病毒,必須對5000個病毒特徵代碼逐一檢查。如果病毒種數再增加,檢病毒的時間開銷就變得十分可觀。此類工具檢測的高速性,將變得日益困難。
B.誤報警率低。
非C.不能檢查多形性病毒。特徵代碼法是不可能檢測多態性病毒的。國外專家認為多態性病毒是病毒特徵代碼法的索命者。
D.不能對付隱蔽性病毒。隱蔽性病毒如果先進駐內存,後運行病毒檢測工具,隱蔽性病毒能先於檢測工具,將被查文件中的病毒代碼剝去,檢測工具的確是在檢查一個虛假的「好文件」,而不能報警,被隱蔽性病毒所蒙騙。
校驗和法
將正常文件的內容,計算其校驗和,將該校驗和寫入文件中或寫入別的文件中保存。在文件使用過程中,定期地或每次使用文件前,檢查文件現在內容算出的校驗和與原來保存的校驗和是否一致,因而可以發現文件是否感染,這種方法叫校驗和法,它既可發現已知病毒又可發現未知病毒。在SCAN和CPAV工具的後期版本中除了病毒特徵代碼法之外,還納入校驗和法,以提高其檢測能力。
這種方法既能發現已知病毒,也能發現未知病毒,但是,它不能識別病毒類,不能報出病毒名稱。由於病毒感染並非文件內容改變的唯一的非他性原因,文件內容的改變有可能是正常程序引起的,所以校驗和法常常誤報警。而且此種方法也會影響文件的運行速度。
病毒感染的確會引起文件內容變化,但是校驗和法對文件內容的變化太敏感,又不能區分正常程序引起的變動,而頻繁報警。用監視文件的校驗和來檢測病毒,不是最好的方法。
這種方法遇到下述情況:已有軟體版更新、變更口令、修改運行參數、校驗和法都會誤報警。
校驗和法對隱蔽性病毒無效。隱蔽性病毒進駐內存後,會自動剝去染毒程序中的病毒代碼,使校驗和法受騙,對一個有毒文件算出正常校驗和。
運用校驗和法查病毒採用三種方式:
①在檢測病毒工具中納入校驗和法,對被查的對象文件計算其正常狀態的校驗和,將校驗和值寫入被查文件中或檢測工具中,而後進行比較。
②在應用程序中,放入校驗和法自我檢查功能,將文件正常狀態的校驗和寫入文件本身中,每當應用程序啟動時,比較現行校驗和與原校驗和值。實現應用程序的自檢測。
③將校驗和檢查程序常駐內存,每當應用程序開始運行時,自動比較檢查應用程序內部或別的文件中預先保存的校驗和。
校驗和法的優點是:方法簡單能發現未知病毒、被查文件的細微變化也能發現。其缺點是:發布通行記錄正常態的校驗和、會誤報警、不能識別病毒名稱、不能對付隱蔽型病毒。
行為監測法
利用病毒的特有行為特徵性來監測病毒的方法,稱為行為監測法。通過對病毒多年的觀察、研究,有一些行為是病毒的共同行為,而且比較特殊。在正常程序中,這些行為比較罕見。當程序運行時,監視其行為,如果發現了病毒行為,立即報警。
這些做為監測病毒的行為特徵如下:
A.佔有INT 13H
所有的引導型病毒,都攻擊Boot扇區或主引導扇區。系統啟動時,當Boot扇區或主引導扇區獲得執行權時,系統剛剛開工。一般引導型病毒都會佔用INT 13H功能,因為其他系統功能未設置好,無法利用。引導型病毒占據INT 13H功能,在其中放置病毒所需的代碼。
B.改DOS系統為數據區的內存總量
病毒常駐內存後,為了防止DOS系統將其覆蓋,必須修改系統內存總量。
C.對COM、EXE文件做寫入動作
病毒要感染,必須寫COM、EXE文件。
D.病毒程序與宿主程序的切換
染毒程序運行中,先運行病毒,而後執行宿主程序。在兩者切換時,有許多特徵行為。
行為監測法的長處:可發現未知病毒、可相當准確地預報未知的多數病毒。行為監測法的短處:可能誤報警、不能識別病毒名稱、實現時有一定難度。
軟體模擬法
多態性病毒每次感染都變化其病毒密碼,對付這種病毒,特徵代碼法失效。因為多態性病毒代碼實施密碼化,而且每次所用密鑰不同,把染毒的病毒代碼相互比較,也無法找出相同的可能做為特徵的穩定代碼。雖然行為檢測法可以檢測多態性病毒,但是在檢測出病毒後,因為不知病毒的種類,難於做消毒處理。
計算機病毒的防治策略
計算機病毒的防治要從防毒、查毒、解毒三方面來進行;系統對於計算機病毒的實際防治能力和效果也要從防毒能力、查毒能力和解毒能力三方面來評判。
「防毒」是指根據系統特性,採取相應的系統安全措施預防病毒侵入計算機。「查毒」是指對於確定的環境,能夠准確地報出病毒名稱,該環境包括,內存、文件、引導區(含主導區)、網路等。「解毒」是指根據不同類型病毒對感染對象的修改,並按照病毒的感染特性所進行的恢復。該恢復過程不能破壞未被病毒修改的內容。感染對象包括:內存、引導區(含主引導區)、可執行文件、文檔文件、網路等。
防毒能力是指預防病毒侵入計算機系統的能力。通過採取防毒措施,應可以准確地、實時地監測預警經由光碟、軟盤、硬碟不同目錄之間、區域網、網際網路(包括FTP方式、E-MAIL、HTTP方式)或其它形式的文件下載等多種方式進行的傳輸;能夠在病毒侵入系統是發出警報,記錄攜帶病毒的文件,即時清除其中的病毒;對網路而言,能夠向網路管理員發送關於病毒入侵的信息,記錄病毒入侵的工作站,必要時還要能夠注銷工作站,隔離病毒源。
查毒能力是指發現和追蹤病毒來源的能力。通過查毒應該能准確地發現計算機系統是否感染有病毒,並准確查找出病毒的來源,並能給出統計報告;查解病毒的能力應由查毒率和誤報率來評判。
解毒能力是指從感染對象中清除病毒,恢復被病毒感染前的原始信息的能力;解毒能力應用解毒率來評判。
5. 計算機病毒是檢測方法主要有哪些
計算機病毒檢測方法:
1.手工檢測
手工檢測是指通過一些軟體工具(DEBUG.COM、PCTOOLS.EXE、NU.COM、SYSINFO.EXE等提供的功能) 進行病毒的檢測。這種方法比較復雜,需要檢測者熟悉機器指令和操作系統,因而無法普及。它的基本過程是利用一些工具軟體,對易遭病毒攻擊和修改的內存及磁碟的有關部分進行檢查,通過和正常情況下的狀態進行對比分析,來判斷是否被病毒感染。這種方法檢測病毒,費時費力,但可以剖析新病毒,檢測識別未知病毒,可以檢測一些自動檢測工具不認識的新病毒。
2.自動檢測
自動檢測是指通過一些診斷軟體來判讀一個系統或一個軟盤是否有毒的方法。自動檢測則比較簡單,一般用戶都可以進行,但需要較好的診斷軟體。這種方法可方便地檢測大量的病毒,但是,自動檢測工具只能識別已知病毒,而且自動檢測工具的發展總是滯後於病毒的發展,所以檢測工具總是對相對數量的未知病毒不能識別。
就兩種方法相比較而言,手工檢測方法操作難度大,技術復雜,它需要操作人員有一定的軟體分析經驗以及對操作系統有一個深入的了解。而自動檢測方法操作簡單、使用方便,適合於一般的計算機用戶學習使用;但是,由於計算機病毒的種類較多,程序復雜,再加上不斷地出現病毒的變種,所以自動檢測方法不可能檢測所有未知的病毒。在出現一種新型的病毒時,如果現有的各種檢測工具無法檢測這種病毒,則只能用手工方法進行病毒的檢測。其實,自動檢測也是在手工檢測成功的基礎上把手工檢測方法程序化後所得的。
因此,手工檢測病毒是最基本、最有力的工具。
病毒感染正常文件或系統會引起各種變化,從這些變化中找出某些本質性的變化,作為診斷病毒的判據。廣泛使用的主要檢測病毒方法有:比較法、搜索法、分析法、感染實驗法、軟體模擬法、行為檢測法。
6. 計算機病毒檢測方法有哪些
計算機如果中病毒了,那麼我們要怎麼樣去檢測呢?下面由我給你做出詳細的計算機病毒檢測 方法 介紹!希望對你有幫助!
計算機病毒檢測方法一:
計算機病毒檢測 1.手工檢測
手工檢測是指通過一些軟體工具(DEBUG.COM、PCTOOLS.EXE、NU.COM、SYSINFO.EXE等提供的功能) 進行病毒的檢測。這種方法比較復雜,需要檢測者熟悉機器指令和 操作系統 ,因而無法普及。
它的基本過程是利用一些工具軟體,對易遭病毒攻擊和修改的內存及磁碟的有關部分進行檢查,通過和正常情況下的狀態進行對比分析,來判斷是否被病毒感染。這種方法檢測病毒,費時費力,但可以剖析新病毒,檢測識別未知病毒,可以檢測一些自動檢測工具不認識的新病毒。
計算機病毒檢測 2.自動檢測
自動檢測是指通過一些診斷軟體來判讀一個系統或一個軟盤是否有毒的方法。自動檢測則比較簡單,一般用戶都可以進行,但需要較好的診斷軟體。
這種方法可方便地檢測大量的病毒,但是,自動檢測工具只能識別已知病毒,而且自動檢測工具的發展總是滯後於病毒的發展,所以檢測工具總是對相對數量的未知病毒不能識別。
就兩種方法相比較而言,手工檢測方法操作難度大,技術復雜,它需要操作人員有一定的軟體分析 經驗 以及對操作系統有一個深入的了解。而自動檢測方法操作簡單、使用方便,適合於一般的計算機用戶學習使用;但是
由於計算機病毒的種類較多,程序復雜,再加上不斷地出現病毒的變種,所以自動檢測方法不可能檢測所有未知的病毒。在出現一種新型的病毒時,如果現有的各種檢測工具無法檢測這種病毒,則只能用手工方法進行病毒的檢測。其實,自動檢測也是在手工檢測成功的基礎上把手工檢測方法程序化後所得的。
因此,手工檢測病毒是最基本、最有力的工具。
病毒感染正常文件或系統會引起各種變化,從這些變化中找出某些本質性的變化,作為診斷病毒的判據。廣泛使用的主要檢測病毒方法有:比較法、搜索法、分析法、感染實驗法、軟體模擬法、行為檢測法。
計算機病毒檢測方法二:
提早發現病毒對計算機的防護是很重要的。早發現,早處置,可以減少損失。現在介紹幾種檢測病毒的方法,雖然方法不盡相同,但各具所長。 特徵代碼法、校驗和法、行為監測法、軟體模擬法,
病毒特徵代碼檢測法
特徵代碼檢測是目前較為普遍的病毒檢測方法,是通過檢測工具(反病毒軟體)置入已知病毒特徵代碼來檢測病毒,但對從未見過的新病毒,卻無法檢測。在技術上需要不斷更新程序版本,升級病毒特徵代碼。
文件校驗和法
將計算出系統正常文件內容的校驗和進行保存。並定期檢查文件的校驗和與原來保存的校驗和是否一致,從而發現文件是否感染病毒,這種方法叫文件校驗和法。它既可發現已知病毒又可發現未知病毒,能觀測文件的細微變化。
但是這種方法常常誤報警,原因是病毒感染並非文件內容改變的惟一的非他性,還有可能是正常程序引起的。文件校驗和法不是最好的方法,它會影響文件的運行速度。不能識別病毒名稱、不能對付隱蔽型病毒。
行為特徵監測法
利用病毒的特有行為特徵性來監測病毒的方法,稱為行為監測法。通過對病毒長期觀察,研究、識別出病毒行為共同性和特殊性。當系統運行時,監視其行為,如果有病毒行為,會立即發出警報。行為特徵監測法可以發現未知病毒、能相當准確地預報未知的多數病毒。但可能導致誤報、不能識別病毒名稱。
軟體模擬法由此演繹為虛擬機上進行的查毒,啟發式查毒技術等,是相對成熟的技術。
7. 電腦中了未知病毒,尋求解決辦法
什麼嘛,都胡扯。我也遇到你這樣的情況,最近,什麼桌面屬性顯示啦,組策略了,注冊表了,都試了,真厲害,注冊表項改也改不了,刪也刪不了,連備份的導入都不行,導入後就會變成帶毒的。最後還是重做了系統