查找法
这种办法主要是对每一种病毒含有的特定字符串进行扫描,假如在被检测目标内部发现了某一种特定字节串,就标明发现了该字节串所代表的病毒。国外称这种按查找法作业的病毒扫描软件为“Scanner”。
这种病毒扫描软件由两部分组成:一部分是病毒代码库,含有经过特别选定的各种电脑病毒的代码串;另一部分是运用该代码库进行扫描的扫描程序,病毒扫描程序能辨认的电脑病毒的数目彻底取决于病毒代码库内所含病毒品种的多少。
病毒代码串的挑选是非常重要的,矮小的病毒代码只需一百多个字节,长的也只需10KB字节。必定要在仔细剖析程序之后选出最具代表特性的,足以将该病毒差异于其它病毒和该病毒的其它变种的代码串。
一般状况下,代码串是由接连若干个字节组成的,可是有些扫描软件选用的是可变长串,即在串中包含有一个到几个“含糊”字节。扫描软件遇到这种串时,只需除“含糊”字节之外的字串都能无缺匹配,就也能够判别出病毒。别的,特征串还有必要能将病毒与正常的非病毒程序区,否则就会呈现“假报、误报”。
特征字辨认法
这是根据特征串扫描法发展起来的一种办法,运转速度较快、误报频率较低。特征字辨认法只须从病毒体内抽取很少的几个要害特征字,组成特征字库。由于需求处理的字节很少,又不必进行串匹配,因而大大加快了辨认速度,当被处理的程序很大时,用这种办法比较适宜。
由于特征字辨认法更留意电脑病毒的“程序活性”,因而减少了错报的或许性。运用根据特征串扫描法的查病毒软件办法与运用根据特征字辨认法的查病毒软件办法是相同的,只需运转查毒程序,就能将已知的病毒查看出来。这两种办法的运用,都需要不断地对病毒库进行扩大,一旦捕捉到病毒,经过提取特征并加入到病毒库,就能使查病毒程序多查看出一种新病毒来。
比较法
这是用原始备份与被检测的引导扇区或被检测的文件进行比较的办法,能够用打印的代码清单(比方Debug的D指令输出格局)进行比较,也可用程序来进行比较(如DOS的DISKCOMP、COMP或PCTOOLS等其它软件)。
比较法不需求专用的查病毒程序,只需用惯例DOS软件和PCTOOLS等东西软件就能够进行,并且还能够发现那些尚不能被现有的杀毒软件发现的计算机病毒。由于病毒传达得很快,新病毒层出不穷,而现在还没有能查出全部病毒的通用程序,或经过代码剖析,能够断定某个程序中是否含有病毒的查毒程序,所以只需靠比较法和剖析法,或这两种办法相结合来发现新病毒。
对硬盘的主引导区或对DOS的引导扇区作查看,用比较法能发现其间的程序源代码是否发生了改变。由于要进行比较,因而保留好原始备份是非常重要的。制造备份时有必要在无电脑病毒的环境里进行,制造好的备份有必要妥善保管,写好标签,贴好写保护。比较法的优点是简略、便利,不必专用软件;缺陷是无法承认病毒的品种称号。
别的,形成被检测程序与原始备份之间不同的原因需要进一步验证,以查明是电脑病毒形成的,仍是DOS数据被偶尔原因,如忽然停电、程序失控、恶意程序等损坏的。这些要用到后边讲的剖析法,查看改变部分代码的性质,以此来承认是否存在病毒。 剖析法
这种办法一方面能够承认被调查的磁盘引导区和程序中是否含有病毒,另一方面能够辨认病毒的类型和品种,断定是否为一种新病毒,别的还能够搞清楚病毒体的大致结构,提取用于特征辨认的字节串或特征字,增添到病毒代码库中供病毒扫描和辨认程序运用。一起,具体地剖析病毒代码,还有助于拟定相应的反病毒计划。
与前三种检测病毒的办法不同,运用剖析法检测病毒,除了要具有相关的常识外,还需求运用Debug、Proview等剖析东西程序和专用的实验用计算机。由于即使是很精通病毒的技能人员,运用功能完善的剖析软件,也不能彻底确保在短时间内将病毒代码剖析清楚;而病毒则有或许在被剖析阶段持续感染乃至发生,把软盘、硬盘内的数据彻底毁坏掉,所以剖析作业有必要在专门的实验用PC机上进行,不怕其间的数据被损坏。
不具备必要的条件,不要容易开端剖析作业。许多电脑病毒选用了自加密、抗盯梢等技能,使得剖析病毒的作业经常是冗长单调的。特别是某些文件型病毒的源代码可达10KB以上,与体系的牵扯层次很深,使具体的剖析作业十分复杂。病毒检测的剖析法是反病毒作业中不可或缺的重要技能,任何一个功能优秀的反病毒体系的研发和开发都离不开专门人员对各种病毒翔实、仔细的剖析。
剖析法分为静态和动态两种。静态剖析是指运用Debug等反汇编程序将病毒代码打印成反汇编后的程序清单进行剖析,看病毒分红哪些模块,运用了哪些体系调用,选用了哪些技巧,怎么将病毒感染文件的进程翻转为铲除病毒、修正文件的进程,哪些代码可被用做特征码以及怎么防护这种病毒等等。
剖析人员的本质越高,剖析进程就越快,了解也就越深;动态剖析则是指运用Debug等程序调试东西在内存带毒的状况下,对病毒作动态盯梢,调查病毒的具体作业进程,以进一步在静态剖析的基础上了解病毒作业的原理。在病毒编码比较简略的状况下,动态剖析不是有必要的。可是,当病毒选用了较多的技能手段时,就有必要运用动、静相结合的剖析办法才干完结整个剖析进程。
综上所述,运用原始备份和被检测程序相比较的办法适合于不必专用软件,能够发现异常状况的场合,是一种简略、底子的病毒检测办法;扫描特征串和辨认特性字的办法更适用于广阔PC机用户运用,便利而又敏捷;但对新呈现的病毒会呈现漏检的状况,需要与剖析和比较法结合运用。
经过采纳技能上和管理上的办法,电脑病毒是彻底能够防备的。
病毒要进行感染,必然会留下痕迹。生物医学病毒如此,电脑病毒也是相同。检测电脑病毒,就要到病毒寄生场所去查看,发现异常状况,并从而验明“正身”,承认电脑病毒的存在。电脑病毒静态时存储于
硬盘中,被激活时驻留在内存中,因而对电脑病毒的检测能够分为对硬盘的检测和对内存的检测。
一般对硬盘进行病毒检测时,要求内存中不带病毒,由于某些电脑病毒会向检测者报乞假状况。
例如“4096”病毒在内存中时,查看被它感染的文件,不会发现该文件的长度已发生改变,而当在内存中没有病毒时,才会发现文件长度现已增长了4096字节;又例如,“DIR2”病毒在内存中,用Debug程序查看被感染文件时,底子看不到“DIR2”病毒的代码,许多检测程序因而而漏过了被感染的文件;还有引导区型的“巴基斯坦智囊”病毒,当它活泼在内存中时,查看引导区就看不到病毒程序而只看到正常的引导扇区。
因而,只需在要求承认某种病毒的类型和对其进行剖析、研讨时,才干在内存中带毒的状况下作检测作业。从原始的、未受病毒感染的DOS体系软盘发动,能够确保内存中不带病毒。发动有必要是上电发动而不是按键盘上的“Alt+Ctrl+Del”三键的那种热发动,由于某些病毒能够经过截取键盘中止,将自己驻留在内存中。
检测硬盘中的病毒,发动体系软盘的DOS版本号应该等于或高于硬盘内DOS体系的版本号。假如硬盘上运用了硬盘管理软件DM、ADM,硬盘紧缩存储管理软件Stacker、DoubleSpace等,发动体系软盘时应把这些软件的驱动程序包含在软盘上,并把它们写入config.sys文件中,否则用体系软盘引导发动后,将不能拜访硬盘上的一切分区,使躲藏在其间的病毒逃过查看。
检测硬盘中的病毒可分红检测引导区型病毒和检测文件型病毒。这两种检测的原理上相同,但由于病毒的存储办法不同,检测办法仍是有不同的。主要是根据下列四种办法:比较被检测目标与原始备份的比较法;运用病毒特征代码串进行查找的查找法;查找病毒体内特定方位的特征字辨认法;运用反汇编技能剖析被检测目标,确证是否为病毒的剖析法。
