計算機(jī)病毒如何檢測_第1頁
計算機(jī)病毒如何檢測_第2頁
計算機(jī)病毒如何檢測_第3頁
已閱讀5頁,還剩2頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、資料來源:來自本人網(wǎng)絡(luò)整理!祝您工作順利!計算機(jī)病毒如何檢測 計算機(jī)老是出現(xiàn)一些故障,許多人會疑心是不是中毒了,但又不會檢測,該怎么辦呢?下面由我給你做出具體的計算機(jī)病毒檢測方法介紹!盼望對你有關(guān)心! 計算機(jī)病毒檢測方法一 提早發(fā)覺病毒對計算機(jī)的防護(hù)是很重要的。早發(fā)覺,早處置,可以削減損失。如今介紹幾種檢測病毒的方法,雖然方法不盡一樣,但各具所長。 特征代碼法、校驗和法、行為監(jiān)測法、軟件模擬法 病毒特征代碼檢測法 特征代碼檢測是目前較為普遍的病毒檢測方法,是通過檢測工具(反病毒軟件)置入已知病毒特征代碼來檢測病毒,但對從未見過的新病毒,卻無法檢測。在技術(shù)上需要不斷更新程序版本,晉級病毒特征代碼

2、。 文件校驗和法 將計算出系統(tǒng)正常文件內(nèi)容的校驗和進(jìn)展保存。并定期檢查文件的校驗和與原來保存的校驗和是否全都,從而發(fā)覺文件是否感染病毒,這種方法叫文件校驗和法。 它既可發(fā)覺已知病毒又可發(fā)覺未知病毒,能觀測文件的微小改變。但是這種方法經(jīng)常誤報警,緣由是病毒感染并非文件內(nèi)容轉(zhuǎn)變的惟一的非他性,還有可能是正常程序引起的。文件校驗和法不是最好的方法,它會影響文件的運(yùn)行速度。不能識別病毒名稱、不能應(yīng)付隱藏型病毒。 行為特征監(jiān)測法 利用病毒的特有行為特征性來監(jiān)測病毒的方法,稱為行為監(jiān)測法。通過對病毒長期觀看,討論、識別出病毒行為共同性和特別性。當(dāng)系統(tǒng)運(yùn)行時,監(jiān)視其行為,假如有病毒行為,會馬上發(fā)出警報。行為

3、特征監(jiān)測法可以發(fā)覺未知病毒、能相當(dāng)精確地預(yù)報未知的多數(shù)病毒。但可能導(dǎo)致誤報、不能識別病毒名稱。 軟件模擬法 由此演繹為虛擬機(jī)上進(jìn)展的查毒,啟發(fā)式查毒技術(shù)等,是相對成熟的技術(shù)。 計算機(jī)病毒檢測方法二 1.程序或文件是否修改注冊表啟動項; 2.是否將自身或文件寫入系統(tǒng)名目; 3.是否訪問外鏈,開放端口。 4.挺直看文件就提示這可能是病毒,可能是360原創(chuàng)的技術(shù)。 計算機(jī)病毒檢測方法三 一般對硬盤進(jìn)展病毒檢測時,要求內(nèi)存中不帶病毒,因為某些電腦病毒會向檢測者報告假狀況。例如4096病毒在內(nèi)存中時,查看被它感染的文件,不會發(fā)覺該文件的長度已發(fā)生改變,而當(dāng)在內(nèi)存中沒有病毒時,才會發(fā)覺文件長度已經(jīng)增lk了

4、4096字節(jié);又例如,dir2病毒在內(nèi)存中,用debug程序查看被感染文件時,根本看不到dir2病毒的代碼,許多檢測程序因此而漏過了被感染的文件;還有引導(dǎo)區(qū)型的巴基斯坦智囊病毒,當(dāng)它活潑在內(nèi)存中時,檢查引導(dǎo)區(qū)就看不到病毒程序而只看到正常的引導(dǎo)扇區(qū)。因此,只有在要求確認(rèn)某種病毒的類型和對其進(jìn)展分析、討論時,才能在內(nèi)存中帶毒的狀況下作檢測工作。 從原始的、未受病毒感染的dos系統(tǒng)軟盤啟動,可以保證內(nèi)存中不帶病毒。啟動必需是上電啟動而不是按鍵盤上的alt+ctrl+del三鍵的那種熱啟動,因為某些病毒可以通過截取鍵盤中斷,將自己駐留在內(nèi)存中。檢測硬盤中的病毒,啟動系統(tǒng)軟盤的dos版本號應(yīng)當(dāng)?shù)扔诨蚋哂?/p>

5、硬盤內(nèi)dos系統(tǒng)的版本號。假如硬盤上用法了硬盤管理軟件dm、adm,硬盤壓縮存儲管理軟件stacker、doublespace等,啟動系統(tǒng)軟盤時應(yīng)把這些軟件的驅(qū)動程序包括在軟盤上,并把它們寫入config.sys文件中,否那么用系統(tǒng)軟盤引導(dǎo)啟動后,將不能訪問硬盤上的全部分區(qū),使隱藏在其中的病毒逃過檢查。 檢測硬盤中的病毒可分成檢測引導(dǎo)區(qū)型病毒和檢測文件型病毒。這兩種檢測的原理上一樣,但由于病毒的存儲方式不同,檢測方法還是有差異的。主要是基于以下四種方法:比擬被檢測對象與原始備份的比擬法;利用病毒特征代碼串進(jìn)展查找的搜尋法;搜尋病毒體內(nèi)特定位置的特征字識別法;運(yùn)用反匯編技術(shù)分析被檢測對象,確證是

6、否為病毒的分析法。比擬法 這是用原始備份與被檢測的引導(dǎo)扇區(qū)或被檢測的文件進(jìn)展比擬的方法,可以用打印的代碼清單(比方debug的d指令輸出格式)進(jìn)展比擬,也可用程序來進(jìn)展比擬(如dos的diskcomp、comp或pctools等其它軟件)。比擬法不需要專用的查病毒程序,只要用常規(guī)dos軟件和pctools等工具軟件就可以進(jìn)展,而且還可以發(fā)覺那些尚不能被現(xiàn)有的殺毒軟件發(fā)覺的計算機(jī)病毒。因為病毒傳播得很快,新病毒層出不窮,而目前還沒有能查出一切病毒的通用程序,或通過代碼分析,可以斷定某個程序中是否含有病毒的查毒程序,所以只有靠比擬法和分析法,或這兩種方法相結(jié)合來發(fā)覺新病毒。 對硬盤的主引導(dǎo)區(qū)或?qū)

7、os的引導(dǎo)扇區(qū)作檢查,用比擬法能發(fā)覺其中的程序源代碼是否發(fā)生了改變。由于要進(jìn)展比擬,因此保存好原始備份是特別重要的。制作備份時必需在無電腦病毒的環(huán)境里進(jìn)展,制作好的備份必需妥當(dāng)保管,寫好標(biāo)簽,貼好寫愛護(hù)。比擬法的好處是簡潔、便利,不用專用軟件;缺點是無法確認(rèn)病毒的種類名稱。另外,造成被檢測程序與原始備份之間差異的緣由尚需進(jìn)一步驗證,以查明是電腦病毒造成的,還是dos數(shù)據(jù)被偶爾緣由,如突然停電、程序失控、惡意程序等破壞的。這些要用到以后講的分析法,查看改變局部代碼的性質(zhì),以此來確認(rèn)是否存在病毒。搜尋法 這種方法主要是對每一種病毒含有的特定字符串進(jìn)展掃描,假如在被檢測對象內(nèi)部發(fā)覺了某一種特定字節(jié)串

8、,就說明發(fā)覺了該字節(jié)串所代表的病毒。國外稱這種按搜尋法工作的病毒掃描軟件為scanner。這種病毒掃描軟件由兩局部組成:一局部是病毒代碼庫,含有經(jīng)過特殊選定的各種電腦病毒的代碼串;另一局部是利用該代碼庫進(jìn)展掃描的掃描程序,病毒掃描程序能識別的電腦病毒的數(shù)目完全取決于病毒代碼庫內(nèi)所含病毒種類的多少。 病毒代碼串的選擇是特別重要的,短小的病毒代碼只有一百多個字節(jié),長的也只有10kb字節(jié)。肯定要在認(rèn)真分析程序之后選出最具代表特性的,足以將該病毒區(qū)分于其它病毒和該病毒的其它變種的代碼串。一般狀況下,代碼串是由連續(xù)假設(shè)干個字節(jié)組成的,但是有些掃描軟件采納的是可變長串,即在串中包含有一個到幾個模糊字節(jié)。掃

9、描軟件遇到這種串時,只要除模糊字節(jié)之外的字串都能完好匹配,就也可以判別出病毒。另外,特征串還必需能將病毒與正常的非病毒程序區(qū),不然就會出現(xiàn)假報、誤報。 特征字識別法 這是基于特征串掃描法進(jìn)展起來的一種方式,運(yùn)行速度較快、誤報頻率較低。特征字識別法只須從病毒體內(nèi)抽取很少的幾個關(guān)鍵特征字,組成特征字庫。由于需要處理的字節(jié)很少,又不必進(jìn)展串匹配,因此大大加快了識別速度,當(dāng)被處理的程序很大時,用這種方法比擬適宜。由于特征字識別法更留意電腦病毒的程序活性,因此削減了錯報的可能性。用法基于特征串掃描法的查病毒軟件方法與用法基于特征字識別法的查病毒軟件方法是一樣的,只要運(yùn)行查毒程序,就能將已知的病毒檢查出來

10、。這兩種方法的用法,都必要不斷地對病毒庫進(jìn)展擴(kuò)大,一旦捕捉到病毒,經(jīng)過提取特征并參加到病毒庫,就能使查病毒程序多檢查出一種新病毒來。分析法 這種方法一方面可以確認(rèn)被觀看的磁盤引導(dǎo)區(qū)和程序中是否含有病毒,另一方面可以分辨病毒的類型和種類,斷定是否為一種新病毒,另外還可以搞清晰病毒體的大致構(gòu)造,提取用于特征識別的字節(jié)串或特征字,增加到病毒代碼庫中供病毒掃描和識別程序用法。同時,具體地分析病毒代碼,還有助于制定相應(yīng)的反病毒方案。與前三種檢測病毒的方法不同,用法分析法檢測病毒,除了要具有相關(guān)的學(xué)問外,還需要用法debug、proview等分析工具程序和專用的試驗用計算機(jī)。因為即使是很精通病毒的技術(shù)人員

11、,用法性能完善的分析軟件,也不能完全保證在短時間內(nèi)將病毒代碼分析清晰;而病毒那么有可能在被分析階段連續(xù)傳染甚至發(fā)作,把軟盤、硬盤內(nèi)的數(shù)據(jù)完全毀壞掉,所以分析工作必需在特地的試驗用pc機(jī)上進(jìn)展,不怕其中的數(shù)據(jù)被破壞。 不具備必要的條件,不要輕易開頭分析工作。許多電腦病毒采納了自加密、抗跟蹤等技術(shù),使得分析病毒的工作常常是冗長枯燥的。特殊是某些文件型病毒的源代碼可達(dá)10kb以上,與系統(tǒng)的牽扯層次很深,使具體的剖析工作非常冗雜。病毒檢測的分析法是反病毒工作中不行或缺的重要技術(shù),任何一獨特能優(yōu)良的反病毒系統(tǒng)的研制和開發(fā)都離不開特地人員對各種病毒詳盡、仔細(xì)的分析。 分析法分為靜態(tài)和動態(tài)兩種。靜態(tài)分析是指利用debug等反匯編程序?qū)⒉《敬a打印成反匯編后的程序清單進(jìn)展分析,看病毒分成哪些模塊,用法了哪些系統(tǒng)調(diào)用,采納了哪些技巧,如何將病毒感染文件的過程翻轉(zhuǎn)為去除病毒、修復(fù)文件的過程,哪些代碼可被用做特征碼以及如何防備這種病毒等等。分析人員的素養(yǎng)越高,分析過程就越快,理解也就越深;

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論