(1)特征代码法
特征码就是从病毒体内不同位置提取的一系列字节,杀毒软件就是通过这些字节及位置信息来检验某个文件是否病毒。
- 优点:检测准确;可识别病毒的名称;误报率低依据检测结果可做杀毒处理
- 缺点:速度慢;不能检查多形性病毒;不能对付隐蔽性病毒;不能检查未知病毒,变种病毒,隐蔽病毒,需定期更新病毒库,具有滞后性。
(2)校验和法
将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存。在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法叫校验和法,它既可发现已知病毒又可发现未知病毒。
运用校验和法查病毒采用三种方式:
- 在检测病毒工具中纳入校验和法,对被查的对象文件计算其正常状态的校验和,将校验和值写入被查文件中或检测工具中,而后进行比较。
- 在应用程序中,放入校验和法自我检查功能,将文件正常状态的校验和写入文件本身中,每当应用程序启动时,比较现行校验和与原校验和值。实现应用程序的自检测。
- 将校验和检查程序常驻内存,每当应用程序开始运行时,自动比较检查应用程序内部或别的文件中预先保存的校验和。
- 优点:方法简单能发现未知病毒、被查文件的细微变化也能发现
- 缺点 :发布通行记录正常态的校验和、会误报警、不能识别病毒名称、不能对付隐蔽型病毒
(3) 行为监测法
行为监测法是将病毒中比较特殊的共同行为归纳起来。当程序运行时监视其行为,若发现类似病毒的行为,立即报警。
- 优点:既能发现已知病毒,以能预报未知病毒。
- 缺点:可能虚假报警,不能识别病毒名称,实现较难。
(4)模拟软件法
CPU执行,在虚拟机下执行疑似病毒的变体引擎解码程序,再用特征代码法。
多态性病毒每次感染都变化其病毒密码,对付这种病毒,特征代码法失效。因为多态性病毒代码实施密码化,而且每次所用密钥不同,把染毒的病毒代码相互比较,也无法找出相同的可能做为特征的稳定代码。虽然行为检测法可以检测多态性病毒,但是在检测出病毒后,因为不知病毒的种类,难于做消毒处理。
- 优点:对付特征代码法不能就对的变种病毒
- 缺点:误报率低,实现难度大。
作者网站
© 版权声明
THE END
暂无评论内容