计算机病毒的检测方法
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
现的计算机病毒。因为病毒传播得很快,新 病毒层出不穷,由于目前还没有做出通用的 能查出一切病毒,或通过代码分析,可以判 定某个程序中是否含有病毒的查毒程序,发 现新病毒就只有靠比较法和分析法,有时必 须结合这两者一同工作。
1. 长度比较法及内容比较法
病毒感染系统或文件,必然引起系统或文件 的变化,既包括长度的变化,又包括内容的变 化。因此,将无毒的系统或文件与被检测的系 统或文件的长度和内容进展比较,即可发现病 毒。
利用文件内容校验的的校病验和毒法 代码,使校验和法受骗,对一个有毒文件
校验和法是将正常文件的内容,计算其“校验和〞,将该校验和写入文件中或写入别的文件中保存。
算出正常校验和。 在许多常用的检测工具中,都采用了这种方法。
比较时可以靠打印的代码清单〔比方DEBUG的口命令输出格式〕进展比较,或用程序来进展比较〔如DOS的DISKCOMP、COMP或 PCTOOLS等其他软件〕。 比较法的好处是简单、方便,不需专用软件。 计算机病毒进展传染,必然会留下痕迹。 〔3〕 要具有检查多态性病毒的能力。 误报警:由于病毒感染并非文件内容改变的惟一的排他性原因,文件内容的改变有可能是正常程序引起的,所以校验和法常常误报警。 运用反汇编技术分析被检测对象确认是否为病毒的分析法 将所有病毒的病毒码加以剖析,并且将这些病毒独有的特征搜集在一个病毒码资料库中,简称“病毒库〞,检测时,以扫描的方式将 待检测程序与病毒库中的病毒特征码进展一一比照,如果发现有一样的代码,那么可判定该程序已遭病毒感染。 一般对磁盘进展病毒检测时,要求内存中不带病毒,因为某些计算机病毒会向检测者报告假情况。 不能识别病毒种类,不能报出病毒名称 此法对于那些隐蔽型病毒无效。 〔3〕 要具有检查多态性病毒的能力。 误报警:由于病毒感染并非文件内容改变的惟一的排他性原因,文件内容的改变有可能是正常程序引起的,所以校验和法常常误报警。 如果病毒种数再增加,检查病毒的时间开销就变得十分可观。 可以发现那些尚不能被现有的查病毒程序发现的计算机病毒。 此类工具检测的高速性,将变得日益困难。 一般对磁盘进展病毒检测时,要求内存中不带病毒,因为某些计算机病毒会向检测者报告假情况。
〔4〕 能对付隐蔽性病毒。隐蔽性病毒如果先进 驻内存,后运行病毒检测工具,隐蔽性病毒能 先于检测工具,将被查文件中的病毒代码剥去, 检测工具确实是在检查一个有毒文件,但它真 正看到的却是一个虚假的“好文件〞,而不能 报警,被隐蔽性病毒所蒙骗。
1.2 校验和法
校验和法是将正常文件的内容,计算其“校验和〞, 将该校验和写入文件中或写入别的文件中保存。 在文件使用过程中,定期地或每次使用文件前,检查 文件现在内容算出的校验和与原来保存的校验和是否 一致,以此来发现文件是否感染。 优点: 既可发现病毒又可发现未知病毒。 常用: 在许多常用的检测工具中,都采用了这种方法。
例如4096病毒在内存中时,查看被它感染的文件长度 时,不会发现该文件的长度已发生变化,而当在内存 中没有病毒时,才会发现文件长度已经增加了4096字 节。
又如引导区型的巴基斯坦大脑病毒,当它被激活在内 存中时,检查引导区时看不到病毒程序而只看到正常 的引导扇区。
病毒检测的原理主要基于以下几种方法: 利用病毒特征代码串的特征代码法 利用文件内容校验的校验和法 用软件虚拟分析的软件模拟法 比较被检测对象与原始备份的比较法
1.4 比较法
比较法是用原始的或正常的文件与被检测的 文件进展比较。 长度比较法 内容比较法 内存比较法 中断比较法 比较时可以靠打印的代码清单〔比方DEBUG 的口命令输出格式〕进展比较,或用程序来进 展比较〔如DOS的DISKCOMP、COMP或 PCTOOLS等其他软件〕。
可以发现那些尚不能被现有的查病毒程序发
运用反汇编技术分析被检测对象确认是否为病毒的分 析法
1. 病毒的检测方法
1.1 特征代码法
特征代码法被认为是用来检测病毒的 最简单、开销最小的方法。
原理:
将所有病毒的病毒码加以剖析,并且 将这些病毒独有的特征搜集在一个病毒 码资料库中,简称“病毒库〞,检测时, 以扫描的方式将待检测程序与病毒库中 的病毒特征码进展一一比照,如果发现 有一样的代码,那么可判定该程序已遭 病毒感染。
缺点
不能识别病毒种类,不能报出病毒名称
误报警:由于病毒感染并非文件内容改变的惟一 的排他性原因,文件内容的改变有可能是正常程 序引起的,所以校验和法常常误报警。
会影响文件的运行速度
当已有软件版本更新、变更口令或修改运行参数 时,校验和法都会误报警。
校验和法对隐蔽性பைடு நூலகம்毒无效:
隐蔽性病毒进驻内存后,会自动剥去染毒程序中
计算机病毒的检测方法
优选计算机病毒的检测方法
计算机病毒进展传染,必然会留下痕迹。 检测计算机病毒,就是要到病毒寄生场 所去检查,发现异常情况,并进而验明 “正身〞,确认计算机病毒的存在。病 毒静态时存储于磁盘中,激活时驻留在 内存中。
因此对计算机病毒的检测分为对内存的 检测和对磁盘的检测。
一般对磁盘进展病毒检测时,要求内存中不带病毒, 因为某些计算机病毒会向检测者报告假情况。
1.3 软件模拟法
为了检测多态性病毒,国外研制了新的检测方 法——软件模拟法。它是一种软件分析器,用 软件方法来模拟和分析程序的运行,以后演绎 为虚拟机上进展的查毒,启发式查毒技术等, 是相对成熟的技术。
新型检测工具纳入了软件模拟法,该类工具开 场运行时,使用特征代码法检测病毒,如果发 现隐蔽病毒或多态性病毒嫌疑时,启动软件模 拟模块,监视病毒的运行,待病毒自身的密码 译码以后,再运用特征代码法来识别病毒的种 类。
在设计此类检测工具时,应考虑如下一些问题:
〔1〕 高速性。
随着病毒种类的增多,检索时间变长。如果检索 5000种病毒,必须对5000个病毒特征代码逐一检 查。如果病毒种数再增加,检查病毒的时间开销 就变得十分可观。此类工具检测的高速性,将变 得日益困难。
〔2〕 误报警率低。
〔3〕 要具有检查多态性病毒的能力。此要求是对 病毒检测工具的新要求,特征代码法是不可能检 测多态性病毒的。
1. 长度比较法及内容比较法
病毒感染系统或文件,必然引起系统或文件 的变化,既包括长度的变化,又包括内容的变 化。因此,将无毒的系统或文件与被检测的系 统或文件的长度和内容进展比较,即可发现病 毒。
利用文件内容校验的的校病验和毒法 代码,使校验和法受骗,对一个有毒文件
校验和法是将正常文件的内容,计算其“校验和〞,将该校验和写入文件中或写入别的文件中保存。
算出正常校验和。 在许多常用的检测工具中,都采用了这种方法。
比较时可以靠打印的代码清单〔比方DEBUG的口命令输出格式〕进展比较,或用程序来进展比较〔如DOS的DISKCOMP、COMP或 PCTOOLS等其他软件〕。 比较法的好处是简单、方便,不需专用软件。 计算机病毒进展传染,必然会留下痕迹。 〔3〕 要具有检查多态性病毒的能力。 误报警:由于病毒感染并非文件内容改变的惟一的排他性原因,文件内容的改变有可能是正常程序引起的,所以校验和法常常误报警。 运用反汇编技术分析被检测对象确认是否为病毒的分析法 将所有病毒的病毒码加以剖析,并且将这些病毒独有的特征搜集在一个病毒码资料库中,简称“病毒库〞,检测时,以扫描的方式将 待检测程序与病毒库中的病毒特征码进展一一比照,如果发现有一样的代码,那么可判定该程序已遭病毒感染。 一般对磁盘进展病毒检测时,要求内存中不带病毒,因为某些计算机病毒会向检测者报告假情况。 不能识别病毒种类,不能报出病毒名称 此法对于那些隐蔽型病毒无效。 〔3〕 要具有检查多态性病毒的能力。 误报警:由于病毒感染并非文件内容改变的惟一的排他性原因,文件内容的改变有可能是正常程序引起的,所以校验和法常常误报警。 如果病毒种数再增加,检查病毒的时间开销就变得十分可观。 可以发现那些尚不能被现有的查病毒程序发现的计算机病毒。 此类工具检测的高速性,将变得日益困难。 一般对磁盘进展病毒检测时,要求内存中不带病毒,因为某些计算机病毒会向检测者报告假情况。
〔4〕 能对付隐蔽性病毒。隐蔽性病毒如果先进 驻内存,后运行病毒检测工具,隐蔽性病毒能 先于检测工具,将被查文件中的病毒代码剥去, 检测工具确实是在检查一个有毒文件,但它真 正看到的却是一个虚假的“好文件〞,而不能 报警,被隐蔽性病毒所蒙骗。
1.2 校验和法
校验和法是将正常文件的内容,计算其“校验和〞, 将该校验和写入文件中或写入别的文件中保存。 在文件使用过程中,定期地或每次使用文件前,检查 文件现在内容算出的校验和与原来保存的校验和是否 一致,以此来发现文件是否感染。 优点: 既可发现病毒又可发现未知病毒。 常用: 在许多常用的检测工具中,都采用了这种方法。
例如4096病毒在内存中时,查看被它感染的文件长度 时,不会发现该文件的长度已发生变化,而当在内存 中没有病毒时,才会发现文件长度已经增加了4096字 节。
又如引导区型的巴基斯坦大脑病毒,当它被激活在内 存中时,检查引导区时看不到病毒程序而只看到正常 的引导扇区。
病毒检测的原理主要基于以下几种方法: 利用病毒特征代码串的特征代码法 利用文件内容校验的校验和法 用软件虚拟分析的软件模拟法 比较被检测对象与原始备份的比较法
1.4 比较法
比较法是用原始的或正常的文件与被检测的 文件进展比较。 长度比较法 内容比较法 内存比较法 中断比较法 比较时可以靠打印的代码清单〔比方DEBUG 的口命令输出格式〕进展比较,或用程序来进 展比较〔如DOS的DISKCOMP、COMP或 PCTOOLS等其他软件〕。
可以发现那些尚不能被现有的查病毒程序发
运用反汇编技术分析被检测对象确认是否为病毒的分 析法
1. 病毒的检测方法
1.1 特征代码法
特征代码法被认为是用来检测病毒的 最简单、开销最小的方法。
原理:
将所有病毒的病毒码加以剖析,并且 将这些病毒独有的特征搜集在一个病毒 码资料库中,简称“病毒库〞,检测时, 以扫描的方式将待检测程序与病毒库中 的病毒特征码进展一一比照,如果发现 有一样的代码,那么可判定该程序已遭 病毒感染。
缺点
不能识别病毒种类,不能报出病毒名称
误报警:由于病毒感染并非文件内容改变的惟一 的排他性原因,文件内容的改变有可能是正常程 序引起的,所以校验和法常常误报警。
会影响文件的运行速度
当已有软件版本更新、变更口令或修改运行参数 时,校验和法都会误报警。
校验和法对隐蔽性பைடு நூலகம்毒无效:
隐蔽性病毒进驻内存后,会自动剥去染毒程序中
计算机病毒的检测方法
优选计算机病毒的检测方法
计算机病毒进展传染,必然会留下痕迹。 检测计算机病毒,就是要到病毒寄生场 所去检查,发现异常情况,并进而验明 “正身〞,确认计算机病毒的存在。病 毒静态时存储于磁盘中,激活时驻留在 内存中。
因此对计算机病毒的检测分为对内存的 检测和对磁盘的检测。
一般对磁盘进展病毒检测时,要求内存中不带病毒, 因为某些计算机病毒会向检测者报告假情况。
1.3 软件模拟法
为了检测多态性病毒,国外研制了新的检测方 法——软件模拟法。它是一种软件分析器,用 软件方法来模拟和分析程序的运行,以后演绎 为虚拟机上进展的查毒,启发式查毒技术等, 是相对成熟的技术。
新型检测工具纳入了软件模拟法,该类工具开 场运行时,使用特征代码法检测病毒,如果发 现隐蔽病毒或多态性病毒嫌疑时,启动软件模 拟模块,监视病毒的运行,待病毒自身的密码 译码以后,再运用特征代码法来识别病毒的种 类。
在设计此类检测工具时,应考虑如下一些问题:
〔1〕 高速性。
随着病毒种类的增多,检索时间变长。如果检索 5000种病毒,必须对5000个病毒特征代码逐一检 查。如果病毒种数再增加,检查病毒的时间开销 就变得十分可观。此类工具检测的高速性,将变 得日益困难。
〔2〕 误报警率低。
〔3〕 要具有检查多态性病毒的能力。此要求是对 病毒检测工具的新要求,特征代码法是不可能检 测多态性病毒的。