文档介绍：计算机病毒的检测方法
计算机病毒进行传染,必然会留下痕迹。检测计算机病毒,就是要到病毒寄生场所去检查,发现异常情况,并进而验明“正身”,确认计算机病毒的存在。病毒静态时存储于磁盘中,激活时驻留在内存中。
因此对计算机病毒的检测分为对内存的检测和对磁盘的检测。
一般对磁盘进行病毒检测时,要求内存中不带病毒,因为某些计算机病毒会向检测者报告假情况。
例如4096病毒在内存中时,查看被它感染的文件长度时,不会发现该文件的长度已发生变化,而当在内存中没有病毒时,才会发现文件长度已经增加了4096字节。
又如引导区型的巴基斯坦大脑病毒,当它被激活在内存中时,检查引导区时看不到病毒程序而只看到正常的引导扇区。
病毒检测的原理主要基于下列几种方法:
利用病毒特征代码串的特征代码法
利用文件内容校验的校验和法
用软件虚拟分析的软件模拟法
比较被检测对象与原始备份的比较法
运用反汇编技术分析被检测对象确认是否为病毒的分析法
1. 病毒的检测方法
特征代码法
特征代码法被认为是用来检测已知病毒的最简单、开销最小的方法。
原理:
将所有病毒的病毒码加以剖析,并且将这些病毒独有的特征搜集在一个病毒码资料库中,简称“病毒库”,检测时,以扫描的方式将待检测程序与病毒库中的病毒特征码进行一一对比,如果发现有相同的代码,则可判定该程序已遭病毒感染。
在设计此类检测工具时,应考虑如下一些问题:
(1) 高速性。
随着病毒种类的增多,检索时间变长。如果检索5000种病毒,必须对5000个病毒特征代码逐一检查。如果病毒种数再增加,检查病毒的时间开销就变得十分可观。此类工具检测的高速性,将变得日益困难。
(2) 误报警率低。
(3) 要具有检查多态性病毒的能力。此要求是对病毒检测工具的新要求,特征代码法是不可能检测多态性病毒的。
(4) 能对付隐蔽性病毒。隐蔽性病毒如果先进驻内存,后运行病毒检测工具,隐蔽性病毒能先于检测工具,将被查文件中的病毒代码剥去,检测工具的确是在检查一个有毒文件,但它真正看到的却是一个虚假的“好文件”,而不能报警,被隐蔽性病毒所蒙骗。
校验和法
校验和法是将正常文件的内容,计算其“校验和”,将该校验和写入文件中或写入别的文件中保存。
在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,以此来发现文件是否感染。
优点:
既可发现已知病毒又可发现未知病毒。
常用:
在许多常用的检测工具中,都采用了这种方法。
缺点
不能识别病毒种类,不能报出病毒名称
误报警:由于病毒感染并非文件内容改变的惟一的排他性原因,文件内容的改变有可能是正常程序引起的,所以校验和法常常误报警。
会影响文件的运行速度
当已有软件版本更新、变更口令或修改运行参数时,校验和法都会误报警。
校验和法对隐蔽性病毒无效:
隐蔽性病毒进驻内存后,会自动剥去染毒程序中的病毒代码,使校验和法受骗,对一个有毒文件算出正常校验和。