文档介绍:计算机病毒的检测方法 1计算机病毒进行传染,必然会留下痕迹。检测计算机病毒,就是要到病毒寄生场所去检查,发现异常情况,并进而验明“正身”,确认计算机病毒的存在。病毒静态时存储于磁盘中,激活时驻留在内存中。因此对计算机病毒的检测分为对内存的检测和对磁盘的检测。 2 一般对磁盘进行病毒检测时,要求内存中不带病毒,因为某些计算机病毒会向检测者报告假情况。例如 4096 病毒在内存中时,查看被它感染的文件长度时,不会发现该文件的长度已发生变化,而当在内存中没有病毒时,才会发现文件长度已经增加了 4096 字节。又如引导区型的巴基斯坦大脑病毒,当它被激活在内存中时,检查引导区时看不到病毒程序而只看到正常的引导扇区。 3 病毒检测的原理主要基于下列几种方法: ?利用病毒特征代码串的特征代码法?利用文件内容校验的校验和法?用软件虚拟分析的软件模拟法?比较被检测对象与原始备份的比较法?运用反汇编技术分析被检测对象确认是否为病毒的分析法 4 1. 病毒的检测方法 特征代码法特征代码法被认为是用来检测已知病毒的最简单、开销最小的方法。原理: 将所有病毒的病毒码加以剖析,并且将这些病毒独有的特征搜集在一个病毒码资料库中,简称“病毒库”,检测时, 以扫描的方式将待检测程序与病毒库中的病毒特征码进行一一对比,如果发现有相同的代码,则可判定该程序已遭病毒感染。 5 在设计此类检测工具时,应考虑如下一些问题: (1)高速性。随着病毒种类的增多,检索时间变长。如果检索 5000 种病毒,必须对 5000 个病毒特征代码逐一检查。如果病毒种数再增加,检查病毒的时间开销就变得十分可观。此类工具检测的高速性, 将变得日益困难。(2)误报警率低。(3)要具有检查多态性病毒的能力。此要求是对病毒检测工具的新要求,特征代码法是不可能检测多态性病毒的。 6 (4)能对付隐蔽性病毒。隐蔽性病毒如果先进驻内存,后运行病毒检测工具,隐蔽性病毒能先于检测工具,将被查文件中的病毒代码剥去,检测工具的确是在检查一个有毒文件,但它真正看到的却是一个虚假的“好文件”,而不能报警,被隐蔽性病毒所蒙骗。 7 校验和法校验和法是将正常文件的内容,计算其“校验和”,将该校验和写入文件中或写入别的文件中保存。在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,以此来发现文件是否感染。优点: 既可发现已知病毒又可发现未知病毒。常用:在许多常用的检测工具中,都采用了这种方法。 8 缺点不能识别病毒种类,不能报出病毒名称误报警:由于病毒感染并非文件内容改变的惟一的排他性原因,文件内容的改变有可能是正常程序引起的,所以校验和法常常误报警。会影响文件的运行速度当已有软件版本更新、变更口令或修改运行参数时,校验和法都会误报警。 9 校验和法对隐蔽性病毒无效:隐蔽性病毒进驻内存后,会自动剥去染毒程序中的病毒代码,使校验和法受骗,对一个有毒文件算出正常校验和。 10