|
知识路径: > 嵌入式系统的安全性知识 > 安全性基本概念 > 防治计算机病毒、防范计算机犯罪、防闯入、防灾等 > 安全威胁防范 > 防治计算机病毒 >
|
相关知识点:6个
|
|
|
|
特征值扫描是目前国际上反病毒公司普遍采用的查毒技术,其核心是从病毒体中提取病毒特征值构成病毒特征库,杀毒软件将用户计算机中的文件或程序等目标,与病毒特征库中的特征值逐一比对,判断该目标是否被病毒感染。
|
|
|
目前绝大多数反病毒软件都采用了特征值查毒技术。这类反病毒软件不可缺少的两个部分是反病毒引擎和病毒特征库。反病毒引擎用来对疑似病毒样本文件进行扫描,其需要根据病毒特征库的特征条目来确定该疑似病毒样本文件是否包含了特定的计算机病毒。
|
|
|
目前,特征值检测技术已被公认是检测已知病毒最简单有效的方法。传统的特征串检测技术实现步骤如下:
|
|
|
(1)采集已知的病毒样本。即使是同一种病毒,当它感染不同的宿主时,就要采集多种样本。即如果病毒既感染COM文件,又感染EXE文件以及引导区,那就要提取三个样本。
|
|
|
(2)在病毒样本中,抽取特征串。抽取的特征串应比较特殊,不要与普通正常程序代码w吻合,当抽取的特征串达到一定长度时,就能保证这种特殊性。抽取的特征串要有适当长度,这保证了特征串的唯一性,同时查毒时又不需太大的空间和时间开销。
|
|
|
|
在实际应用中,反病毒软件使用反病毒引擎打开被检测文件,在文件中搜索,检查文件中是否含有病毒特征数据库中的病毒特征串。由于特征串与计算机病毒一一对应,如果发现病毒特征串,便可以判断被查文件中染有何种病毒。
|
|
|
特征值检测方法的优点是:检测准确、可识别病毒的名称、误报警率低,并且依据检测结果可做解毒处理。其缺点是:
|
|
|
(1)开销大、查杀速度慢。搜集已知病毒特征串的费用开销大。随着病毒种类的增多,获得分析样本的时间变长。另外,样本数急剧增加,目前各大反病毒公司的样本库记录都在几十万条以上,虽然样本数量和查杀速度不是线性关系,但进行病毒扫描的时间开销无疑将会逐渐增大。
|
|
|
(2)不能检查未知病毒和多态性病毒。特征值检测方法是不可能检测多态性病毒的,因为其代码不唯一。虽然目前有些反病毒厂商在提取特征码时提出了一些可以提取多态性病毒共同特征码的方法,但效果有限。
|
|
|