| 特征判定技术是根据病毒程序的特征,如感染标记、特征程序段内容、文件长度变化、文件校验和变化等,对病毒进行分类处理,以后在程序运行中凡有类似的特征点出现,则认定是病毒。
|
|
|
|
|
| (1)比较法。比较法的工作原理是将可能的感染对象(引导扇区或计算机文件)与原始备份进行比较,如果发现不一致则说明有染毒的可能性。比较法以保留干净的原始备份为前提,不需要专门的查毒程序,用常规的具有比较功能的软件即可进行。优点是简单、方便,能够发现已知病毒和未知病毒。缺点是无法确认计算机病毒种类的名称及发现的异常是否真是病毒。
|
|
|
| (2)校验和检测法。校验和检测法的工作原理是计算正常文件内容的校验和并保存,通过定期或实时地检测文件,比对当前文件算出的校验和与保存的校验和是否一致,判断文件是否感染了病毒。其优点是简单,能够发现已知病毒和未知病毒,并检测出文件的细微变化。缺点是不能够识别病毒种类。由于病毒感染并非文件内容改变的唯一原因(软件版本更新、变更密码、修改运行参数等都会引起文件发生变化),所以该方法容易产生病毒误报。隐蔽性病毒进驻内存后,会自动剥去染毒程序中的病毒代码,从而对有毒文件计算出正常的校验和,因此校验和检测对隐蔽性病毒无效。
|
|
|
| (3)特征扫描法。特征扫描法的工作原理是对新发现的病毒样本进行分析,抽取其特征代码加入资料库中。查毒时,用资料库中的特征代码与被检测对象进行比对,如果发现与资料库中相吻合的特征代码,即可判定出相应的病毒。特征扫描法的优点在于能够准确地查出病毒并确定病毒的种类和名称,病毒误报警率低。缺点是不能检测未知病毒,特征代码库必须不断地丰富和更新。由于搜集已知病毒的特征代码,费用开销大。在网络服务器上,因长时间检索会使整个网络性能降低。
|
|
|
| (4)启发式扫描法。启发式扫描法是凭借过去的经历和知识逼近问题的技巧来检测病毒。它检查一个文件的特征,例如大小或结构体系,并且通过代码的行为来确定被感染的可能性。启发式扫描法是为了克服传统扫描工具不能检测未知病毒的缺点而提出的新技术。它专门用来寻找未知病毒及与已知病毒特征接近、但还未被收录的病毒。启发式检测技术也被用来寻找那些已知的、不提供自身特征的一些病毒,如一些新的变形病毒。
|
|
|
