殺毒軟件查殺病毒是通過對比病毒特征碼方試來辨別病毒的���、并不是根據(jù)文件名辨別哪個是病毒����、
一下是殺毒軟件查殺病毒的一些方法:
(1)文件查殺
是把病毒特征碼與殺毒軟件中的病毒庫中的代碼來進行比較,如果病毒庫中有相同的特征碼�����,就會認為這個是病毒����、特征碼--通俗一點講,比如你身上一個特征 它就會認識到這個特征就是你了 ��。所以�,對于這樣的查殺模式�����。只要改變特征碼殺毒軟件就會不認識了����。
(2)內(nèi)存查殺
其實內(nèi)存查殺也是通過特征碼的,和文件查殺基本上一樣����,一個區(qū)別就是它是通過內(nèi)存特征碼來查殺的。
(3)行為查殺
是通過判斷程序的動作來進行定義��,如果程序?qū)δ硞€地方進行動作就會被認為是病毒了,
現(xiàn)在許多病毒都通過“加殼”�����、“加花指令”....等方式來躲避殺毒軟件的查殺���、 因為這殺軟有病毒庫,所有就可以分辨出這個文件是不是病毒!病毒庫其實就是些病毒的代碼,有了新的代碼就可以掃描出這些文件是不是病毒,如果你的殺軟沒更新病毒庫的話,機器里中了新的病毒,用殺軟來掃描是分辨不出這文件是否病毒!
-
補充:
-
在與病毒的對抗中����,及早發(fā)現(xiàn)病毒很重要����。早發(fā)現(xiàn),早處置���,可以減少損失��。檢測病毒方法有:特征代碼法�、校驗和法����、行為監(jiān)測法���、軟件模擬法���。這些方法依據(jù)的原理不同���,實現(xiàn)時所需開銷不同,檢測范圍不同����,各有所長。
特征代碼法
特征代碼法被早期應用于SCAN����、CPAV等著名病毒檢測工具中。國外專家認為特征代碼法是檢測已知病毒的最簡單����、開銷最小的方法。
特征代碼法的實現(xiàn)步驟如下:
采集已知病毒樣本���,病毒如果既感染COM文件��,又感染EXE文件�����,對這種病毒要同時采集COM型病毒樣本和EXE型病毒樣本����。
在病毒樣本中,抽取特征代碼�����。依據(jù)如下原則:
抽取的代碼比較特殊�����,不大可能與普通正常程序代碼吻合�。抽取的代碼要有適當長度,一方面維持特征代碼的唯一性��,另一方面又不要有太大的空間與時間的開銷����。如果一種病毒的特征代碼增長一字節(jié),要檢測3000種病毒��,增加的空間就是3000字節(jié)�。在保持唯一性的前提下,盡量使特征代碼長度短些���,以減少空間與時間開銷�����。
在既感染COM文件又感染EXE文件的病毒樣本中���,要抽取兩種樣本共有的代碼。將特征代碼納入病毒數(shù)據(jù)庫����。
打開被檢測文件,在文件中搜索�,檢查文件中是否含有病毒數(shù)據(jù)庫中的病毒特征代碼。如果發(fā)現(xiàn)病毒特征代碼�����,由于特征代碼與病毒一一對應�,便可以斷定,被查文件中患有何種病毒�。
采用病毒特征代碼法的檢測工具,面對不斷出現(xiàn)的新病毒�,必須不斷更新版本,否則檢測工具便會老化��,逐漸失去實用價值。病毒特征代碼法對從未見過的新病毒�,自然無法知道其特征代碼,因而無法去檢測這些新病毒����。
特征代碼法的優(yōu)點是:檢測準確快速、可識別病毒的名稱���、誤報警率低��、依據(jù)檢測結(jié)果��,可做解毒處理�。其缺點是:不能檢測未知病毒����、搜集已知病毒的特征代碼,費用開銷大�、在網(wǎng)絡上效率低(在網(wǎng)絡服務器上,因長時間檢索會使整個網(wǎng)絡性能變壞)���。
其特點:
A.速度慢���。隨著病毒種類的增多�����,檢索時間變長。如果檢索5000種病毒�����,必須對5000個病毒特征代碼逐一檢查��。如果病毒種數(shù)再增加�����,檢病毒的時間開銷就變得十分可觀�����。此類工具檢測的高速性���,將變得日益困難����。
B.誤報警率低。
非C.不能檢查多形性病毒�。特征代碼法是不可能檢測多態(tài)性病毒的。國外專家認為多態(tài)性病毒是病毒特征代碼法的索命者����。
D.不能對付隱蔽性病毒。隱蔽性病毒如果先進駐內(nèi)存����,后運行病毒檢測工具,隱蔽性病毒能先于檢測工具����,將被查文件中的病毒代碼剝?nèi)ィ瑱z測工具的確是在檢查一個虛假的“好文件”�����,而不能報警���,被隱蔽性病毒所蒙騙�����。
校驗和法
將正常文件的內(nèi)容����,計算其校驗和,將該校驗和寫入文件中或?qū)懭雱e的文件中保存���。在文件使用過程中�,定期地或每次使用文件前�����,檢查文件現(xiàn)在內(nèi)容算出的校驗和與原來保存的校驗和是否一致����,因而可以發(fā)現(xiàn)文件是否感染��,這種方法叫校驗和法����,它既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒。在SCAN和CPAV工具的后期版本中除了病毒特征代碼法之外����,還納入校驗和法,以提高其檢測能力��。
這種方法既能發(fā)現(xiàn)已知病毒,也能發(fā)現(xiàn)未知病毒�����,但是�����,它不能識別病毒類��,不能報出病毒名稱�。由于病毒感染并非文件內(nèi)容改變的唯一的非他性原因,文件內(nèi)容的改變有可能是正常程序引起的�,所以校驗和法常常誤報警。而且此種方法也會影響文件的運行速度�。
病毒感染的確會引起文件內(nèi)容變化,但是校驗和法對文件內(nèi)容的變化太敏感�����,又不能區(qū)分正常程序引起的變動���,而頻繁報警��。用監(jiān)視文件的校驗和來檢測病毒�����,不是最好的方法�。
這種方法遇到下述情況:已有軟件版更新、變更口令�、修改運行參數(shù)、校驗和法都會誤報警��。
校驗和法對隱蔽性病毒無效�����。隱蔽性病毒進駐內(nèi)存后�����,會自動剝?nèi)ト径境绦蛑械牟《敬a���,使校驗和法受騙,對一個有毒文件算出正常校驗和�。
運用校驗和法查病毒采用三種方式:
①在檢測病毒工具中納入校驗和法,對被查的對象文件計算其正常狀態(tài)的校驗和����,將校驗和值寫入被查文件中或檢測工具中����,而后進行比較�����。
②在應用程序中���,放入校驗和法自我檢查功能����,將文件正常狀態(tài)的校驗和寫入文件本身中�,每當應用程序啟動時,比較現(xiàn)行校驗和與原校驗和值����。實現(xiàn)應用程序的自檢測。
③將校驗和檢查程序常駐內(nèi)存�����,每當應用程序開始運行時�,自動比較檢查應用程序內(nèi)部或別的文件中預先保存的校驗和。
校驗和法的優(yōu)點是:方法簡單能發(fā)現(xiàn)未知病毒�、被查文件的細微變化也能發(fā)現(xiàn)���。其缺點是:發(fā)布通行記錄正常態(tài)的校驗和、會誤報警���、不能識別病毒名稱�����、不能對付隱蔽型病毒��。
行為監(jiān)測法
利用病毒的特有行為特征性來監(jiān)測病毒的方法�����,稱為行為監(jiān)測法�����。通過對病毒多年的觀察、研究��,有一些行為是病毒的共同行為�,而且比較特殊。在正常程序中����,這些行為比較罕見�����。當程序運行時����,監(jiān)視其行為�����,如果發(fā)現(xiàn)了病毒行為��,立即報警����。
這些做為監(jiān)測病毒的行為特征如下:
A.占有INT 13H
所有的引導型病毒,都攻擊Boot扇區(qū)或主引導扇區(qū)�����。系統(tǒng)啟動時���,當Boot扇區(qū)或主引導扇區(qū)獲得執(zhí)行權(quán)時���,系統(tǒng)剛剛開工����。一般引導型病毒都會占用INT 13H功能�,因為其他系統(tǒng)功能未設置好,無法利用���。引導型病毒占據(jù)INT 13H功能��,在其中放置病毒所需的代碼�����。
B.改DOS系統(tǒng)為數(shù)據(jù)區(qū)的內(nèi)存總量
病毒常駐內(nèi)存后����,為了防止DOS系統(tǒng)將其覆蓋�����,必須修改系統(tǒng)內(nèi)存總量���。
C.對COM����、EXE文件做寫入動作
病毒要感染�,必須寫COM、EXE文件�。
D.病毒程序與宿主程序的切換
染毒程序運行中,先運行病毒�����,而后執(zhí)行宿主程序�。在兩者切換時,有許多特征行為���。
行為監(jiān)測法的長處:可發(fā)現(xiàn)未知病毒�、可相當準確地預報未知的多數(shù)病毒��。行為監(jiān)測法的短處:可能誤報警���、不能識別病毒名稱�、實現(xiàn)時有一定難度����。
軟件模擬法
多態(tài)性病毒每次感染都變化其病毒密碼��,對付這種病毒���,特征代碼法失效。因為多態(tài)性病毒代碼實施密碼化�,而且每次所用密鑰不同,把染毒的病毒代碼相互比較�,也無法找出相同的可能做為特征的穩(wěn)定代碼。雖然行為檢測法可以檢測多態(tài)性病毒����,但是在檢測出病毒后,因為不知病毒的種類����,難于做消毒處理。 一個木馬被舉報或抓取..殺毒軟件就在里面找一處特征編碼..并放到殺毒庫里面..如果下次掃描到一個木馬擁有此特征碼..殺毒軟件就會認為它是木馬,所以做免殺的人都會用myccl找木馬被殺的特征碼..然后轉(zhuǎn)換為沒有被殺毒軟件查殺的特征碼...
|
