第5讲 计算机病毒检测技术
计算机病检测和清除方法
计算机病检测和清除方法计算机病毒是指一种具有自我复制能力、具有破坏、屏蔽或篡改计算机系统功能的程序。
病毒可以通过各种途径传播,如通过下载文件、浏览恶意网站、插入感染的USB设备等方式。
为了保障计算机安全,我们需要了解计算机病毒的检测和清除方法。
一、计算机病毒的检测方法1. 使用杀毒软件:目前市场上有许多杀毒软件可供选择,如金山毒霸、卡巴斯基等。
这些杀毒软件能够扫描计算机系统,检测潜在的病毒,并将其隔离或清除。
使用杀毒软件需要及时更新病毒库,以保证最新的病毒能够被检测到。
2. 定期进行病毒扫描:除了安装杀毒软件外,我们还应该定期进行病毒扫描。
通过设置扫描时间表,计算机可以自动进行病毒扫描,以便及时发现并清除潜在的病毒。
3. 注意文件来源和下载链接:在互联网上浏览和下载文件时,我们应该保持警惕。
避免下载不明文件或从不可靠的网站下载软件,以减少计算机感染病毒的风险。
二、计算机病毒的清除方法1. 使用杀毒软件进行清除:一旦计算机被病毒感染,我们可以使用杀毒软件对系统进行全盘扫描,并进行病毒清除操作。
杀毒软件能够找出潜藏在系统中的病毒,并将其隔离或删除。
2. 恢复系统:如果病毒已经对计算机系统造成了严重损坏,我们可以考虑进行系统恢复。
在Windows系统中,可以使用系统还原功能恢复到之前无病毒的状态。
但这需要提前设置系统还原点,并且会导致你系统中其他的文件也随之恢复。
3. 格式化硬盘:如果计算机系统已经被病毒完全控制,并且无法通过杀毒软件清除,最后的手段是格式化硬盘。
这样会将系统恢复到出厂设置,但同时也会删除硬盘中的所有数据,因此在执行这一操作前需要备份重要数据。
总结:计算机病毒的出现给我们的生活和工作带来了许多麻烦,因此我们需要掌握计算机病毒的检测和清除方法。
通过使用杀毒软件进行定期扫描和更新病毒库,我们可以及时发现和清除潜在的病毒。
此外,我们还应该注意文件来源和下载链接,避免从不可靠的来源下载文件。
如果计算机已经感染病毒,我们可以使用杀毒软件进行清除,或者考虑进行系统恢复或硬盘格式化。
计算机病毒复习题(最终修改不完整版)
2.选择题1.计算机病毒是(C)A.被损坏的程序B.硬件故障C.一段特制的程序D.芯片霉变2.计算机病毒的危害主要造成(D)A.磁盘破坏B.计算机用户的伤害C.CPU的损坏D.程序和数据的破坏3.新买回来的未格式化的软盘(A)A.可能会有计算机病毒B.与带病毒的软盘放在一起会有计算机病毒C.一定没有计算机病毒D.经拿过带病毒的软盘的手碰过后会感染计算机病毒4.计算机病毒一般由(ABCD)四大部分组成。
A.感染模块B.触发模块C.破坏模块D.引导模块E.执行模块5.计算机病毒生命周期中,存在(B)和(C)两种状态。
A.静态B.潜伏态C.发作态D.动态6.在Windows 32 位操作系统中,其EXE文件中的特殊表示为(B)A.MZB.PEC.NED.LE7.能够感染EXE、COM 文件的病毒属于(C)。
A.网络型病毒B.蠕虫型病毒C.文件型病毒D.系统引导型病毒8.著名特洛伊木马“网络神偷”采用的隐藏技术是(A)A.反弹式木马技术B.远程线程插入技术C.ICMP协议技术D. 远程代码插入技术9.下列(B)不是常用程序的默认端口。
A.80B.8080C.23D.219.第一个真正意义的宏病毒起源于(A)应用程序。
A. WordB. Lotus 1-2-3C. ExcelD. PowerPoint10.总结移动终端的恶意代码感染机制,其感染途径主要分为(ABC)A.终端—终端B.终端—网关—终端C.PC(计算机)—终端 D .终端—PC11.移动终端的恶意代码的攻击方式分为(ABCDE)A.短信息攻击B.直接攻击手机C.攻击网关D.攻击漏洞E.木马型恶意代码12.下列病毒中(C)计算机病毒不是蠕虫病毒。
A.冲击波B.震荡波C. CIHD.尼姆达13.蠕虫和从传统计算机病毒的区别主要体现在(B)上。
A.存在形式B.传染机制C.传染目标D.破坏方式14.多数流氓软件具有的特征是(ABCD)A.强迫安装B.无法卸载C.干扰使用D.病毒和黑客特征15.从技术角度讲,数据备份的策略主要包括(ACD)A.完全备份B.差别备份C.增量备份D.差分备份16.下列描述不正确的是(B)A.不存在能够防治未来的所有病毒的发病毒软、硬件B.现在的杀毒软件能够查杀未知病毒C.病毒产生在前,反病毒手段相对滞后D.数据备份是防治数据丢失的重要手段1.填空题(1)计算机病毒是编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
计算机病毒检测技术
必须预先知道计算机病毒签名的内容和位置 每一种计算机病毒签名的获得都要耗费大量劳力,因此用 计算机病毒签名的方法检测计算机病毒,常常是低效、不适 用的方法 可能造成虚假报警
5.3.4 特征代码法
原理:计算机病毒程序通常具有明显的特征代码
特征代码可能是病毒的感染标记,由字母和数字组成串
可能是一小段程序由若干指令组成,特征代码不一定连续
5.2 计算机病毒检测技术原理
计算机病毒检测技术:通过一定的技术手段判定出病毒的技术 计算机病毒检测技术种类: 根据病毒在特征分类基础上的检测技术 根据病毒程序中的关键字、特征程序段内容、病毒特征及感
染方式、危机程度的变化 对文件或数据段的检验和进行检测 不针对具体病毒程序自身检验技术,即对某个文件或数据段 进行检验和计算并保存其结果,以后定期或不定期地根据保存 的结果对该文件或数据段进行检验,若出现差异,即表示该文 件或数据段的完整性已遭到破坏,从而检测到病毒的存在
方法:通过搜索、比较计算机系统中是否含有与特征代码数 据库中特征代码匹配的特征代码,从而确定系统是否染毒, 感染了何种病毒。 特点:
依赖于对病毒精确特征的了解,必须事先对病毒样本做大量剖析
分析计算机病毒需要很多时间,有时间滞后 若病毒特殊代码段的位置或代码改动,则原检测方法失败
5.3.4 特征代码法
依据:计算机病毒为实现其隐藏和传染破坏的目的,常采 用“截留盗用”技术,更改、接管中断向量,使系统中断向 量转向执行计算机病毒控制部分。 方法:将正常系统的中断向量与染毒系统的中断向量进行 比较,可发现是否有计算机病毒修改或盗用中断向量
5.3.3 病毒签名检测法
计算机病毒签名:即计算机病毒感染标记 不同计算机病毒的签名内容不同,位置也不同。 并非所有计算机病毒都具备计算机病毒签名。 计算机病毒签名检测法的特点:
计算机病毒检测技术探究
计算机病毒检测技术探究提纲:1. 计算机病毒检测技术的分类及原理分析2. 影响计算机病毒检测技术准确率的因素探究3. 计算机病毒检测技术在实际应用中的存在问题与解决方法4. 深度学习技术在计算机病毒检测中的应用5. 人工智能技术在计算机病毒检测中的展望1.计算机病毒检测技术的分类及原理分析计算机病毒检测技术主要可以分为静态和动态两种。
静态检测采用目标文件本身的特征进行检测,主要包括特征码和行为码两种。
特征码主要是指病毒在二进制文件中的唯一标识,通过检测这种标识可以确定目标文件是否感染了病毒。
行为码则是指病毒在被执行时所产生的行为,检查目标文件的执行过程中是否出现了病毒的典型行为码可以确定是否感染了病毒。
静态检测的优点是检测速度快,缺点是准确性不高,不能检测到未知病毒。
动态检测则是通过监视目标文件在运行时的行为,根据病毒的行为模式来判断是否感染了病毒。
动态检测的优点是可以检测到未知病毒,缺点是检测速度慢,而且易受到病毒的干扰。
2. 影响计算机病毒检测技术准确率的因素探究影响计算机病毒检测技术准确率的因素主要有以下几个:(1)病毒变异能力。
病毒可以通过不断变异来逃避检测,这是影响准确率的最主要因素之一。
(2)虚假拦截率。
虚假拦截率指的是误将正常文件视为病毒的概率。
虚假拦截率越低,准确率也就越高。
但是虚假拦截率太低会导致漏报率上升。
(3)病毒库的完备性。
病毒库中包含的病毒种类越多,检测的准确率也就越高。
(4)病毒检测技术的更新与升级。
病毒检测技术的新陈代谢非常快,随着病毒的不断变异,病毒检测技术也需要不断更新和升级。
3. 计算机病毒检测技术在实际应用中的存在问题与解决方法在实际应用中,计算机病毒检测技术存在一些问题,如病毒变异导致的漏报、虚假拦截率过高等。
针对这些问题,可采取以下解决方法:(1)引入多种检测技术。
在检测过程中,引入多种检测技术,如静态检测和动态检测相结合,可以减少漏报和误报的概率。
(2)开发新型病毒检测技术。
病毒检测方法-电脑资料
病毒检测方法-电脑资料在与病毒的对抗中,及早发现病毒很重要,。
早发现,早处置,可以减少损失。
检测病毒方法有:特征代码法、校验和法、行为监测法、软件模拟法,这些方法依据的原理不同,实现时所需开销不同,检测范围不同,各有所长。
特征代码法特征代码法是使用最为普遍的病毒检测方法,国外专家认为特征代码法是检测已知病毒的最简单、开销最小的方法。
特征码查毒就是检查文件中是否含有病毒数据库中的病毒特征代码。
采用病毒特征代码法的检测工具,必须不断更新版本,否则检测工具便会老化,逐渐失去实用价值。
病毒特征代码法对从未见过的新病毒,无法检测。
校验和法将正常文件的内容,计算其校验和,写入文件中保存。
定期检查文件的校验和与原来保存的校验和是否一致,可以发现文件是否感染病毒,这种方法叫校验和法,它既可发现已知病毒又可发现未知病毒,电脑资料《病毒检测方法》(https://www.)。
由于病毒感染并非文件内容改变的惟一的非他性原因,文件内容的改变有可能是正常程序引起的,所以校验和法常常误报警。
而且此种方法也会影响文件的运行速度。
因而用监视文件的校验和来检测病毒,不是最好的方法。
校验和法的优点是:方法简单能发现未知病毒、被查文件的细微变化也能发现。
其缺点是:对文件内容的变化过于敏感、会误报警、不能识别病毒名称、不能对付隐蔽型病毒。
行为监测法利用病毒的特有行为特征性来监测病毒的方法,称为行为监测法。
通过对病毒多年的观察、研究,有一些行为是病毒的共同行为,而且比较特殊。
当程序运行时,监视其行为,如果发现了病毒行为,立即报警。
行为监测法的长处:可发现未知病毒、可相当准确地预报未知的多数病毒。
行为监测法的短处:可能误报警、不能识别病毒名称、实现时有一定难度。
软件模拟法,以后演绎为虚拟机查毒,启发式查毒技术,是相对成熟的技术。
病毒检测方法
病毒检测方法病毒检测是计算机安全领域中非常重要的一环,它可以帮助我们及时发现并清除计算机系统中的病毒,保护系统的安全稳定运行。
针对不同类型的病毒,我们需要采取不同的检测方法,下面将介绍几种常见的病毒检测方法。
首先,常见的病毒检测方法之一是使用杀毒软件进行全盘扫描。
杀毒软件是一种专门用于检测和清除计算机病毒的软件,它可以对整个计算机系统进行全面扫描,查找潜在的病毒威胁,并对其进行隔离或清除。
通过定期更新病毒库,杀毒软件可以及时识别最新的病毒样本,保护计算机系统的安全。
其次,网络流量分析也是一种常用的病毒检测方法。
通过监控网络流量,我们可以及时发现异常的数据传输和通信行为,进而判断是否存在病毒攻击。
网络流量分析可以帮助我们发现隐藏在网络数据中的病毒活动,及时采取相应的应对措施,保护网络安全。
另外,基于行为特征的病毒检测方法也是一种有效的手段。
这种方法通过监控计算机系统的行为特征,如文件的创建和修改时间、进程的启动和运行轨迹等,来判断是否存在异常的行为模式,从而发现潜在的病毒活动。
基于行为特征的病毒检测方法可以帮助我们及时发现新型病毒,提高病毒检测的准确性和及时性。
此外,还有一种被广泛采用的病毒检测方法是利用虚拟化技术进行病毒样本分析。
通过在虚拟环境中运行病毒样本,我们可以观察其行为特征和对系统的影响,从而判断其是否具有破坏性。
虚拟化技术可以有效隔离病毒样本,避免其对真实系统造成危害,同时也为病毒样本的分析提供了安全的环境。
总的来说,病毒检测方法的选择应该根据实际情况和需求来确定。
不同的方法有着各自的优势和局限性,我们可以根据具体的情况进行综合应用,以提高病毒检测的准确性和效率,保护计算机系统的安全。
希望以上介绍的病毒检测方法对大家有所帮助。
了解计算机病检测的基本原理
了解计算机病检测的基本原理计算机病毒检测的基本原理计算机病毒是一种针对计算机系统和文件的恶意软件。
为了保护计算机的安全,了解计算机病毒检测的基本原理变得至关重要。
本文将介绍常见的计算机病毒检测方法,包括特征码匹配、行为分析和启发式检测。
一、特征码匹配特征码匹配是最常见的病毒检测方法之一。
计算机病毒通常由一组特定的字节序列组成,这些序列被称为特征码或病毒特征码。
特征码匹配的基本原理是比较可疑文件中的字节序列是否与已知的病毒特征码相匹配。
如果匹配成功,就可以确认该文件被感染。
然而,特征码匹配的缺点是需要经常更新病毒特征库,并且对于未知的病毒无法有效匹配。
二、行为分析行为分析是一种通过观察程序运行时的行为来检测病毒的方法。
计算机病毒通常会在感染计算机后改变系统的行为。
行为分析的基本原理是监控程序运行期间的活动,并与已知的病毒行为进行比对,以确定是否存在异常或可疑的行为。
例如,如果一个程序突然开始大量复制文件或修改系统设置,就可能是存在病毒感染。
然而,行为分析需要对系统进行监控和分析,对于高性能系统可能会产生较大的开销。
三、启发式检测启发式检测是一种结合特征码匹配和行为分析的方法。
启发式检测的基本原理是根据已知病毒的特征码和行为,预测未知病毒的可能特征码和行为。
这种方法可以减少特征码更新的频率,并能够检测到未知病毒。
启发式检测利用了机器学习和数据挖掘等技术,通过分析病毒的性质和传播方式预测未知病毒的特征。
然而,启发式检测的误报率较高,可能会将正常的文件误判为病毒。
综上所述,计算机病毒的检测是保护计算机安全的重要环节。
特征码匹配、行为分析和启发式检测是常见的计算机病毒检测方法。
特征码匹配通过比对文件的特征码来检测病毒,行为分析通过观察程序运行时的行为来检测病毒,而启发式检测则结合了两者的优点。
在实际应用中,可以根据需要选择适合的检测方法,以提高计算机系统的安全性。
请注意,在实际使用时,单一的病毒检测方法可能无法完全保证计算机系统的安全性。
谈计算机病毒的检测
谈计算机病毒的检测谈计算机病毒的检测张莉1李佩臻2窦小楠2(1、河南省测绘发展研究中心2、河南省基础地理信息中心)关键词:病毒计算机异常代码1、常用检测方法1.1、外观检测法:病毒侵入计算机系统后,会使计算机系统的某些部分发生变化,引起一些异常现象,如屏幕显示的异常现象、系统运行速度的异常、打印机并行端口的异常、通信串行口的异常等等。
可以根据这些异常现象来判断病毒的存在,尽早地发现病毒,并作适当处理。
外观检测法是最常用的病毒检测方法,它要求用户对计算机有相当的了解并有一定的经验,才可以较准确地发现病毒。
1.2、特征代码法:一种病毒可能感染很多文件或计算机系统的多个地方,而且在每个被感染的文件中,病毒程序所在的位置也不尽相同,但是计算机病毒程序一般都具有明显的特征代码,这些特征代码,可能是病毒的感染标记(一般由若干个英文字母和阿拉伯数字组成)。
特征代码也可能是一小段计算机程序,它由若干个计算机指令组成。
特征代码不一定是连续的,也可以用一些通配符或模糊代码来表示任意代码。
只要是同一种病毒,在任何一个被该病毒感染的文件或计算机中,总能找到这些特征代码。
特征代码法的实现步骤:a.采集已知病毒样本,同一种病毒,当它感染一种宿主,就要采集一种样本,如果一种病毒既感染COM文件,又感染EXE文件以及引导区,就要同时采集COM型、EXE 型和引导区型3种病毒样本。
b.在病毒样本中,抽取特征代码,依据如下原则:抽取的代码比较特殊,不大可能与普通正常程序代码吻合;抽取的代码要有适当长度,一方面维持特征代码的唯一性,另一方面又不要有太大的空间与时间的开销;在既感染COM文件又感染EXE文件的病毒样本中,要抽取两种样本共有的代码。
c.将特征代码纳入病毒数据库。
d.打开被检测文件,在计算机系统中搜索,检查计算机系统中是否含有病毒数据库中的病毒特征代码。
如果发现病毒特征代码,由于特征代码与病毒一一对应,便可以断定被查文件中患有何种病毒。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
坏跟踪或逃之夭夭
5.3.8 软件模拟法
变形病毒类型:Biblioteka 第二类:二维变形计算机病毒高品质计算机病毒检测工具应具有的属性 高速性:随着计算机病毒数量的不断增加,检测计算机 病毒的时间开销就不断增加 误报率低:
具有检测多态性计算机病毒的能力:多态形计算机病毒 能够变换自己的外观,如插入一些无害的指令随机分散到 代码中,也可通过使用不同的密钥进行加密来产生变种 能对付隐蔽性计算机病毒:隐蔽性计算机病毒若先于病 毒检测工具进入内存,事先剥去病毒代码,从而躲避检测 工具的检测
5.2 计算机病毒检测技术原理
计算机病毒检测技术:通过一定的技术手段判定出病毒的技术 计算机病毒检测技术种类: 根据病毒在特征分类基础上的检测技术 根据病毒程序中的关键字、特征程序段内容、病毒特征及感
染方式、危机程度的变化 对文件或数据段的检验和进行检测 不针对具体病毒程序自身检验技术,即对某个文件或数据段 进行检验和计算并保存其结果,以后定期或不定期地根据保存 的结果对该文件或数据段进行检验,若出现差异,即表示该文 件或数据段的完整性已遭到破坏,从而检测到病毒的存在
依据:计算机病毒为实现其隐藏和传染破坏的目的,常采 用“截留盗用”技术,更改、接管中断向量,使系统中断向 量转向执行计算机病毒控制部分。 方法:将正常系统的中断向量与染毒系统的中断向量进行 比较,可发现是否有计算机病毒修改或盗用中断向量
5.3.3 病毒签名检测法
计算机病毒签名:即计算机病毒感染标记 不同计算机病毒的签名内容不同,位置也不同。 并非所有计算机病毒都具备计算机病毒签名。 计算机病毒签名检测法的特点:
导扇区、FAT表、中断向量表和设备驱动程序头等
长度比较法及内容比较法 依据:计算机病毒感染系统或文件,必然引起系统或文件的
变化(长度的变化和内容的变化)
注意:只靠检测长度和内容是不充分的,只能将其作为检测 病毒的手段之一
5.3.2 系统数据对比法
内存比较法 依据:通常病毒要驻留内存,造成可用内存空间的减少 内存比较法是针对内存驻留计算机病毒进行检测的方法 中断比较法
占用INT 13H 修改DOS系统数据区的内存总量 对.COM和.EXE文件做写入操作
计算机病毒与宿主程序的邦定和切换
格式化磁盘或某些磁道等破坏行为 扫描、试探特定网络端口
发送网络广播
修改文件、文件夹属性,添加共享等
5.3.7 行为监测法(实时监控法)
病毒防火墙
计算机病毒防火墙:基于实时反计算机病毒技术之上提出的, 其宗旨是对系统实施实时监控,对流入、流出系统的数据中可 能含有的计算机病毒代码进行过滤。
5.3.1 外观检测法
虽不能准确判断系统感染了何种病毒,但可通过异常现象
来判断病毒的存在
外观检测法是计算机病毒防治阶段起重要作用的一个环节 1.屏幕显示异常
2.声音异常
3.文件系统异常 4.程序异常 5.系统异常 6.打印机、软驱等外部设备异常
5.3.2 系统数据对比法
计算机系统的重要数据:主引导扇区、DOS分区引导扇区、软盘的引
软件模拟技术:又称为解密引擎、虚拟机技术、虚拟执行技术或软
件仿真技术
软件模拟技术是一种软件分析器,用软件方法模拟一个程序运行 环境,将可疑程序载入其中运行,在执行过程中,待计算机病毒对
自身进行解码后,再运用特征代码法来识别病毒的种类,并进行清
除,从而实现对各类多态病毒的查杀。
5.3.9 启发式代码扫描技术
对计算机病毒的过滤有良好的实时性 病毒防火墙的“双向过滤”功能保证本地系统不会外传播病毒
病毒防火墙操作更简单、更透明
优缺点
优点:可可发现已知病毒,也可较准确地预报未知多数病毒
缺点:可能误报警;不能识别病毒的名称;实现有一定难度
5.3.8 软件模拟法
软件模拟法:专门用来检测变形病毒,即多态性病毒 变形病毒特征:病毒传播到目标后,病毒自身代码和结构在空 间上、时间上具有不同的变化。 变形病毒类型: 第一类:一维变形计算机病毒
方法:通过搜索、比较计算机系统中是否含有与特征代码数 据库中特征代码匹配的特征代码,从而确定系统是否染毒, 感染了何种病毒。 特点:
依赖于对病毒精确特征的了解,必须事先对病毒样本做大量剖析
分析计算机病毒需要很多时间,有时间滞后 若病毒特殊代码段的位置或代码改动,则原检测方法失败
5.3.4 特征代码法
5.3.5 检查常规内存数
原理:病毒在发作、执行时必将占用一定的系统资源。大多数 病毒都常驻内存,并修改系统数据区记录的系统内存数或内存 控制块中的数据 方法:利用一些工具软件,通过检查内存的大小和内存使用情 况来判断系统是否染毒: 查阅有无可疑的驻留文件 查看驻留文件有无可疑的中断向量值 通过内存信息查看驻留文件的大小是否合适 检查常规内存数的方法: 查看系统内存总数,与正常情况进行比较 检查系统内存高端的内容,判断其中的代码是否可疑
5.3.1 5.3.2 5.3.3 5.3.4 5.3.5 5.3.6 5.3.7 5.3.8 5.3.9 5.3.10 5.3.11 5.3.12 外观检测法 系统数据对比法 病毒签名检测法 特征代码法 检查常规内存数 校验和法 行为监测法(实时监控法) 软件模拟法 启发式代码扫描技术 主动内核技术 病毒分析法 病毒感染法
种简单的静态扫描方式逐渐失去了作用
第二代反病毒技术:采用静态广谱特征扫描方法检测病毒 可更多地检测出变形病毒,但是误报率也有所提高 容易造成文件和数据的破坏
5.1 反病毒技术的发展历程
第三代反病毒技术:静态扫描技术和动态仿真技术相结合 查找病毒和清除病毒合二为一,形成一个整体解决方案 能全面实现预防、检测和清除等反病毒所必备的各种手段 以驻留内存方式防止病毒的入侵,凡是检测到的计算机病 毒都能清除,不会破坏文件和数据 第四代反计算机病毒技术: 基于计算机病毒家族体系的命名规则、基于多位CRC校验和 扫描机理、启发式智能代码分析模块、动态数据还原模块、内 存解毒模块和自身免疫模块等先进的解毒技术
除了具备一维变形病毒的特征外,而且变化的代码相互间的排列 距离(相对空间位置)也是变化的
第三类:三维变形计算机病毒
除了具备二维变形病毒的特征外,而且能分裂后分别潜藏几处,当 病毒引擎激活后能自我恢复成一个完整的计算机病毒 计算机病毒在附着体上的空间位置是变化的,即潜藏位置不定
第四类:四维变形计算机病毒
5.3.9 启发式代码扫描技术
2.启发式代码扫描:又称启发式职能代码分析 将人工智能的知识和原理运用到计算机病毒检测中 运用启发式扫描技术的计算机病毒检测软件,实际上就是以 人工智能的方式实现的动态反编译代码分析、比较器,通过对 程序有关指令序列进行反编译,逐步分析、比较,根据其动机
判断是否为计算机病毒。 3.启发式扫描通常应设立的标志: 为了对程序可能的操作进行加权统计和描述,计算机病毒检 测程序会对被检测程序作疑似计算机病毒的标记。 如:TBScan定义的常用标志
计算机病毒原理与防范
任课教师:乔奎贤
E-mail:cren616@
第5章 计算机病毒检测技术
5.1 反病毒技术的发展历程 5.2 计算机病毒检测技术原理 5.3 病毒主要检测技术和特点
5.1 反病毒技术的发展历程
第一代反病毒技术:采取单纯的计算机病毒特征判断 可以准确地清除计算机病毒,可靠性很高 随着病毒技术的发展,特别是加密和变形技术的应用,这
具备三维变形病毒的特征,而且这些特性随时间动态变化 四维变形病毒大部分具备网络自动传播功能,能在网络的不同角落 到处隐藏
5.3.8 软件模拟法
检测:一般而言,多态计算机病毒的变换方式:
采用等价代码对原有代码进行替换; 改变与执行次序无关的指令的次序;
增加许多垃圾指令;
对原有病毒代码进行压缩或加密。
5.3.9 启发式代码扫描技术
必须预先知道计算机病毒签名的内容和位置 每一种计算机病毒签名的获得都要耗费大量劳力,因此用 计算机病毒签名的方法检测计算机病毒,常常是低效、不适 用的方法 可能造成虚假报警
5.3.4 特征代码法
原理:计算机病毒程序通常具有明显的特征代码
特征代码可能是病毒的感染标记,由字母和数字组成串
可能是一小段程序由若干指令组成,特征代码不一定连续
5.2.1 病毒检测技术的基本原理
反病毒程序计算各个可执行程序的校验和 某些反病毒程序是常驻内存程序 反病毒程序常驻内存中,搜索可能进入系统的计算机病毒,
其目的是阻止任何病毒感染系统。
少数工具可以从感染病毒的程序中清除病毒 少数工具反病毒工具虽可将染毒程序修复好,但有些修复效
果不能保证。某些反病毒工具还可能产生虚假报警。
5.2.2 检测病毒的基本方法
2.借助专用工具检测 ——指专门的计算机病毒检测工具,如Norton等 一般来说,专用工具具备自动扫描磁盘的功能,可检测磁盘
的染毒情况。
病毒检测工具只能识别已知计算机病毒,其发展总是滞后于 计算机病毒的发展,从而对相当数量的未知计算机病毒无法识 别。
5.3 病毒主要检测技术和特点
选择代码串规则
不能随意选择病毒体内的一段作为特征代码串
代码串不应含有病毒的数据区 保持唯一性的前提下,代码串应尽量短 特征代码串应最具代表性,足以区别于其他病毒程序
特征代码串应能区别于其他正常的非病毒程序
实现步骤
采集已知计算机病毒样本
从计算机病毒样本中,抽取计算机病毒特征代码
将特征代码纳入计算机病毒数据库 检测文件
5.3.6 校验和法
优缺点: 校验和法的优点: 方法简单 能发现未知计算机病毒
能发现被检查程序的细微变化 校验和法的缺点: 必须预先记录程序正常状态的校验和 误报率高 不能识别计算机病毒的种类 不能对付隐蔽性计算机病毒