计算机病毒检测方法

计算机病毒检测方法病毒检测方法有: 特征码方法，校验和方法，行为监视方法，软件模拟方法病毒检查，这些方法基于不同的原理，不同的实现成本，不同的检测范围和不同的时间. 1.特征码方法特征码方法是检测已知病毒的最简单，最便宜的方法. 它的实现是收集已知病毒的样本. 如果病毒同时感染COM文件和EXE文件，则必须为此病毒收集COM病毒样本和EXE病毒样本. 打开检测到的文件，搜索该文件病毒检查，然后检查该文件是否在病毒中包含病毒功能代码. 如果找到病毒签名代码，则由于签名代码与该病毒一一对应，因此可以确定正在检查的文件中包含哪种病毒. 面对不断出现的新病毒，使用病毒签名代码方法的检测工具必须不断更新版本，否则检测工具将老化并逐渐失去其实用价值. 病毒特征码方法自然无法知道以前从未见过的新病毒的特征码，因此无法检测到这些新病毒. 特征码方法的优点是: 检测准确快速，可以识别病毒名称，误报率低，根据检测结果可以进行排毒. 缺点是: A.速度慢. 随着病毒类型的增加，搜索时间变得更长. 如果检索到5000种病毒，则必须一一检查5000种病毒签名代码. 如果再次增加病毒类型的数量，则花费在病毒检测上的时间将变得相当可观.

此类工具的高速运行将变得越来越困难. B.无法检查多态病毒. 特征码方法无法检测多态病毒. 外国专家认为，多态病毒是病毒签名代码的索取者. C，不能处理隐藏的病毒. 如果隐藏病毒在内存中处于高级状态，然后运行病毒检测工具，则隐藏病毒可以在检测工具之前清除已检查文件中的病毒代码. 该检测工具确实在检查伪造的“好文件”，但没有报警并被秘密病毒欺骗. 2.校验和方法计算普通文件的校验和，将校验和写入文件或保存在另一个文件中. 在使用文件的过程中，请定期或在每次使用文件之前，检查文件当前内容计算出的校验和是否与最初保存的校验和一致，以便确定文件是否被感染. 此方法称为校验和方法. 它可以找到已知和未知病毒. 在更高版本的SCAN和CPAV工具中，除了病毒签名代码方法外，还包括一种校验和方法以提高其检测能力. 此方法可以找到已知和未知病毒. 但是，它无法识别病毒类型，也无法报告病毒名称. 由于病毒感染不是文件内容更改的唯一其他原因，因此文件内容更改可能是由正常过程引起的，因此校验和方法通常会发出错误警报. 而且这种方法也会影响文件的速度.

校验和方法的优点是该方法很简单，可以发现未知病毒，并且可以在要检查的文件中进行很小的更改. 缺点是: 发布通过记录正常状态的校验和，错误警报，无法识别病毒名称以及无法处理隐藏的病毒. 3.行为监视方法利用病毒的独特行为特征监视病毒的方法称为行为监视方法. 通过对病毒的多年观察和研究，某些行为是该病毒的共同特征，并且非常特殊. 在正常过程中，这些行为相对很少见. 该程序运行时，监视其行为，如果发现病毒行为，请立即报警. 行为监视方法的优点: 可以发现未知病毒，并且可以相当准确地预测大多数未知病毒. 行为监视方法的缺点: 可能会发出错误警报，无法识别病毒名称，并且难以实施. 4.软件模拟方法多态病毒每次被感染时都会更改其病毒密码. 为了处理这种病毒，特征码方法失败. 由于多态病毒代码是加密的，并且每次使用的密钥都不相同，因此将受感染的病毒代码相互比较，因此不可能找到可能是相同特征的相同稳定代码. 尽管行为检测方法可以检测出多态性病毒，但是在检测到病毒之后，由于病毒的类型未知，因此很难执行消毒操作.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-205146-1.html