殺毒軟件查殺病毒是通過對(duì)比病毒特征碼方試來辨別病毒的��、并不是根據(jù)文件名辨別哪個(gè)是病毒�����、
一下是殺毒軟件查殺病毒的一些方法:
(1)文件查殺
是把病毒特征碼與殺毒軟件中的病毒庫(kù)中的代碼來進(jìn)行比較�����,如果病毒庫(kù)中有相同的特征碼,就會(huì)認(rèn)為這個(gè)是病毒���、特征碼--通俗一點(diǎn)講���,比如你身上一個(gè)特征 它就會(huì)認(rèn)識(shí)到這個(gè)特征就是你了 。所以����,對(duì)于這樣的查殺模式。只要改變特征碼殺毒軟件就會(huì)不認(rèn)識(shí)了��。
(2)內(nèi)存查殺
其實(shí)內(nèi)存查殺也是通過特征碼的���,和文件查殺基本上一樣,一個(gè)區(qū)別就是它是通過內(nèi)存特征碼來查殺的�����。
(3)行為查殺
是通過判斷程序的動(dòng)作來進(jìn)行定義��,如果程序?qū)δ硞€(gè)地方進(jìn)行動(dòng)作就會(huì)被認(rèn)為是病毒了�����,
現(xiàn)在許多病毒都通過“加殼”���、“加花指令”....等方式來躲避殺毒軟件的查殺��、 因?yàn)檫@殺軟有病毒庫(kù),所有就可以分辨出這個(gè)文件是不是病毒!病毒庫(kù)其實(shí)就是些病毒的代碼,有了新的代碼就可以掃描出這些文件是不是病毒,如果你的殺軟沒更新病毒庫(kù)的話,機(jī)器里中了新的病毒,用殺軟來掃描是分辨不出這文件是否病毒!
-
補(bǔ)充:
-
在與病毒的對(duì)抗中����,及早發(fā)現(xiàn)病毒很重要。早發(fā)現(xiàn)���,早處置�����,可以減少損失��。檢測(cè)病毒方法有:特征代碼法��、校驗(yàn)和法���、行為監(jiān)測(cè)法、軟件模擬法�����。這些方法依據(jù)的原理不同,實(shí)現(xiàn)時(shí)所需開銷不同�����,檢測(cè)范圍不同�����,各有所長(zhǎng)����。
特征代碼法
特征代碼法被早期應(yīng)用于SCAN、CPAV等著名病毒檢測(cè)工具中�。國(guó)外專家認(rèn)為特征代碼法是檢測(cè)已知病毒的最簡(jiǎn)單、開銷最小的方法����。
特征代碼法的實(shí)現(xiàn)步驟如下:
采集已知病毒樣本,病毒如果既感染COM文件�����,又感染EXE文件�,對(duì)這種病毒要同時(shí)采集COM型病毒樣本和EXE型病毒樣本����。
在病毒樣本中��,抽取特征代碼��。依據(jù)如下原則:
抽取的代碼比較特殊�,不大可能與普通正常程序代碼吻合�。抽取的代碼要有適當(dāng)長(zhǎng)度,一方面維持特征代碼的唯一性��,另一方面又不要有太大的空間與時(shí)間的開銷�����。如果一種病毒的特征代碼增長(zhǎng)一字節(jié)�����,要檢測(cè)3000種病毒�����,增加的空間就是3000字節(jié)����。在保持唯一性的前提下��,盡量使特征代碼長(zhǎng)度短些�����,以減少空間與時(shí)間開銷��。
在既感染COM文件又感染EXE文件的病毒樣本中�,要抽取兩種樣本共有的代碼�。將特征代碼納入病毒數(shù)據(jù)庫(kù)。
打開被檢測(cè)文件���,在文件中搜索�����,檢查文件中是否含有病毒數(shù)據(jù)庫(kù)中的病毒特征代碼�����。如果發(fā)現(xiàn)病毒特征代碼���,由于特征代碼與病毒一一對(duì)應(yīng)�����,便可以斷定,被查文件中患有何種病毒��。
采用病毒特征代碼法的檢測(cè)工具���,面對(duì)不斷出現(xiàn)的新病毒�����,必須不斷更新版本���,否則檢測(cè)工具便會(huì)老化,逐漸失去實(shí)用價(jià)值��。病毒特征代碼法對(duì)從未見過的新病毒��,自然無法知道其特征代碼��,因而無法去檢測(cè)這些新病毒�。
特征代碼法的優(yōu)點(diǎn)是:檢測(cè)準(zhǔn)確快速、可識(shí)別病毒的名稱���、誤報(bào)警率低����、依據(jù)檢測(cè)結(jié)果,可做解毒處理�����。其缺點(diǎn)是:不能檢測(cè)未知病毒���、搜集已知病毒的特征代碼���,費(fèi)用開銷大、在網(wǎng)絡(luò)上效率低(在網(wǎng)絡(luò)服務(wù)器上���,因長(zhǎng)時(shí)間檢索會(huì)使整個(gè)網(wǎng)絡(luò)性能變壞)��。
其特點(diǎn):
A.速度慢���。隨著病毒種類的增多,檢索時(shí)間變長(zhǎng)�。如果檢索5000種病毒,必須對(duì)5000個(gè)病毒特征代碼逐一檢查���。如果病毒種數(shù)再增加���,檢病毒的時(shí)間開銷就變得十分可觀。此類工具檢測(cè)的高速性�����,將變得日益困難����。
B.誤報(bào)警率低。
非C.不能檢查多形性病毒���。特征代碼法是不可能檢測(cè)多態(tài)性病毒的����。國(guó)外專家認(rèn)為多態(tài)性病毒是病毒特征代碼法的索命者����。
D.不能對(duì)付隱蔽性病毒。隱蔽性病毒如果先進(jìn)駐內(nèi)存���,后運(yùn)行病毒檢測(cè)工具��,隱蔽性病毒能先于檢測(cè)工具�,將被查文件中的病毒代碼剝?nèi)ィ瑱z測(cè)工具的確是在檢查一個(gè)虛假的“好文件”����,而不能報(bào)警,被隱蔽性病毒所蒙騙��。
校驗(yàn)和法
將正常文件的內(nèi)容�����,計(jì)算其校驗(yàn)和����,將該校驗(yàn)和寫入文件中或?qū)懭雱e的文件中保存。在文件使用過程中�����,定期地或每次使用文件前��,檢查文件現(xiàn)在內(nèi)容算出的校驗(yàn)和與原來保存的校驗(yàn)和是否一致���,因而可以發(fā)現(xiàn)文件是否感染�,這種方法叫校驗(yàn)和法,它既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒����。在SCAN和CPAV工具的后期版本中除了病毒特征代碼法之外,還納入校驗(yàn)和法�,以提高其檢測(cè)能力。
這種方法既能發(fā)現(xiàn)已知病毒��,也能發(fā)現(xiàn)未知病毒����,但是���,它不能識(shí)別病毒類�����,不能報(bào)出病毒名稱�����。由于病毒感染并非文件內(nèi)容改變的唯一的非他性原因��,文件內(nèi)容的改變有可能是正常程序引起的�����,所以校驗(yàn)和法常常誤報(bào)警��。而且此種方法也會(huì)影響文件的運(yùn)行速度�����。
病毒感染的確會(huì)引起文件內(nèi)容變化�,但是校驗(yàn)和法對(duì)文件內(nèi)容的變化太敏感,又不能區(qū)分正常程序引起的變動(dòng)����,而頻繁報(bào)警。用監(jiān)視文件的校驗(yàn)和來檢測(cè)病毒�,不是最好的方法。
這種方法遇到下述情況:已有軟件版更新���、變更口令�、修改運(yùn)行參數(shù)�����、校驗(yàn)和法都會(huì)誤報(bào)警�����。
校驗(yàn)和法對(duì)隱蔽性病毒無效。隱蔽性病毒進(jìn)駐內(nèi)存后���,會(huì)自動(dòng)剝?nèi)ト径境绦蛑械牟《敬a�,使校驗(yàn)和法受騙����,對(duì)一個(gè)有毒文件算出正常校驗(yàn)和。
運(yùn)用校驗(yàn)和法查病毒采用三種方式:
①在檢測(cè)病毒工具中納入校驗(yàn)和法�����,對(duì)被查的對(duì)象文件計(jì)算其正常狀態(tài)的校驗(yàn)和���,將校驗(yàn)和值寫入被查文件中或檢測(cè)工具中,而后進(jìn)行比較����。
②在應(yīng)用程序中,放入校驗(yàn)和法自我檢查功能�,將文件正常狀態(tài)的校驗(yàn)和寫入文件本身中,每當(dāng)應(yīng)用程序啟動(dòng)時(shí)����,比較現(xiàn)行校驗(yàn)和與原校驗(yàn)和值�����。實(shí)現(xiàn)應(yīng)用程序的自檢測(cè)�����。
③將校驗(yàn)和檢查程序常駐內(nèi)存�����,每當(dāng)應(yīng)用程序開始運(yùn)行時(shí)�,自動(dòng)比較檢查應(yīng)用程序內(nèi)部或別的文件中預(yù)先保存的校驗(yàn)和�。
校驗(yàn)和法的優(yōu)點(diǎn)是:方法簡(jiǎn)單能發(fā)現(xiàn)未知病毒、被查文件的細(xì)微變化也能發(fā)現(xiàn)�����。其缺點(diǎn)是:發(fā)布通行記錄正常態(tài)的校驗(yàn)和����、會(huì)誤報(bào)警、不能識(shí)別病毒名稱��、不能對(duì)付隱蔽型病毒。
行為監(jiān)測(cè)法
利用病毒的特有行為特征性來監(jiān)測(cè)病毒的方法����,稱為行為監(jiān)測(cè)法。通過對(duì)病毒多年的觀察���、研究���,有一些行為是病毒的共同行為,而且比較特殊����。在正常程序中,這些行為比較罕見�����。當(dāng)程序運(yùn)行時(shí)����,監(jiān)視其行為�����,如果發(fā)現(xiàn)了病毒行為,立即報(bào)警����。
這些做為監(jiān)測(cè)病毒的行為特征如下:
A.占有INT 13H
所有的引導(dǎo)型病毒,都攻擊Boot扇區(qū)或主引導(dǎo)扇區(qū)�。系統(tǒng)啟動(dòng)時(shí),當(dāng)Boot扇區(qū)或主引導(dǎo)扇區(qū)獲得執(zhí)行權(quán)時(shí)�,系統(tǒng)剛剛開工。一般引導(dǎo)型病毒都會(huì)占用INT 13H功能����,因?yàn)槠渌到y(tǒng)功能未設(shè)置好,無法利用�。引導(dǎo)型病毒占據(jù)INT 13H功能,在其中放置病毒所需的代碼���。
B.改DOS系統(tǒng)為數(shù)據(jù)區(qū)的內(nèi)存總量
病毒常駐內(nèi)存后����,為了防止DOS系統(tǒng)將其覆蓋�����,必須修改系統(tǒng)內(nèi)存總量�����。
C.對(duì)COM、EXE文件做寫入動(dòng)作
病毒要感染����,必須寫COM、EXE文件���。
D.病毒程序與宿主程序的切換
染毒程序運(yùn)行中���,先運(yùn)行病毒,而后執(zhí)行宿主程序��。在兩者切換時(shí)�,有許多特征行為。
行為監(jiān)測(cè)法的長(zhǎng)處:可發(fā)現(xiàn)未知病毒���、可相當(dāng)準(zhǔn)確地預(yù)報(bào)未知的多數(shù)病毒。行為監(jiān)測(cè)法的短處:可能誤報(bào)警��、不能識(shí)別病毒名稱�����、實(shí)現(xiàn)時(shí)有一定難度。
軟件模擬法
多態(tài)性病毒每次感染都變化其病毒密碼�,對(duì)付這種病毒,特征代碼法失效�����。因?yàn)槎鄳B(tài)性病毒代碼實(shí)施密碼化�,而且每次所用密鑰不同,把染毒的病毒代碼相互比較����,也無法找出相同的可能做為特征的穩(wěn)定代碼。雖然行為檢測(cè)法可以檢測(cè)多態(tài)性病毒���,但是在檢測(cè)出病毒后��,因?yàn)椴恢《镜姆N類��,難于做消毒處理����。 一個(gè)木馬被舉報(bào)或抓取..殺毒軟件就在里面找一處特征編碼..并放到殺毒庫(kù)里面..如果下次掃描到一個(gè)木馬擁有此特征碼..殺毒軟件就會(huì)認(rèn)為它是木馬,所以做免殺的人都會(huì)用myccl找木馬被殺的特征碼..然后轉(zhuǎn)換為沒有被殺毒軟件查殺的特征碼...
|
