不卡AV在线|网页在线观看无码高清|亚洲国产亚洲国产|国产伦精品一区二区三区免费视频

學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 電腦安全 > 病毒知識 > 殺毒軟件的作用原理

殺毒軟件的作用原理

時間: 權(quán)威724 分享

殺毒軟件的作用原理

  在現(xiàn)在的互聯(lián)網(wǎng)時代里面,病毒很多,殺病毒的軟件也很多,那你知道殺毒軟件的作用原理嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于殺毒軟件的作用原理的相關(guān)資料,供你參考。

  殺毒軟件的作用原理:

  1.嚴密監(jiān)控內(nèi)存RAM區(qū)

  對RAM的監(jiān)控主要包括三個方面:

  (1)跟蹤內(nèi)存容量的異常變化

  內(nèi)存容量由內(nèi)存0000:004BH處的一個字單元來表示。正常情況下,該處的一個字表示以K為單位的內(nèi)存容量。例如,如果內(nèi)存容量為512K,則該字的內(nèi)存為0200H,如果內(nèi)存容量為640K,則該字的內(nèi)容為0280H。由于系統(tǒng)型病毒在侵入系統(tǒng)后,一般都要對內(nèi)存容量進行修改,以便保護其放在內(nèi)存高端的病毒程序不被其他程序或COMMAND.COM文件的暫駐部分所覆蓋。

  因此,如果軟件檢測到內(nèi)存容量發(fā)生了某些異常變化,通常是容量被無端占用,大幅度縮容,則表明有病毒存在。

  (2)對中斷向量進行監(jiān)控、檢測

  此原理與病毒報警軟件有關(guān)部分相同。

  (3)對RAM區(qū)進行掃描

  利用檢測軟件中所儲存的大量病毒特征值,對RAM區(qū)中的所有字符串進行掃描。如果發(fā)現(xiàn)RAM中的某些字符串與已知病毒的特征值字符串相同,則表明內(nèi)存中已駐留了這種病毒,應(yīng)立即采取措施。

  2.監(jiān)控磁盤引導(dǎo)扇區(qū)

  系統(tǒng)型病毒主要維護引導(dǎo)扇區(qū),對引導(dǎo)扇區(qū)的嚴格監(jiān)控,可以有效檢測出系統(tǒng)型病毒。

  (1)代碼和有變,則可能有病毒感染。

  由DOS的各種版本格式化后磁盤引導(dǎo)扇區(qū)的內(nèi)容都是固定的,所以其代碼和也是固定的。檢測軟件在求出代碼和后,如果發(fā)現(xiàn)其結(jié)果與DOS版本的正常代碼不一致,就可以初步確定被檢測的磁盤引導(dǎo)扇區(qū)被病毒所感染。

  此方法有其局限性,通常它需結(jié)合其他方法才能做出最終判斷。

  (2)掃描引導(dǎo)扇區(qū)的所有字符串

  若發(fā)現(xiàn)有病毒特征值字符串出現(xiàn),則可以判定有病毒存在于引導(dǎo)扇區(qū)。

  (3)全方位掃描磁盤文件

  檢測軟件對系統(tǒng)中的所有文件進行掃描,查找病毒特征值字符串,以確定是否有病毒被檢測出。

  顯然,它是針對文件型病毒的一種作用方式。

  病毒檢測的方法

  在與病毒的對抗中,及早發(fā)現(xiàn)病毒很重要。早發(fā)現(xiàn),早處置,可以減少損失。檢測病毒方法有:特征代碼法、校驗和法、行為監(jiān)測法、軟件模擬法

  這些方法依據(jù)的原理不同,實現(xiàn)時所需開銷不同,檢測范圍不同,各有所長。

  特征代碼法

  特征代碼法被早期應(yīng)用于SCAN、CPAV等著名病毒檢測工具中。國外專家認為特征代碼法是檢測已知病毒的最簡單、開銷最小的方法。

  特征代碼法的實現(xiàn)步驟如下:

  采集已知病毒樣本,病毒如果既感染COM文件,又感染EXE文件,對這種病毒要同時采集COM型病毒樣本和EXE型病毒樣本。

  在病毒樣本中,抽取特征代碼。依據(jù)如下原則:

  抽取的代碼比較特殊,不大可能與普通正常程序代碼吻合。抽取的代碼要有適當長度,一方面維持特征代碼的唯一性,另一方面又不要有太大的空間與時間的開銷。如果一種病毒的特征代碼增長一字節(jié),要檢測3000種病毒,增加的空間就是3000字節(jié)。在保持唯一性的前提下,盡量使特征代碼長度短些,以減少空間與時間開銷。

  在既感染COM文件又感染EXE文件的病毒樣本中,要抽取兩種樣本共有的代碼。將特征代碼納入病毒數(shù)據(jù)庫。

  打開被檢測文件,在文件中搜索,檢查文件中是否含有病毒數(shù)據(jù)庫中的病毒特征代碼。如果發(fā)現(xiàn)病毒特征代碼,由于特征代碼與病毒一一對應(yīng),便可以斷定,被查文件中患有何種病毒。

  采用病毒特征代碼法的檢測工具,面對不斷出現(xiàn)的新病毒,必須不斷更新版本,否則檢測工具便會老化,逐漸失去實用價值。病毒特征代碼法對從未見過的新病毒,自然無法知道其特征代碼,因而無法去檢測這些新病毒。

  特征代碼法的優(yōu)點是:檢測準確快速、可識別病毒的名稱、誤報警率低、依據(jù)檢測結(jié)果,可做解毒處理。其缺點是:不能檢測未知病毒、搜集已知病毒的特征代碼,費用開銷大、在網(wǎng)絡(luò)上效率低(在網(wǎng)絡(luò)服務(wù)器上,因長時間檢索會使整個網(wǎng)絡(luò)性能變壞)。

  其特點:

  A.速度慢。隨著病毒種類的增多,檢索時間變長。如果檢索5000種病毒,必須對5000個病毒特征代碼逐一檢查。如果病毒種數(shù)再增加,檢病毒的時間開銷就變得十分可觀。此類工具檢測的高速性,將變得日益困難。

  B.誤報警率低。

  非C.不能檢查多形性病毒。特征代碼法是不可能檢測多態(tài)性病毒的。國外專家認為多態(tài)性病毒是病毒特征代碼法的索命者。

  D.不能對付隱蔽性病毒。隱蔽性病毒如果先進駐內(nèi)存,后運行病毒檢測工具,隱蔽性病毒能先于檢測工具,將被查文件中的病毒代碼剝?nèi)?,檢測工具的確是在檢查一個虛假的“好文件”,而不能報警,被隱蔽性病毒所蒙騙。

  校驗和法

  將正常文件的內(nèi)容,計算其校驗和,將該校驗和寫入文件中或?qū)懭雱e的文件中保存。在文件使用過程中,定期地或每次使用文件前,檢查文件現(xiàn)在內(nèi)容算出的校驗和與原來保存的校驗和是否一致,因而可以發(fā)現(xiàn)文件是否感染,這種方法叫校驗和法,它既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒。在SCAN和CPAV工具的后期版本中除了病毒特征代碼法之外,還納入校驗和法,以提高其檢測能力。

  這種方法既能發(fā)現(xiàn)已知病毒,也能發(fā)現(xiàn)未知病毒,但是,它不能識別病毒類,不能報出病毒名稱。由于病毒感染并非文件內(nèi)容改變的唯一的非他性原因,文件內(nèi)容的改變有可能是正常程序引起的,所以校驗和法常常誤報警。而且此種方法也會影響文件的運行速度。

  病毒感染的確會引起文件內(nèi)容變化,但是校驗和法對文件內(nèi)容的變化太敏感,又不能區(qū)分正常程序引起的變動,而頻繁報警。用監(jiān)視文件的校驗和來檢測病毒,不是最好的方法。

  這種方法遇到下述情況:已有軟件版更新、變更口令、修改運行參數(shù)、校驗和法都會誤報警。

  校驗和法對隱蔽性病毒無效。隱蔽性病毒進駐內(nèi)存后,會自動剝?nèi)ト径境绦蛑械牟《敬a,使校驗和法受騙,對一個有毒文件算出正常校驗和。

  運用校驗和法查病毒采用三種方式:

 ?、僭跈z測病毒工具中納入校驗和法,對被查的對象文件計算其正常狀態(tài)的校驗和,將校驗和值寫入被查文件中或檢測工具中,而后進行比較。

 ?、谠趹?yīng)用程序中,放入校驗和法自我檢查功能,將文件正常狀態(tài)的校驗和寫入文件本身中,每當應(yīng)用程序啟動時,比較現(xiàn)行校驗和與原校驗和值。實現(xiàn)應(yīng)用程序的自檢測。

 ?、蹖⑿r灪蜋z查程序常駐內(nèi)存,每當應(yīng)用程序開始運行時,自動比較檢查應(yīng)用程序內(nèi)部或別的文件中預(yù)先保存的校驗和。

  校驗和法的優(yōu)點是:方法簡單能發(fā)現(xiàn)未知病毒、被查文件的細微變化也能發(fā)現(xiàn)。其缺點是:發(fā)布通行記錄正常態(tài)的校驗和、會誤報警、不能識別病毒名稱、不能對付隱蔽型病毒。

  行為監(jiān)測法

  利用病毒的特有行為特征性來監(jiān)測病毒的方法,稱為行為監(jiān)測法。通過對病毒多年的觀察、研究,有一些行為是病毒的共同行為,而且比較特殊。在正常程序中,這些行為比較罕見。當程序運行時,監(jiān)視其行為,如果發(fā)現(xiàn)了病毒行為,立即報警。

  這些做為監(jiān)測病毒的行為特征如下:

  A.占有INT 13H

  所有的引導(dǎo)型病毒,都攻擊Boot扇區(qū)或主引導(dǎo)扇區(qū)。系統(tǒng)啟動時,當Boot扇區(qū)或主引導(dǎo)扇區(qū)獲得執(zhí)行權(quán)時,系統(tǒng)剛剛開工。一般引導(dǎo)型病毒都會占用INT 13H功能,因為其他系統(tǒng)功能未設(shè)置好,無法利用。引導(dǎo)型病毒占據(jù)INT 13H功能,在其中放置病毒所需的代碼。

  B.改DOS系統(tǒng)為數(shù)據(jù)區(qū)的內(nèi)存總量

  病毒常駐內(nèi)存后,為了防止DOS系統(tǒng)將其覆蓋,必須修改系統(tǒng)內(nèi)存總量。

  C.對COM、EXE文件做寫入動作

  病毒要感染,必須寫COM、EXE文件。

  D.病毒程序與宿主程序的切換

  染毒程序運行中,先運行病毒,而后執(zhí)行宿主程序。在兩者切換時,有許多特征行為。

  行為監(jiān)測法的長處:可發(fā)現(xiàn)未知病毒、可相當準確地預(yù)報未知的多數(shù)病毒。行為監(jiān)測法的短處:可能誤報警、不能識別病毒名稱、實現(xiàn)時有一定難度。

  軟件模擬法

  多態(tài)性病毒每次感染都變化其病毒密碼,對付這種病毒,特征代碼法失效。因為多態(tài)性病毒代碼實施密碼化,而且每次所用密鑰不同,把染毒的病毒代碼相互比較,也無法找出相同的可能做為特征的穩(wěn)定代碼。雖然行為檢測法可以檢測多態(tài)性病毒,但是在檢測出病毒后,因為不知病毒的種類,難于做消毒處理。

  計算機病毒的防治策略

  計算機病毒的防治要從防毒、查毒、解毒三方面來進行;系統(tǒng)對于計算機病毒的實際防治能力和效果也要從防毒能力、查毒能力和解毒能力三方面來評判。

  “防毒”是指根據(jù)系統(tǒng)特性,采取相應(yīng)的系統(tǒng)安全措施預(yù)防病毒侵入計算機。“查毒”是指對于確定的環(huán)境,能夠準確地報出病毒名稱,該環(huán)境包括,內(nèi)存、文件、引導(dǎo)區(qū)(含主導(dǎo)區(qū))、網(wǎng)絡(luò)等。“解毒”是指根據(jù)不同類型病毒對感染對象的修改,并按照病毒的感染特性所進行的恢復(fù)。該恢復(fù)過程不能破壞未被病毒修改的內(nèi)容。感染對象包括:內(nèi)存、引導(dǎo)區(qū)(含主引導(dǎo)區(qū))、可執(zhí)行文件、文檔文件、網(wǎng)絡(luò)等。

  防毒能力是指預(yù)防病毒侵入計算機系統(tǒng)的能力。通過采取防毒措施,應(yīng)可以準確地、實時地監(jiān)測預(yù)警經(jīng)由光盤、軟盤、硬盤不同目錄之間、局域網(wǎng)、因特網(wǎng)(包括FTP方式、E-MAIL、HTTP方式)或其它形式的文件下載等多種方式進行的傳輸;能夠在病毒侵入系統(tǒng)是發(fā)出警報,記錄攜帶病毒的文件,即時清除其中的病毒;對網(wǎng)絡(luò)而言,能夠向網(wǎng)絡(luò)管理員發(fā)送關(guān)于病毒入侵的信息,記錄病毒入侵的工作站,必要時還要能夠注銷工作站,隔離病毒源。

  查毒能力是指發(fā)現(xiàn)和追蹤病毒來源的能力。通過查毒應(yīng)該能準確地發(fā)現(xiàn)計算機系統(tǒng)是否感染有病毒,并準確查找出病毒的來源,并能給出統(tǒng)計報告;查解病毒的能力應(yīng)由查毒率和誤報率來評判。

  解毒能力是指從感染對象中清除病毒,恢復(fù)被病毒感染前的原始信息的能力;解毒能力應(yīng)用解毒率來評判。

  看過文章“殺毒軟件的作用原理”的人還看了:

  1.支持Win7的國產(chǎn)殺毒軟件有哪些

  2.諾頓殺毒軟件的介紹

  3.關(guān)于殺毒軟件安裝使用的誤區(qū)

  4.電腦防護軟件排名

  5.為什么殺毒軟件打不開

  6.殺毒軟件無法打開的原因分析

  7.電腦自帶殺毒軟件mcafee的使用方法

  8.360電腦病毒殺毒軟件

  9.安裝殺毒軟件與設(shè)置防火墻 保障電腦安全

556797