18250719963 在线客服 人才招聘 返回顶部
企业动态 技术分享 行业动态

计算机病毒的检测

2017-10-26分享
计算机的出现转换了人们的生活方式和工作方式,同时也转变了全球经济的结构,逐渐成为 人类物质社会最重要的组成部分,随着互联网的迅速发展,计算机病毒也迅速猖獗起来。计算机病毒给计算机系统安全带来了巨大危害,并且造成严重损失。那么,计算机病毒的检测便成为重中之重。及时的检测隐藏的病毒会减少很多不必要的麻烦。以下便介绍了三种计算机病毒的检测方法。
1.特征代码段扫描法
计算机病毒程序通常具有明显的特征代码,特征代码可能是计算机病毒的感染标记(由字母或数字组成串),如“1314”计算机病毒代码中含有“It is my birthday”。特征代码也可能是一小段计算机程序,由若干个计算机指令组成。将已知的计算机病毒的特征代码串收集起来构成计算机病毒特征代码数据库。由此,我们可以直接通过搜索、比较计算机系统是否含有特征代码数据库中特征代码匹配的特征代码,来确定计算机系统是否感染了病毒,是何种病毒。
适用病毒:适用于宏病毒、脚本病毒等多种类型的病毒。
特征代码段扫描法的实现步骤如下:
(1)采集已知计算机病毒样本。如果计算机病毒既感染 .COM文件,又感染.EXE文件,那么要对这种计算机病毒同时采集 .COM型计算机病毒样本和.EXE型计算机病毒样本。
(2)在计算机病毒样本中,抽取计算机病毒特征代码。在既感染 .COM文件,又感染.EXE文件的计算机病毒样本中,要抽取两种样本共有的代码。
(3)将特征代码纳入计算机病毒数据库。
(4)检测文件。打开被检测文件,在文件中搜索,根据数据库中计算机病毒特征代码,检测文件中是否含有计算机病毒。
(5)如果发现计算机病毒特征代码,由特征代码与计算机病毒一一对应,便可以断定被查文件所感染的是何种计算机病毒。
使用特征代码段扫描法有以下优点:
(1) 检测准确、快速。
(2) 可以识别计算机病毒的具体类型。
(3) 误报率低。
(4) 依据检测结果针对具体计算机病毒类型,可以做相应杀毒处理。
2.感染实验法
感染实验法是一种简单实用的检测计算机病毒的方法。使用感染实验法可以检测出计算机病毒检测工具不认识的新型计算机病毒。感染实验法的原理是利用了计算机病毒的感染特征,所有的计算机病毒都会感染。
适用病毒:适用于引导型病毒、文件型病毒、网络型病毒、混合型病毒等多种类型的病毒。
1)检测未知引导型计算机病毒的步骤:
(1)使用一张软盘制作一个清洁无毒的系统盘,用Ddbug程序将该盘的boot扇区读入内存,计算其校验和,并且记住此值。同时把一个正常的boot扇区保存到一个文件中。上述操作必须保证系统是清洁无毒的。
(2)在这张试验盘上复制一些无毒的系统应用程序。
(3)启动可疑系统,将实验盘插入可疑系统,运行实验盘上的程序,重复一定次数。
(4)再在干净无毒的计算机上,检查实验盘的boot扇区,可与原boot扇区比较,如果实验盘boot扇区内容已经改变,就可以断定可疑系统中有引导性计算机病毒。
2)检测未知文件型计算机病毒的步骤:
(1)在干净系统中制作一张实验盘,在上面存放一些应用程序,这些程序应保证无毒,因选择不同长度、类型的文件(既有.COM型文件,又有.EXE型文件),记住这些文件正常状态时的长度、校验和。
(2)在实验盘上制作一个批处理文件,使盘中程序在循环中轮流被执行数次。
(3)将实验盘插入可疑系统,执行批处理文件,多次执行盘中文件。
(4)将实验盘放入干净系统,检查盘中文件的长度和校验和,如果文件长度增加,或者校验和变化(在零长度感染和破坏性感染场合下,长度一般不会变,但校验和会变),则可断定可疑系统中有计算机病毒。
使用感染实验法的优点:
(1)可以检测出未知病毒。
(2)简单实用。
(3)可以摆脱对计算机病毒检测工具的依赖。
3.校验和法
校验和法是通过应用程序的校验和来判断计算机是否感染病毒。使用校验和法既可以发现已知型计算机病毒,也可以发现未知型计算机病毒。在一些计算机病毒检测工具中,处理采用计算机病毒特征代码法以外,还纳入了校验和法,以提高检测能力。
适用病毒:适用于文件型病毒、网络型病毒、宏病毒等多种类型的病毒。
校验和法的实现步骤如下:
(1)对正常的文件内容,计算其校验和。
(2)将该校验和写入文件中或写入别的文件中保存。
(3)在文件使用过程中,定期或每次使用文件前,检查文件现在内容算出的的校验和。
(4)将现在算出的校验和与原来保存的校验和进行对比,看是否一致,从而可以发现文件是否感染。
运用校验和法检测病毒可分为三种方式:
(1)检测病毒工具中纳入校验和法,对被查的对象文件计算其正常状态的校验和,将校验和值写入被查文件或检测工具中,然后进行比较。
(2)在应用程序中,放入校验和自我校查功能,将文件正常状态的校验和写入文件本身中,每当应用程序启动时,比较现行校验和与原校验和值,实现应用程序的自检测。
(3)将校验和检查程序常驻内存,每当应用程序开始运行时,自动比较检查应用程序内部或别的文件中预先保存的校验和。
使用校验和法的优点是:
(1)方法简单
(2)能发现未知的计算机病毒
(3)能发现被查程序的细微变化
以上,我简单介绍了三种计算机病毒的检测方法。当然,计算机病毒的检测方法有很多种,其特点也都不尽相同,本文中我就不一 一介绍了。在这个互联网飞速发展的时代,伴随而来的更有计算机病毒,及时的检测计算以病毒可以有效地保护我们的信息安全,降低我们的损失。
在线咨询
Copyright © 2005-2017 厦门市安聚尼股份有限公司 版权所有 闽ICP备16024904号-6