荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: alexises (Giraffe), 信区: Virus
标 题: 病毒检测的方法
发信站: BBS 荔园晨风站 (Mon Mar 5 18:30:09 2001), 转信
在与病毒的对抗中,及早发现病毒很重要。早发现,早处置,可以减少损失。检测
病毒方法有:特征代码法、校验和法、行为监测法、软件模拟法, 这些方法依据
的原理不同,实现时所需开销不同,检测范围不同,各有所长。
特征代码法
特征代码法被早期应用于SCAN、CPAV等著名病毒检测工具中。国外专家认为特征代
码法是检测已知病毒的最简单、开销最小的方法。
特征代码法的实现步骤如下:
采集已知病毒样本,病毒如果既感染COM文件,又感染EXE文件,对这种病毒要同时
采集COM型病毒样本和EXE型病毒样本。
在病毒样本中,抽取特征代码。依据如下原则:
抽取的代码比较特殊,不大可能与普通正常程序代码吻合。抽取的代码要有适当长
度,一方面维持特征代码的唯一性,另一方面又不要有太大的空间与时间的开销。
如果一种病毒的特征代码增长一字节,要检测3000种病毒,增加的空间就是3000字
节。在保持唯一性的前提下,尽量使特征代码长度短些,以减少空间与时间开销。
在既感染COM文件又感染EXE文件的病毒样本中,要抽取两种样本共有的代码。将特
征代码纳入病毒数据库。
打开被检测文件,在文件中搜索,检查文件中是否含有病毒数据库中的病毒特征代
码。如果发现病毒特征代码,由于特征代码与病毒一一对应,便可以断定,被查文
件中患有何种病毒。
采用病毒特征代码法的检测工具,面对不断出现的新病毒,必须不断更新版本,否
则检测工具便会老化,逐渐失去实用价值。病毒特征代码法对从未见过的新病毒,
自然无法知道其特征代码,因而无法去检测这些新病毒。
特征代码法
--
请有空看看我的主页啦!alexises.myrice.com
还有我的FTP:192.168.47.34 有很多好东西的~~~有空来看看啦!!!
※ 来源:·BBS 荔园晨风站 bbs.szu.edu.cn·[FROM: 192.168.47.34]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店