A. 殺毒軟體是怎麼識別木馬和病毒的
目前大部分是通過特徵碼識別
即在木馬樣本里找出幾段和待檢測的程序樣本進襪寬行匹配
匹配成功就說明它是XX木馬或病毒
現在還有猛戚一個技術叫行為檢測
監控系統的可疑行為來判斷
比如同一一個木馬
在運行時
它的行為是固定的流程
如果符合條件即為該木馬/病毒
另外如果檢測到和木馬病毒相似行為的可疑操作
就報告給用戶或殺軟公司
再進行詳細的判斷.
以上是主流的兩種方法
其它每個殺軟都有自己的特點和新技術
這在該殺軟的介告知亮紹中有詳細的說明
B. 殺毒軟體是如何確定病毒的
殺毒軟體是通過以下的途徑來判斷程序中帶有病毒的:首先是通過殺毒軟體體內內置的殺毒軟體病毒特徵庫特徵碼來發現病毒的。殺毒軟體首先會打開並自動檢查文件的內容,如果發現了和自己的病毒庫有類似的內容時,既可以判斷這個程序有病毒。採用病毒特徵代碼法的檢測工具,面對不斷出現的新病毒,必須不斷更新版本,否則檢測工具便會老化,逐漸失去實用價值。病毒特徵代碼法對從未見過的新病毒,自然無法知道其特徵代碼,因而無法去檢測這些新病毒。
特徵代碼法的優點是:檢測准確快速、可識別病毒的名稱、誤報警率低、依據檢測結果,可做解毒處理。其缺點是:不能檢測未知病毒、搜集已知病毒的特徵代碼,費用開銷大、在網路上效率低(在網路伺服器上,因長時間檢索會使整個網路性能變壞)。
其特點:
A.速度慢。隨著病毒種類的增多,檢索時間變長。如果檢索5000種病毒,必須對5000個病毒特徵代碼逐一檢查。如果病毒種數再增加,檢病毒的時間開銷就變得十分可觀。此類工具檢測的高速性,將變得日益困難。
B.誤報警率低。
非C.不能檢查多形性病毒。特徵代碼法是不可能檢測多態性病毒的。國外專家認為多態性病毒是病毒特徵代碼法的索命者。
D.不能對付隱蔽性病毒。隱蔽性病毒如果先進駐內存,後運行病毒檢測工具,隱蔽性病毒能先於檢測工具,將被查文件中的病毒代碼剝去,檢測工具的確是在檢查一個虛假的「好文件」,而不能報警,被隱蔽性病毒所蒙騙。
校驗和法
將正常文件的內容,計算其校驗和,將該校驗和寫入文件中或寫入別的文件中保存。在文件使用過程中,定期地或每次使用文件前,檢查文件現在內容算出的校驗和與原來保存的校驗和是否一致,因而可以發現文件是否感染,這種方法叫校驗和法,它既可發現已知病毒又可發現未知病毒。在SCAN和CPAV工具的後期版本中除了病毒特徵代碼法之外,還納入校驗和法,以提高其檢測能力。
這種方法既能發現已知病毒,也能發現未知病毒,但是,它不能識別病毒類,不能報出病毒名稱。由於病毒感染並非文件內容改變的唯一的非他性原因,文件內容的改變有可能是正常程序引起的,所以校驗和法常常誤報警。而且此種方法也會影響文件的運行速度。
病毒感染的確會引起文件內容變化,但是校驗和法對文件內容的變化太敏感,又不能區分正常程序引起的變動,而頻繁報警。用監視文件的校驗和來檢測病毒,不是最好的方法。
這種方法遇到下述情況:已有軟體版更新、變更口令、修改運行參數、校驗和法都會誤報警。
校驗和法對隱蔽性病毒無效。隱蔽性病毒進駐內存後,會自動剝去染毒程序中的病毒代碼,使校驗和法受騙,對一個有毒文件算出正常校驗和。
運用校驗和法查病毒採用三種方式:
①在檢測病毒工具中納入校驗和法,對被查的對象文件計算其正常狀態的校驗和,將校驗和值寫入被查文件中或檢測工具中,而後進行比較。
②在應用程序中,放入校驗和法自我檢查功能,將文件正常狀態的校驗和寫入文件本身中,每當應用程序啟動時,比較現行校驗和與原校驗和值。實現應用程序的自檢測。
③將校驗和檢查程序常駐內存,每當應用程序開始運行時,自動比較檢查應用程序內部或別的文件中預先保存的校驗和。
校驗和法的優點是:方法簡單能發現未知病毒、被查文件的細微變化也能發現。其缺點是:發布通行記錄正常態的校驗和、會誤報警、不能識別病毒名稱、不能對付隱蔽型病毒。
行為監測法
利用病毒的特有行為特徵性來監測病毒的方法,稱為行吵局為監測法。通過對病毒多年的觀察、研究,有一些行為是病毒的共同行為,而且比較特殊。在正常程序中,這些行為比較罕見。當程序運行攔碰裂時,監視其行為,如果發現了病毒行為,立即報警。
這些做為監測病毒的行為特徵如下:
A.佔有INT 13H
所有的引導型病毒,都攻擊Boot扇區或主引導扇區。系統啟動時,當Boot扇區或主引導扇區獲得執行權時,系統剛剛開工。一般引導型病毒都會佔用INT
13H功能,因為其他系統功能未設置好,簡閉無法利用。引導型病毒占據INT 13H功能,在其中放置病毒所需的代碼。
B.改DOS系統為數據區的內存總量
病毒常駐內存後,為了防止DOS系統將其覆蓋,必須修改系統內存總量。
C.對COM、EXE文件做寫入動作
病毒要感染,必須寫COM、EXE文件。
D.病毒程序與宿主程序的切換
染毒程序運行中,先運行病毒,而後執行宿主程序。在兩者切換時,有許多特徵行為。
行為監測法的長處:可發現未知病毒、可相當准確地預報未知的多數病毒。行為監測法的短處:可能誤報警、不能識別病毒名稱、實現時有一定難度。
軟體模擬法
多態性病毒每次感染都變化其病毒密碼,對付這種病毒,特徵代碼法失效。因為多態性病毒代碼實施密碼化,而且每次所用密鑰不同,把染毒的病毒代碼相互比較,也無法找出相同的可能做為特徵的穩定代碼。雖然行為檢測法可以檢測多態性病毒,但是在檢測出病毒後,因為不知病毒的種類,難於做消毒處理。
最近的病毒,會發作一些時間之後..殺軟公司就會收集到這病毒程序..然後更新特徵庫..就是所謂的更新.. 這句話正確
C. 殺毒軟體是怎麼識別病毒的,它的原理是什麼
常用的反病毒軟體技術 特徵碼技術:基於對已知病毒分析、查解的反病毒技術 目前的大多數殺病毒軟體採用的方法主要是特徵碼查毒方案與人工解毒並行,亦即在查病毒時採用特徵碼查毒,在殺病毒時採用人工編制解毒代碼。 特徵碼查毒方案實際上是人工查毒經驗的簡單表述,它再現了人工辨識病毒的一般方法,採用了「同一病毒或同類病毒的某一部分肆山或代碼相同」的原理,也就是說,如果病毒及其變種、變形病毒具有同一性,則可以對這種同一性進行描述,並通過對程序體與描述結果(亦即「特徵碼」)進行比較來查找病毒。而並非所有病毒都可以描述其特徵碼,很多病毒都是難以描述甚至無法用特徵碼進行描述。使用特徵碼技術需要實現一些補充功能,例如近來的壓縮包、壓縮可執行文件自動查殺技術。 但是,特徵碼查毒方案也具有極大的局限性。特徵碼的描述取決於人的主觀因素,從長達數千位元組的病毒體中擷取十餘位元組的病毒特徵碼,需要對病毒進行跟蹤、反匯編以及其它分析,如果病毒本身具有反跟蹤技術和變形、解碼技術,那麼跟蹤和反匯編以獲取特徵碼的情況將變得極其復雜。此外,要擷取一個病毒的特徵碼,必然要獲取該病毒的樣本,再由於對特徵碼的描述各個不同,特徵碼方法在國際上很難得到廣域性支持。特徵碼查病毒主要的技術缺陷表現在較大的誤查和誤報上,而殺病毒技術又導致了反病毒軟體的技術遲滯。 虛擬機技術:啟發式探測未知病毒的反病毒技術 虛擬機技術的主要作用是能夠運行一定規則的描述語言。由於病毒的最終判定準則是其復制傳染性,而這個標準是不易被使用和實現的,如果病毒已經傳染了才判定是它是病毒,定會給病毒的清除帶來麻煩。 那麼檢查病毒用什麼方法呢?客觀地說,在各類病毒檢查方法中,特徵值方法是適用范圍最寬、速度最快、最簡單、最有效的方法。但由於其本身的缺陷問題,它只適用於已知病毒,對於未知病毒,如果能夠讓病毒在控制下先運行一段時間,讓其自己還原,那麼,裂伍問題就會相對明了。可以說,虛擬機是這種情況下的最佳選擇。 虛擬機在反病毒軟體中應用范圍廣,並成為目前反病毒軟體的一個趨勢。一個比較完整的虛擬機,不僅能夠識別新的未知病毒,而且能夠清除未知病毒,我們會發現這個反病毒工具不再是一個程序,而成為可以和卡斯帕羅夫抗衡的ibm深藍超級計算機。首先,虛擬機必須提供足夠的虛擬,以完成或將近完成病毒的「虛擬傳染」;其次,盡管根據病毒定義而確立的「傳染」標準是明確的,但是,這個標准假如能夠實施,它在判定病毒的標准上仍然會有問題;第三,假如上一步能夠通過,那麼,我們必須檢測並確認所謂「感染」的文件確實感染的就是這個病毒或其變形。 目前虛擬機的處理對象主要是文件型病毒。對於引導型病毒、word/excel宏病毒、木馬程序在理論上都是可以通過虛擬機來處理的,但目前的實現水平仍相距甚遠。就像病毒編碼變形使得傳統特徵值方法失效一樣,針對虛擬機的新病毒可以輕易使得虛擬機失效。雖然虛擬機也會在實踐中不斷得到發展。但是,pc的計算能力有限,反病毒軟體的製造成本也有限,而病毒的發展可以說是無限的。讓虛擬技術獲得更加實際的功效,甚至要以此為基礎來清除未知病毒,其難度相當大。 受病毒在理論上就是不可判定的這一根本前提的制約,事實上,無論是啟發式,亦或是虛擬機,都只能是一種工程學的努力,其成功的概率永遠不可唯宴達到100%。這是惟一的卻又是無可奈何的缺憾。 未來的反病毒技術: 虛擬現實 對於未來技術的展望可能只是一種近乎飄渺的幻想,但是就如同計算機病毒最初的描述出現在科幻小說里,雖然還有許許多多我們目前仍在實現卻仍未實現的技術,甚至還有許多我們根本未考慮到的因素。只要技術足夠成熟,網路世界中是完全有可能出現類似人工智慧的反病毒技術。 未來反病毒的疑難之一就是:我們永遠無法寫出一個合理的程序來辨識和查殺病毒。病毒掌握了人類所掌握的一切,它同樣能辨識和分析反毒程序,並對自身重新編程;而反毒程序要可能同樣地對病毒進行探測,再進行自編程。病毒與反毒程序的角逐就變成了自編程能力的實現,而這樣的結果只能導致網路空間緊張,甚至崩潰! 我們還可以考慮用另一種方式:人工進入計算網路世界的方法來查殺病毒。人有足夠的智能和經驗積累來完成對病毒的辨識和殺除,而這就只剩下建立人與計算機之間的「橋」的問題了。 目前的虛擬現實技術重點放在了對人與人的自 查看原帖>>
D. 殺毒軟體是如何判斷病毒(木馬)
殺毒軟體判斷者銀病毒木馬的方式如下:
特徵庫掃描法:檢查文件中是否存在與常見病毒相同的代碼。如果匹配,則說明存在病毒。由於該方法爛扒較慢,因此現在一般使用通配符掃描法進行代替。
雲掃描法:將可疑文件上傳到雲伺服器進行檢查。需要網路連接。
虛擬機脫殼法:使用虛擬機引擎首歷宴進行文件脫殼(僅支持部分殼類型)。脫殼後的文件將會進一步接受上兩種掃描方式的檢查。
E. 殺毒軟體靠什麼來識別病毒
現代的病毒層出不窮,更糟糕的是很多惡意軟體、病毒、木馬為了躲避殺毒軟體的查殺是加了花指令、加了殼、甚至修改了特叢納征碼(簡單點說就是通過各種手段偽裝)。
如果殺毒軟體茄純還停留在單憑特徵碼來殺毒,更有甚者(像以前見於媒體的"木X殺客")單憑文件名來判斷是否病毒,往往不能取到很好的效果,試想一下,稍微有點技術的木馬製作人都會對木馬文件易名的,更別說高手點的對木馬程序進行修改之類。
那,現代殺毒軟體還需要怎樣才能應對現代病毒呢?
首先當然要改進特徵碼判斷機制了,現在很多殺軟都使用多重特徵碼來判斷病毒,更有甚者針對病毒使用數據流技術來截獲病毒(例如金山).接著要有強大的脫殼能力,能應對加殼後的病毒。現在最熱的技術要數主動防範(主動防禦),通過對軟體危險行為的判斷和制止,及時阻止未能識別的顫鄭咐病毒進入系統……
F. 殺毒軟體是怎麼識別病毒的
這個問題答案可大可大了....
早期呢...殺軟是通過特徵碼殺毒,就是分析已經認定是病毒的程序,在反匯編里找出做壞事的代碼段...如果以後掃描到其他文件這樣代碼,就認定為病毒,殺之.(當然特徵代碼不止一小段,多重判斷)
後來呢,殺軟發現不對勁了...這樣殺軟的工作人員鴨梨很大,他們整天分析病毒可累可累了...然後就出現了啟發式殺毒,能對一些未知的病毒做出判斷,原理還是搜指對已有的病毒關鍵代陵磨碼分析,判斷其類型可能會出現的變種,殺之.
再後來呢,殺軟的技術人員不爽,他們要求減負,所以想尺漏斗出了行為查殺,在瘟都死里,任何程序的執行是靠API函數實現的,病毒的運行也不例外,殺軟在系統的最底層HOOK這些關鍵函數,比如執行函數..當一個程序運行時,它的所有操作會被殺軟截獲,比如一個木馬同時運行下載和運行的操作...即使這個木馬之前未出現過(即不會被特徵碼方式查殺),但是行為查殺依然會發現它的可疑行徑,殺之.
現在呢,有了雲查殺.....不打了...累死偶了...打這么多字...更多知識你感興趣自個上搜去吧....
G. 殺毒軟體是怎樣識別病毒的
以上很多朋友說特徵碼我覺得太籠統了。
現代的病毒層出不窮,更糟糕的是很多惡意軟體、病毒、木馬為了躲避殺毒軟體的查殺是加了花指令、加了殼、甚至修改了特徵碼(簡單點說就是通過各種手段偽裝)。
如果殺毒軟體還停留在單憑特徵碼來殺毒,更有甚者(像以前見於媒體的"木X殺客")單憑文件名來判斷是否病毒,往往不能取到很好的效果,試想一下,稍微有點技術的木馬製作人都會對木馬文件易名的,更別說高手點的對木馬程序進行修改之類。
那,現代殺毒軟體還需要怎樣才能應對現代病毒呢?
首先當然要改進特徵碼判斷機制了,現在很多殺軟都使用多重特徵碼來判斷病毒,更有甚者針對病毒使用數據流技術來截獲病毒(例如金山).接著要有強大的脫殼能力,能應對加殼後的病毒。現在最熱的技術要數主動防範(主動防禦),通過對軟體危險行為的判斷和制止,及時阻止未能識別的病毒進入系統……
本人才疏學淺,有不對的地方還望高手指教。
多逛些殺軟論壇可以很好了解這些東西
H. 殺毒軟體通過什麼判斷是否是病毒
殺毒軟體是根據文件中的一段代碼來判斷是否是病毒的。當然不一定一定準確,有很小很小的源塌幾率,剛好一個數據文件的部分代碼純裂租和病毒的特徵部分一致,這個就沒有辦法分出來了。有做兆時候會報錯。
I. 殺毒軟體是通過什麼方式來辨別程序是不是木馬或病毒的
樓主你好
是通過病毒庫和特徵,所以要經常升級病毒庫喲
推薦試試騰訊電腦管家,他的軟體升級、病毒庫更新、漏洞修復、垃圾清理等,都可以自動和定期喲,懶人必備
騰訊電腦管家是免費專業安全軟體,殺毒管理二合一(只用下載一個),占內存小,殺毒好,防護好,無誤報誤殺。電腦管家除了幫你殺毒查毒保護電腦以外。還可以幫你管理電腦、監測電腦動態、網路流量監控、垃圾清理、Q盤、開機加速等等,功能強大,齊全好用。
J. 殺毒軟體通過什麼形式來識別病毒的
病毒檢測的方法
在與病毒的對抗中,及早發現病毒很重要。早發現,早處置,可以減少損失。檢測病毒方法有:特徵代碼法、校驗和法、行為監測法、軟體模擬法
這些方法依據的原理不同,實現時所需開銷不同,檢測范圍不同,各有所長。
特徵代碼法
特徵代碼法被早期應用於SCAN、CPAV等著名病毒檢測工具中。國外專家認為特徵代碼法是檢測已知病毒的最簡單、開銷最小的方法。
特徵代碼法的實現步驟如下:
採集已知病毒樣本,病毒如果既感染COM文件,又感染EXE文件,對這種病毒要同時採集COM型病毒樣本和EXE型病毒樣本。
在病毒樣本中,抽取特徵代碼。依據如下原則:
抽取的代碼比較特殊,不大可能與普通正常程序代碼吻合。抽取的代碼要有適當長度,一方面維持特徵代碼的唯一性,另一方面又不要有太大的空間與時間的開銷。如果一種病毒的特徵代碼增長一位元組,要檢測3000種病毒,增加的空間就是3000位元組。在保持唯一性的前提下,盡量使特徵代碼長度短些,以減少空間與時間開銷。
在既感染COM文件又感染EXE文件的病毒樣本中,要抽取兩種樣本共有的代碼。將特徵代碼皮此余納入病毒資料庫。
打開被檢測文件,在文件中搜索,檢查文件中是否含有病毒資料庫中的病毒特徵代碼。如果發現病毒特徵代碼,由於特徵代碼與病毒一一對應,便可以斷定,被查文件中患有何種病毒。
採用病毒特徵代碼法的檢測工具,面對不斷出現的新病毒,必須不斷更新版本,否則檢測工具便會老化,逐漸失去實用價值。病毒特徵代碼法對從未見過的新病毒,自然無法知道其特徵代碼,因而無法去檢測這些新病毒。
特徵扒悄代碼法的優點是:檢測准確快速、可識別病毒的名稱、誤報警率低、依據檢測結果,可做解毒處理。其缺點是:不能檢測未知病毒、搜集已知病毒的特徵代碼,費用開銷大、在網路上效率低(在網路伺服器上,因長時間檢索會使整個網路性能變壞)。
其特點:
A.速度慢。隨著病毒種類的增多,檢索時間變長。如果檢索5000種病毒,必須對5000個病毒特徵代碼逐一檢查。如果病毒種數再增加,檢病毒的時間開銷就變得十分可觀。此類工具檢測的高速性,將變得日益困難。
B.誤報警率低。
非C.不能檢查多形性病毒。特徵代碼法是不可能檢測多態性病毒的。國外專家認為多燃滾態性病毒是病毒特徵代碼法的索命者。
D.不能對付隱蔽性病毒。隱蔽性病毒如果先進駐內存,後運行病毒檢測工具,隱蔽性病毒能先於檢測工具,將被查文件中的病毒代碼剝去,檢測工具的確是在檢查一個虛假的「好文件」,而不能報警,被隱蔽性病毒所蒙騙。
校驗和法
將正常文件的內容,計算其校驗和,將該校驗和寫入文件中或寫入別的文件中保存。在文件使用過程中,定期地或每次使用文件前,檢查文件現在內容算出的校驗和與原來保存的校驗和是否一致,因而可以發現文件是否感染,這種方法叫校驗和法,它既可發現已知病毒又可發現未知病毒。在SCAN和CPAV工具的後期版本中除了病毒特徵代碼法之外,還納入校驗和法,以提高其檢測能力。
這種方法既能發現已知病毒,也能發現未知病毒,但是,它不能識別病毒類,不能報出病毒名稱。由於病毒感染並非文件內容改變的唯一的非他性原因,文件內容的改變有可能是正常程序引起的,所以校驗和法常常誤報警。而且此種方法也會影響文件的運行速度。
病毒感染的確會引起文件內容變化,但是校驗和法對文件內容的變化太敏感,又不能區分正常程序引起的變動,而頻繁報警。用監視文件的校驗和來檢測病毒,不是最好的方法。
這種方法遇到下述情況:已有軟體版更新、變更口令、修改運行參數、校驗和法都會誤報警。
校驗和法對隱蔽性病毒無效。隱蔽性病毒進駐內存後,會自動剝去染毒程序中的病毒代碼,使校驗和法受騙,對一個有毒文件算出正常校驗和。
運用校驗和法查病毒採用三種方式:
①在檢測病毒工具中納入校驗和法,對被查的對象文件計算其正常狀態的校驗和,將校驗和值寫入被查文件中或檢測工具中,而後進行比較。
②在應用程序中,放入校驗和法自我檢查功能,將文件正常狀態的校驗和寫入文件本身中,每當應用程序啟動時,比較現行校驗和與原校驗和值。實現應用程序的自檢測。
③將校驗和檢查程序常駐內存,每當應用程序開始運行時,自動比較檢查應用程序內部或別的文件中預先保存的校驗和。
校驗和法的優點是:方法簡單能發現未知病毒、被查文件的細微變化也能發現。其缺點是:發布通行記錄正常態的校驗和、會誤報警、不能識別病毒名稱、不能對付隱蔽型病毒。
行為監測法
利用病毒的特有行為特徵性來監測病毒的方法,稱為行為監測法。通過對病毒多年的觀察、研究,有一些行為是病毒的共同行為,而且比較特殊。在正常程序中,這些行為比較罕見。當程序運行時,監視其行為,如果發現了病毒行為,立即報警。
這些做為監測病毒的行為特徵如下:
A.佔有INT 13H
所有的引導型病毒,都攻擊Boot扇區或主引導扇區。系統啟動時,當Boot扇區或主引導扇區獲得執行權時,系統剛剛開工。一般引導型病毒都會佔用INT 13H功能,因為其他系統功能未設置好,無法利用。引導型病毒占據INT 13H功能,在其中放置病毒所需的代碼。
B.改DOS系統為數據區的內存總量
病毒常駐內存後,為了防止DOS系統將其覆蓋,必須修改系統內存總量。
C.對COM、EXE文件做寫入動作
病毒要感染,必須寫COM、EXE文件。
D.病毒程序與宿主程序的切換
染毒程序運行中,先運行病毒,而後執行宿主程序。在兩者切換時,有許多特徵行為。
行為監測法的長處:可發現未知病毒、可相當准確地預報未知的多數病毒。行為監測法的短處:可能誤報警、不能識別病毒名稱、實現時有一定難度。
軟體模擬法
多態性病毒每次感染都變化其病毒密碼,對付這種病毒,特徵代碼法失效。因為多態性病毒代碼實施密碼化,而且每次所用密鑰不同,把染毒的病毒代碼相互比較,也無法找出相同的可能做為特徵的穩定代碼。雖然行為檢測法可以檢測多態性病毒,但是在檢測出病毒後,因為不知病毒的種類,難於做消毒處理。
計算機病毒的防治策略
計算機病毒的防治要從防毒、查毒、解毒三方面來進行;系統對於計算機病毒的實際防治能力和效果也要從防毒能力、查毒能力和解毒能力三方面來評判。
「防毒」是指根據系統特性,採取相應的系統安全措施預防病毒侵入計算機。「查毒」是指對於確定的環境,能夠准確地報出病毒名稱,該環境包括,內存、文件、引導區(含主導區)、網路等。「解毒」是指根據不同類型病毒對感染對象的修改,並按照病毒的感染特性所進行的恢復。該恢復過程不能破壞未被病毒修改的內容。感染對象包括:內存、引導區(含主引導區)、可執行文件、文檔文件、網路等。
防毒能力是指預防病毒侵入計算機系統的能力。通過採取防毒措施,應可以准確地、實時地監測預警經由光碟、軟盤、硬碟不同目錄之間、區域網、網際網路(包括FTP方式、E-MAIL、HTTP方式)或其它形式的文件下載等多種方式進行的傳輸;能夠在病毒侵入系統是發出警報,記錄攜帶病毒的文件,即時清除其中的病毒;對網路而言,能夠向網路管理員發送關於病毒入侵的信息,記錄病毒入侵的工作站,必要時還要能夠注銷工作站,隔離病毒源。
查毒能力是指發現和追蹤病毒來源的能力。通過查毒應該能准確地發現計算機系統是否感染有病毒,並准確查找出病毒的來源,並能給出統計報告;查解病毒的能力應由查毒率和誤報率來評判。
解毒能力是指從感染對象中清除病毒,恢復被病毒感染前的原始信息的能力;解毒能力應用解毒率來評判。