殺毒軟體是如何工作的

A. 殺毒程序是如何進行殺毒的

一個殺毒軟體無異於一個信息分析的系統，當它發現某些信息被感染後，就會清除其中的病毒。
假設信息是在「源系統」中，必須到達「目標系統」。這里所稱的源系統可以是一個軟盤，目標系統可能是計算機的硬碟，或者源系統是存儲在ISP的一條消息，而目的系統是客戶端計算機上基於Winsock協議的Windows通訊系統。
信息解釋系統依據操作系統、應用程序或者是否需要特殊的機制等因素的不同是有區別的，該解釋機制必須明確對應殺毒軟體所要作用的操作系統或組件。例如：在Windows
9X系統中，需要採用一個虛擬驅動程序VxD來不斷監控磁碟的行為。通過這種方式，每當硬碟或者軟盤中的信息被存取時，殺毒軟體就會截取對該磁碟的讀寫操作，並掃描將要讀取或保存的信息。此種操作在Windows
NT/2000/XP中是通過內核模式中的一個驅動來實現的，而在Novell中，磁碟活動的解釋是通過一個NLM模塊實現的。對於那些為某些特殊應用而設計（而非為某個操作系統設計）的殺毒軟體，其解釋機制和上面所介紹的是不同的。例如，對於支持CVP防火牆的殺毒軟體，是由防火牆通過CVP協議來為殺毒軟體傳遞需要掃描的信息；而對於支持Sendmail的殺毒軟體，
MilterAPI過濾器為信息的解釋提供了便利。某些時候，解釋機制既不是由殺毒軟體提供（如VxD虛擬驅動），也不是由某種應用提供（如CVP
協議）。在這種情況下，必須採用介乎於應用和殺毒軟體之間的一種特殊的解釋機制。換句話說，通過某種資源來解釋信息並將其傳送給殺毒軟體，這些資源和殺毒軟體之間是一種緊密集成的關系，這樣有助於殺毒軟體清除病毒。
無論採用何種方式，一旦在掃描信息的過程中檢測到一種威脅（病毒），將會採取兩種措施：
1.
清除干凈的信息將會返回給解釋機制，然後再由該解釋機制返回給原來的系統以便於它能夠繼續到達其最終目的地。這意味著如果接收到一封電子郵件，該郵件仍然會被允許到達其目的郵箱；如果是復制一個文件，復制過程將仍然會被允許正常進行直至結束。
2.
會向用戶界面發送一個警告，該用戶界面可能是多種多樣的。對於工作站端的殺毒軟體，將會在屏幕上顯示一條信息，但是對於針對伺服器的殺毒模塊，警告將會以電子郵件、內部網路消息、病毒報告中的一條記錄或者傳遞給殺毒軟體管理工具的某種消息的形式發送。
殺毒程序能夠提供高級的防護、阻止任何帶給用戶的特別「驚奇」。這就象往某個盒子中投入XXX元錢以獲得心靈上的平安那麼簡單

B. 殺毒軟體的工作原理

殺毒軟體的任務是實時監控和掃描磁碟。部分殺毒軟體通過在系統添加驅動程序的方式，進駐系統，並且隨操作系統啟動。大部分的殺毒軟體還具有防火牆功能。
殺毒軟體的實時監控方式因軟體而異。有的殺毒軟體，是通過在內存里劃分一部分空間，將電腦里流過內存的數據與殺毒軟體自身所帶的病毒庫（包含病毒定義）的特徵碼相比較，以判斷是否為病毒。另一些殺毒軟體則在所劃分到的內存空間裡面，虛擬執行系統或用戶提交的程序，根據其行為或結果作出判斷。
而掃描磁碟的方式，則和上面提到的實時監控的第一種工作方式一樣，只是在這里，殺毒軟體將會將磁碟上所有的文件（或者用戶自定義的掃描范圍內的文件）做一次檢查。
另外，殺毒軟體的設計還涉及很多其他方面的技術。
脫殼技術，即是對壓縮文件和封裝好的文件作分析檢查的技術。
自身保護技術，避免病毒程序殺死自身進程。
修復技術，對被病毒損壞的文件進行修復的技術。
有待改進的方面
殺毒軟體有待改進的方面有:
更加智能識別未知病毒
查到病毒後，能夠徹底清除病毒
保護自身。目前有些病毒，能夠殺死殺毒軟體的進程，再繼續破壞
防盜版技術（部分免費殺毒軟體不存在此問題）
虛擬機技術。

C. 電腦殺毒軟體工作原理是什麼

殺毒軟體有好幾種工作方式的，代數也有好幾代：

第一代反病毒技術是採取單純的病毒特徵判斷，將病毒從帶毒文件中清除掉。這種方式可以准確地清除病毒，可靠性很高。後來病毒技術發展了，特別是加密和變形技術的運用，使得這種簡單的靜態掃描方式失去了作用。隨之而來的反病毒技術也發展了一步。

第二代反病毒技術是採用靜態廣譜特徵掃描方法檢測病毒，這種方式可以更多地檢測出變形病毒，但另一方面誤報率也提高，尤其是用這種不嚴格的特徵判定方式去清除病毒帶來的風險性很大，容易造成文件和數據的破壞。所以說靜態防病毒技術也有難以克服的缺陷。

第三代反病毒技術的主要特點是將靜態掃描技術和動態模擬跟蹤技術結合起來，將查找病毒和清除病毒合二為一，形成一個整體解決方案，能夠全面實現防、查、消等反病毒所必備的各種手段，以駐留內存方式防止病毒的入侵，凡是檢測到的病毒都能清除，不會破壞文件和數據。隨著病毒數量的增加和新型病毒技術的發展，靜態掃描技術將會使查毒軟體速度降低，駐留內存防毒模塊容易產生誤報。

第四代反病毒技術則是針對計算機病毒的發展而基於病毒家族體系的命名規則、基於多 位CRC校驗和掃描機理，啟發式智能代碼分析模塊、動態數據還原模塊（能查出隱蔽性極強的壓縮加密文件中的病毒）、內存解毒模塊、自身免疫模塊等先進的解毒技術，較好的解決了以前防毒技術顧此失彼、此消彼長的狀態。

由於很多新手對安全問題了解不多，所以並不知道自己的計算機中了「木馬」該怎麼樣清除。雖然現在市面上有很多新版殺毒軟體都可以自動清除「木馬」，但它們並不能防範新出現的「木馬」程序，因此最關鍵的還是要知道「木馬」的工作原理，這樣就會很容易發現「木馬」。相信你看了這篇文章之後，就會成為一名查殺「木馬」的高手了。

「木馬」程序會想盡一切辦法隱藏自己，主要途徑有：在任務欄中隱藏自己，這是最基本的只要把Form的Visible屬性設為False、ShowInTaskBar設為False，程序運行時就不會出現在任務欄中了。在任務管理器中隱形：將程序設為「系統服務」可以很輕松地偽裝自己。

當然它也會悄無聲息地啟動，你當然不會指望用戶每次啟動後點擊「木馬」圖標來運行服務端，，「木馬」會在每次用戶啟動時自動裝載服務端，Windows系統啟動時自動載入應用程序的方法，「木馬」都會用上，如：啟動組、win.ini、system.ini、注冊表等等都是「木馬」藏身的好地方。下面具體談談「木馬」是怎樣自動載入的。

在win.ini文件中，在[WINDOWS]下面，「run=」和「load=」是可能載入「木馬」程序的途徑，必須仔細留心它們。一般情況下，它們的等號後面什麼都沒有，如果發現後面跟有路徑與文件名不是你熟悉的啟動文件，你的計算機就可能中上「木馬」了。當然你也得看清楚，因為好多「木馬」，如「AOL Trojan木馬」，它把自身偽裝成command.exe文件，如果不注意可能不會發現它不是真正的系統啟動文件。

在system.ini文件中，在[BOOT]下面有個「shell=文件名」。正確的文件名應該是「explorer.exe」，如果不是「explorer.exe」，而是「shell= explorer.exe 程序名」，那麼後面跟著的那個程序就是「木馬」程序，就是說你已經中「木馬」了。

在注冊表中的情況最復雜，通過regedit命令打開注冊表編輯器，在點擊至：「HKEY－LOCAL－」目錄下，查看鍵值中有沒有自己不熟悉的自動啟動文件，擴展名為EXE，這里切記：有的「木馬」程序生成的文件很像系統自身文件，想通過偽裝矇混過關，如「Acid Battery v1.0木馬」，它將注冊表「HKEY－LOCAL－」下的Explorer 鍵值改為Explorer=「C:WINDOWSexpiorer.exe」，「木馬」程序與真正的Explorer之間只有「i」與「l」的差別。當然在注冊表中還有很多地方都可以隱藏「木馬」程序，如：「HKEY－CURRENT－」、「HKEY－USERS＊＊＊＊」的目錄下都有可能，最好的辦法就是在「HKEY－LOCAL－」下找到「木馬」程序的文件名，再在整個注冊表中搜索即可。

知道了「木馬」的工作原理，查殺「木馬」就變得很容易，如果發現有「木馬」存在，最安全也是最有效的方法就是馬上將計算機與網路斷開，防止黑客通過網路對你進行攻擊。然後編輯win.ini文件，將[WINDOWS]下面，「run=「木馬」程序」或「load=「木馬」程序」更改為「run=」和「load=」；編輯system.ini文件，將[BOOT]下面的「shell=『木馬』文件」，更改為：「shell=explorer.exe」；在注冊表中，用regedit對注冊表進行編輯，先在「HKEY－LOCAL－」下找到「木馬」程序的文件名，再在整個注冊表中搜索並替換掉「木馬」程序，有時候還需注意的是：有的「木馬」程序並不是直接將「HKEY－LOCAL－」下的「木馬」鍵值刪除就行了，因為有的「木馬」如：BladeRunner「木馬」，如果你刪除它，「木馬」會立即自動加上，你需要的是記下「木馬」的名字與目錄，然後退回到MS－DOS下，找到此「木馬」文件並刪除掉。重新啟動計算機，然後再到注冊表中將所有「木馬」文件的鍵值刪除。

D. 殺毒軟體工作原理

殺毒軟體有好幾種工作方式的，代數也有好幾代：
第一代反病毒技術是採取單純的病毒特徵判斷，將病毒從帶毒文件中清除掉。這種方式可以准確地清除病毒，可靠性很高。後來病毒技術發展了，特別是加密和變形技術的運用，使得這種簡單的靜態掃描方式失去了作用。隨之而來的反病毒技術也發展了一步。

第二代反病毒技術是採用靜態廣譜特徵掃描方法檢測病毒，這種方式可以更多地檢測出變形病毒，但另一方面誤報率也提高，尤其是用這種不嚴格的特徵判定方式去清除病毒帶來的風險性很大，容易造成文件和數據的破壞。所以說靜態防病毒技術也有難以克服的缺陷。

第三代反病毒技術的主要特點是將靜態掃描技術和動態模擬跟蹤技術結合起來，將查找病毒和清除病毒合二為一，形成一個整體解決方案，能夠全面實現防、查、消等反病毒所必備的各種手段，以駐留內存方式防止病毒的入侵，凡是檢測到的病毒都能清除，不會破壞文件和數據。隨著病毒數量的增加和新型病毒技術的發展，靜態掃描技術將會使查毒軟體速度降低，駐留內存防毒模塊容易產生誤報。

第四代反病毒技術則是針對計算機病毒的發展而基於病毒家族體系的命名規則、基於多 位CRC校驗和掃描機理，啟發式智能代碼分析模塊、動態數據還原模塊（能查出隱蔽性極強的壓縮加密文件中的病毒）、內存解毒模塊、自身免疫模塊等先進的解毒技術，較好的解決了以前防毒技術顧此失彼、此消彼長的狀態。

E. 殺毒軟體的原理是什麼

工作原理是部分殺毒軟體是在內存里劃分一部分空間，將計算機中流過內存的數據與殺毒軟體自身所帶的病毒庫（包含病毒定義）的特徵碼相比較，以判斷是否為病毒；另一部分殺毒軟體在所劃分到的內存空間里，虛擬執行系統或用戶提交的程序，根據其行為或結果作出判斷。 殺毒軟體會生成現有主機操作系統的全新虛擬鏡像，該鏡像具有真實操作系統完全一致的功能。桌面虛擬化技術具有獨立分擋操作系統壓力，通過該技術實現運行過程中垃圾文件為零的目標，同時生成的虛擬環境與主機操作系統完全隔離，保護主機不被病毒感染，減少了系統被破壞的概率。

一個殺毒軟體的構造的復雜程度要遠遠高於木馬或病毒，所以其原理也比較復雜。而且鑒於現在木馬病毒越來越向系統底層發展，殺毒軟體的編譯技術也在不斷向系統底層靠近。例如現在的「主動防禦」技術，就是應用RING0層的編譯技巧。這里我簡單為大家介紹一下基本構成。 一個殺毒軟體一般由掃描器、病毒庫與虛擬機組成，並由主程序將他們結為一體，如圖1。 掃描器是殺毒軟體的核心，用於發現病毒，一個殺毒軟體的殺毒效果好壞就直接取決於它的掃描器編譯技術與演算法是否先進，而且殺毒軟體不同的功能往往對應著不同的掃描器，也就是說，大多數殺毒軟體都是由多個掃描器組成的。而病毒庫存儲的特徵碼形式則取決於掃描器採用哪種掃描技術。它裡面存儲著很多病毒所具有的獨一無二的特徵字元，我們稱之為「特徵碼」。特徵碼總的分來只有兩個，文件特徵碼與內存特徵碼。文件特徵碼存在於一些未執行的文件里，例如EXE文件、RMVB文件、jpg文件甚至是txt文件中都有可能存在文件特徵碼，也都有可能被查殺。而內存特徵碼僅僅存在於內存中已運行的應用程序。而虛擬機則是最近引進的概念，它可以使病毒在一個由殺毒軟體構建的虛擬環境中執行，與現實的CPU、硬碟等完全隔離，從而可以更加深入的檢測文件的安全性。 簡單的說，殺毒軟體的原理就是匹配特徵碼。當掃描得到一個文件時，殺毒軟體會檢測這個文件里是否包含病毒庫里所包含的特徵碼，如果有，則報毒病查殺，如果沒有，縱然這個文件確實是一個病毒，它也會把它當作正常文件來看待。 我覺得騰訊電腦管家就是最好的殺毒軟體了二、基於文件掃描的殺毒技術 基於文件的殺毒技術可以分為「第一代掃描技術」、「第二代掃描技術」與「演算法掃描」這三種方法，對於免殺愛好者來說，要對每一種方法爛熟於心，才能成為高手！但做為一個初學者來說了解一下即可。這里我們就簡單介紹一下其中兩種種方法，詳細的技術原理如果各位得這有興趣的話可以自己研究。

F. 殺毒軟體的工作原理是什麼

殺毒軟體的任務是實時監控和掃描磁碟。部分殺毒軟體通過在系統添加驅動程序的方式，進駐系統，並且隨操作系統啟動。大部分的殺毒軟體還具有防火牆功能。
殺毒軟體的實時監控方式因軟體而異。有的殺毒軟體，是通過在內存里劃分一部分空間，將電腦里流過內存的數據與殺毒軟體自身所帶的病毒庫（包含病毒定義）的特徵碼相比較，以判斷是否為病毒。另一些殺毒軟體則在所劃分到的內存空間裡面，虛擬執行系統或用戶提交的程序，根據其行為或結果作出判斷。
而掃描磁碟的方式，則和上面提到的實時監控的第一種工作方式一樣，只是在這里，殺毒軟體將會將磁碟上所有的文件（或者用戶自定義的掃描范圍內的文件）做一次檢查。
另外，殺毒軟體的設計還涉及很多其他方面的技術。
脫殼技術，即是對壓縮文件和封裝好的文件作分析檢查的技術。
自身保護技術，避免病毒程序殺死自身進程。
修復技術，對被病毒損壞的文件進行修復的技術。
有待改進的方面
殺毒軟體有待改進的方面有:
更加智能識別未知病毒
查到病毒後，能夠徹底清除病毒
保護自身。目前有些病毒，能夠殺死殺毒軟體的進程，再繼續破壞
防盜版技術（部分免費殺毒軟體不存在此問題）
虛擬機技術。
參考資料：http://ke..com/view/33433.html

G. 殺毒軟體什麼工作原理

殺毒軟體是根據什麼來進行病毒判斷並查殺得呢？

病毒檢測的方法

在與病毒的對抗中，及早發現病毒很重要。早發現，早處置，可以減少損失。檢測病毒方法有：特徵代碼法、校驗和法、行為監測法、軟體模擬法

這些方法依據的原理不同，實現時所需開銷不同，檢測范圍不同，各有所長。

特徵代碼法

特徵代碼法被早期應用於SCAN、CPAV等著名病毒檢測工具中。國外專家認為特徵代碼法是檢測已知病毒的最簡單、開銷最小的方法。

特徵代碼法的實現步驟如下：

採集已知病毒樣本，病毒如果既感染COM文件，又感染EXE文件，對這種病毒要同時採集COM型病毒樣本和EXE型病毒樣本。

在病毒樣本中，抽取特徵代碼。依據如下原則：

抽取的代碼比較特殊，不大可能與普通正常程序代碼吻合。抽取的代碼要有適當長度，一方面維持特徵代碼的唯一性，另一方面又不要有太大的空間與時間的開銷。如果一種病毒的特徵代碼增長一位元組，要檢測3000種病毒，增加的空間就是3000位元組。在保持唯一性的前提下，盡量使特徵代碼長度短些，以減少空間與時間開銷。

在既感染COM文件又感染EXE文件的病毒樣本中，要抽取兩種樣本共有的代碼。將特徵代碼納入病毒資料庫。

打開被檢測文件，在文件中搜索，檢查文件中是否含有病毒資料庫中的病毒特徵代碼。如果發現病毒特徵代碼，由於特徵代碼與病毒一一對應，便可以斷定，被查文件中患有何種病毒。

採用病毒特徵代碼法的檢測工具，面對不斷出現的新病毒，必須不斷更新版本，否則檢測工具便會老化，逐漸失去實用價值。病毒特徵代碼法對從未見過的新病毒，自然無法知道其特徵代碼，因而無法去檢測這些新病毒。

特徵代碼法的優點是：檢測准確快速、可識別病毒的名稱、誤報警率低、依據檢測結果，可做解毒處理。其缺點是：不能檢測未知病毒、搜集已知病毒的特徵代碼，費用開銷大、在網路上效率低（在網路伺服器上，因長時間檢索會使整個網路性能變壞）。

其特點：

A.速度慢。隨著病毒種類的增多，檢索時間變長。如果檢索5000種病毒，必須對5000個病毒特徵代碼逐一檢查。如果病毒種數再增加，檢病毒的時間開銷就變得十分可觀。此類工具檢測的高速性，將變得日益困難。

B.誤報警率低。

非C.不能檢查多形性病毒。特徵代碼法是不可能檢測多態性病毒的。國外專家認為多態性病毒是病毒特徵代碼法的索命者。

D.不能對付隱蔽性病毒。隱蔽性病毒如果先進駐內存，後運行病毒檢測工具，隱蔽性病毒能先於檢測工具，將被查文件中的病毒代碼剝去，檢測工具的確是在檢查一個虛假的「好文件」，而不能報警，被隱蔽性病毒所蒙騙。

校驗和法

將正常文件的內容，計算其校驗和，將該校驗和寫入文件中或寫入別的文件中保存。在文件使用過程中，定期地或每次使用文件前，檢查文件現在內容算出的校驗和與原來保存的校驗和是否一致，因而可以發現文件是否感染，這種方法叫校驗和法，它既可發現已知病毒又可發現未知病毒。在SCAN和CPAV工具的後期版本中除了病毒特徵代碼法之外，還納入校驗和法，以提高其檢測能力。

這種方法既能發現已知病毒，也能發現未知病毒，但是，它不能識別病毒類，不能報出病毒名稱。由於病毒感染並非文件內容改變的唯一的非他性原因，文件內容的改變有可能是正常程序引起的，所以校驗和法常常誤報警。而且此種方法也會影響文件的運行速度。

病毒感染的確會引起文件內容變化，但是校驗和法對文件內容的變化太敏感，又不能區分正常程序引起的變動，而頻繁報警。用監視文件的校驗和來檢測病毒，不是最好的方法。

這種方法遇到下述情況：已有軟體版更新、變更口令、修改運行參數、校驗和法都會誤報警。

校驗和法對隱蔽性病毒無效。隱蔽性病毒進駐內存後，會自動剝去染毒程序中的病毒代碼，使校驗和法受騙，對一個有毒文件算出正常校驗和。

運用校驗和法查病毒採用三種方式：

①在檢測病毒工具中納入校驗和法，對被查的對象文件計算其正常狀態的校驗和，將校驗和值寫入被查文件中或檢測工具中，而後進行比較。

②在應用程序中，放入校驗和法自我檢查功能，將文件正常狀態的校驗和寫入文件本身中，每當應用程序啟動時，比較現行校驗和與原校驗和值。實現應用程序的自檢測。

③將校驗和檢查程序常駐內存，每當應用程序開始運行時，自動比較檢查應用程序內部或別的文件中預先保存的校驗和。

校驗和法的優點是：方法簡單能發現未知病毒、被查文件的細微變化也能發現。其缺點是：發布通行記錄正常態的校驗和、會誤報警、不能識別病毒名稱、不能對付隱蔽型病毒。

行為監測法

利用病毒的特有行為特徵性來監測病毒的方法，稱為行為監測法。通過對病毒多年的觀察、研究，有一些行為是病毒的共同行為，而且比較特殊。在正常程序中，這些行為比較罕見。當程序運行時，監視其行為，如果發現了病毒行為，立即報警。

這些做為監測病毒的行為特徵如下：

A.佔有INT 13H

所有的引導型病毒，都攻擊Boot扇區或主引導扇區。系統啟動時，當Boot扇區或主引導扇區獲得執行權時，系統剛剛開工。一般引導型病毒都會佔用INT 13H功能，因為其他系統功能未設置好，無法利用。引導型病毒占據INT 13H功能，在其中放置病毒所需的代碼。

B.改DOS系統為數據區的內存總量

病毒常駐內存後，為了防止DOS系統將其覆蓋，必須修改系統內存總量。

C.對COM、EXE文件做寫入動作

病毒要感染，必須寫COM、EXE文件。

D.病毒程序與宿主程序的切換

染毒程序運行中，先運行病毒，而後執行宿主程序。在兩者切換時，有許多特徵行為。

行為監測法的長處：可發現未知病毒、可相當准確地預報未知的多數病毒。行為監測法的短處：可能誤報警、不能識別病毒名稱、實現時有一定難度。

軟體模擬法

多態性病毒每次感染都變化其病毒密碼，對付這種病毒，特徵代碼法失效。因為多態性病毒代碼實施密碼化，而且每次所用密鑰不同，把染毒的病毒代碼相互比較，也無法找出相同的可能做為特徵的穩定代碼。雖然行為檢測法可以檢測多態性病毒，但是在檢測出病毒後，因為不知病毒的種類，難於做消毒處理。

計算機病毒的防治策略

計算機病毒的防治要從防毒、查毒、解毒三方面來進行；系統對於計算機病毒的實際防治能力和效果也要從防毒能力、查毒能力和解毒能力三方面來評判。

「防毒」是指根據系統特性，採取相應的系統安全措施預防病毒侵入計算機。「查毒」是指對於確定的環境，能夠准確地報出病毒名稱，該環境包括，內存、文件、引導區（含主導區）、網路等。「解毒」是指根據不同類型病毒對感染對象的修改，並按照病毒的感染特性所進行的恢復。該恢復過程不能破壞未被病毒修改的內容。感染對象包括：內存、引導區（含主引導區）、可執行文件、文檔文件、網路等。

防毒能力是指預防病毒侵入計算機系統的能力。通過採取防毒措施，應可以准確地、實時地監測預警經由光碟、軟盤、硬碟不同目錄之間、區域網、網際網路（包括FTP方式、E-MAIL、HTTP方式）或其它形式的文件下載等多種方式進行的傳輸；能夠在病毒侵入系統是發出警報，記錄攜帶病毒的文件，即時清除其中的病毒；對網路而言，能夠向網路管理員發送關於病毒入侵的信息，記錄病毒入侵的工作站，必要時還要能夠注銷工作站，隔離病毒源。

查毒能力是指發現和追蹤病毒來源的能力。通過查毒應該能准確地發現計算機系統是否感染有病毒，並准確查找出病毒的來源，並能給出統計報告；查解病毒的能力應由查毒率和誤報率來評判。

解毒能力是指從感染對象中清除病毒，恢復被病毒感染前的原始信息的能力；解毒能力應用解毒率來評判。

H. 殺毒軟體的工作原理是什麼

一個殺毒軟體無異於一個信息分析的系統，當它發現某些信息被感染後，就會清除其中的病毒。 假設信息是在「源系統」中，必須到達「目標系統」。這里所稱的源系統可以是一個軟盤，目標系統可能是計算機的硬碟，或者源系統是存儲在ISP的一條消息，而目的系統是客戶端計算機上基於Winsock協議的Windows通訊系統。 信息解釋系統依據操作系統、應用程序或者是否需要特殊的機制等因素的不同是有區別的，該解釋機制必須明確對應殺毒軟體所要作用的操作系統或組件。例如：在Windows 9X系統中，需要採用一個虛擬驅動程序VxD來不斷監控磁碟的行為。通過這種方式，每當硬碟或者軟盤中的信息被存取時，殺毒軟體就會截取對該磁碟的讀寫操作，並掃描將要讀取或保存的信息。此種操作在Windows NT/2000/XP中是通過內核模式中的一個驅動來實現的，而在Novell中，磁碟活動的解釋是通過一個NLM模塊實現的。對於那些為某些特殊應用而設計（而非為某個操作系統設計）的殺毒軟體，其解釋機制和上面所介紹的是不同的。例如，對於支持CVP防火牆的殺毒軟體，是由防火牆通過CVP協議來為殺毒軟體傳遞需要掃描的信息；而對於支持Sendmail的殺毒軟體， MilterAPI過濾器為信息的解釋提供了便利。某些時候，解釋機制既不是由殺毒軟體提供（如VxD虛擬驅動），也不是由某種應用提供（如CVP 協議）。在這種情況下，必須採用介乎於應用和殺毒軟體之間的一種特殊的解釋機制。換句話說，通過某種資源來解釋信息並將其傳送給殺毒軟體，這些資源和殺毒軟體之間是一種緊密集成的關系，這樣有助於殺毒軟體清除病毒。 無論採用何種方式，一旦在掃描信息的過程中檢測到一種威脅（病毒），將會採取兩種措施： 1. 清除干凈的信息將會返回給解釋機制，然後再由該解釋機制返回給原來的系統以便於它能夠繼續到達其最終目的地。這意味著如果接收到一封電子郵件，該郵件仍然會被允許到達其目的郵箱；如果是復制一個文件，復制過程將仍然會被允許正常進行直至結束。 2. 會向用戶界面發送一個警告，該用戶界面可能是多種多樣的。對於工作站端的殺毒軟體，將會在屏幕上顯示一條信息，但是對於針對伺服器的殺毒模塊，警告將會以電子郵件、內部網路消息、病毒報告中的一條記錄或者傳遞給殺毒軟體管理工具的某種消息的形式發送。殺毒程序能夠提供高級的防護、阻止任何帶給用戶的特別「驚奇」。這就象往某個盒子中投入XXX元錢以獲得心靈上的平安那麼簡單。 掃描引擎 無論需要掃描的信息是如何獲得的，對於殺毒軟體而言最重要的特徵就是：病毒掃描引擎。該引擎掃描它所截取的數據以查看其中是否包含病毒，如果有病毒就會將其清除。 信息的掃描通常通過兩種方式進行：一種是將掃描信息與病毒資料庫（即所謂的「病毒特徵庫」）進行對照，如果信息與其中的任何一個病毒特徵符合，殺毒軟體就會判斷此文件被病毒感染。 但是對於某些新的病毒或危險信息，在病毒資料庫中並沒有它們的特徵，此時通過一種稱為「啟發式掃描」的方法有可能將其檢測出來。該方法是通過分析信息的行為並將其與一個危險行為樣式庫進行對照以判別信息的危險性。 例如，如果某個文件試圖格式化檢測到的硬碟，殺毒軟體就會警告該用戶。盡管該文件也許是用戶剛剛安裝在系統中的一個新的格式化程序而不是病毒，但是該行為是危險的。一旦殺毒軟體通過聲音向用戶發出警告，接下來就由用戶來判斷是否要採取這種危險的操作了。 以上兩種方法各有優缺點。如果僅採用病毒特徵庫系統，那麼至少每天更新一次病毒庫就顯得尤為重要。您必須時刻牢記每天全球至少會有超過15種新的病毒出現，如果殺毒軟體兩三天都不更新病毒庫就變得很危險了。 啟發式掃描的缺點是會向你誤報一些本不是病毒的信息，如果你每天遇到很多此類的誤報，很快就會對這種警告感到厭煩。所以通常程序推薦關閉這種選項。 永久保護和立即掃描 辨別兩種不同類型的保護模式對於我們了解殺毒軟體是很重要的。第一種是永久保護，相對比較復雜也更重要。這種掃描方式會不斷監控計算機中的所有操作以對付各種入侵的企圖。 另一種保護類型是立即掃描，它採用與永久保護相同的掃描引擎，可以根據用戶的需要檢測系統的任何部分。這種掃描通常用在某些特殊的場合，例如：用戶可以用立即掃描方式檢測一張新的軟盤，或者掃描存儲在計算機中已經很久沒有使用過的一些信息。殺毒軟體是根據什麼來進行病毒判斷並查殺得呢？ 病毒檢測的方法 在與病毒的對抗中，及早發現病毒很重要。早發現，早處置，可以減少損失。檢測病毒方法有：特徵代碼法、校驗和法、行為監測法、軟體模擬法 這些方法依據的原理不同，實現時所需開銷不同，檢測范圍不同，各有所長。 特徵代碼法 特徵代碼法被早期應用於SCAN、CPAV等著名病毒檢測工具中。國外專家認為特徵代碼法是檢測已知病毒的最簡單、開銷最小的方法。 特徵代碼法的實現步驟如下： 採集已知病毒樣本，病毒如果既感染COM文件，又感染EXE文件，對這種病毒要同時採集COM型病毒樣本和EXE型病毒樣本。 在病毒樣本中，抽取特徵代碼。依據如下原則： 抽取的代碼比較特殊，不大可能與普通正常程序代碼吻合。抽取的代碼要有適當長度，一方面維持特徵代碼的唯一性，另一方面又不要有太大的空間與時間的開銷。如果一種病毒的特徵代碼增長一位元組，要檢測3000種病毒，增加的空間就是3000位元組。在保持唯一性的前提下，盡量使特徵代碼長度短些，以減少空間與時間開銷。 在既感染COM文件又感染EXE文件的病毒樣本中，要抽取兩種樣本共有的代碼。將特徵代碼納入病毒資料庫。 打開被檢測文件，在文件中搜索，檢查文件中是否含有病毒資料庫中的病毒特徵代碼。如果發現病毒特徵代碼，由於特徵代碼與病毒一一對應，便可以斷定，被查文件中患有何種病毒。 採用病毒特徵代碼法的檢測工具，面對不斷出現的新病毒，必須不斷更新版本，否則檢測工具便會老化，逐漸失去實用價值。病毒特徵代碼法對從未見過的新病毒，自然無法知道其特徵代碼，因而無法去檢測這些新病毒。 特徵代碼法的優點是：檢測准確快速、可識別病毒的名稱、誤報警率低、依據檢測結果，可做解毒處理。其缺點是：不能檢測未知病毒、搜集已知病毒的特徵代碼，費用開銷大、在網路上效率低（在網路伺服器上，因長時間檢索會使整個網路性能變壞）。 其特點： A.速度慢。隨著病毒種類的增多，檢索時間變長。如果檢索5000種病毒，必須對5000個病毒特徵代碼逐一檢查。如果病毒種數再增加，檢病毒的時間開銷就變得十分可觀。此類工具檢測的高速性，將變得日益困難。 B.誤報警率低。 非C.不能檢查多形性病毒。特徵代碼法是不可能檢測多態性病毒的。國外專家認為多態性病毒是病毒特徵代碼法的索命者。 D.不能對付隱蔽性病毒。隱蔽性病毒如果先進駐內存，後運行病毒檢測工具，隱蔽性病毒能先於檢測工具，將被查文件中的病毒代碼剝去，檢測工具的確是在檢查一個虛假的「好文件」，而不能報警，被隱蔽性病毒所蒙騙。 校驗和法 將正常文件的內容，計算其校驗和，將該校驗和寫入文件中或寫入別的文件中保存。在文件使用過程中，定期地或每次使用文件前，檢查文件現在內容算出的校驗和與原來保存的校驗和是否一致，因而可以發現文件是否感染，這種方法叫校驗和法，它既可發現已知病毒又可發現未知病毒。在SCAN和CPAV工具的後期版本中除了病毒特徵代碼法之外，還納入校驗和法，以提高其檢測能力。 這種方法既能發現已知病毒，也能發現未知病毒，但是，它不能識別病毒類，不能報出病毒名稱。由於病毒感染並非文件內容改變的唯一的非他性原因，文件內容的改變有可能是正常程序引起的，所以校驗和法常常誤報警。而且此種方法也會影響文件的運行速度。 病毒感染的確會引起文件內容變化，但是校驗和法對文件內容的變化太敏感，又不能區分正常程序引起的變動，而頻繁報警。用監視文件的校驗和來檢測病毒，不是最好的方法。 這種方法遇到下述情況：已有軟體版更新、變更口令、修改運行參數、校驗和法都會誤報警。 校驗和法對隱蔽性病毒無效。隱蔽性病毒進駐內存後，會自動剝去染毒程序中的病毒代碼，使校驗和法受騙，對一個有毒文件算出正常校驗和。 運用校驗和法查病毒採用三種方式： ①在檢測病毒工具中納入校驗和法，對被查的對象文件計算其正常狀態的校驗和，將校驗和值寫入被查文件中或檢測工具中，而後進行比較。 ②在應用程序中，放入校驗和法自我檢查功能，將文件正常狀態的校驗和寫入文件本身中，每當應用程序啟動時，比較現行校驗和與原校驗和值。實現應用程序的自檢測。 ③將校驗和檢查程序常駐內存，每當應用程序開始運行時，自動比較檢查應用程序內部或別的文件中預先保存的校驗和。 校驗和法的優點是：方法簡單能發現未知病毒、被查文件的細微變化也能發現。其缺點是：發布通行記錄正常態的校驗和、會誤報警、不能識別病毒名稱、不能對付隱蔽型病毒。 行為監測法 利用病毒的特有行為特徵性來監測病毒的方法，稱為行為監測法。通過對病毒多年的觀察、研究，有一些行為是病毒的共同行為，而且比較特殊。在正常程序中，這些行為比較罕見。當程序運行時，監視其行為，如果發現了病毒行為，立即報警。 這些做為監測病毒的行為特徵如下： A.佔有INT 13H 所有的引導型病毒，都攻擊Boot扇區或主引導扇區。系統啟動時，當Boot扇區或主引導扇區獲得執行權時，系統剛剛開工。一般引導型病毒都會佔用INT 13H功能，因為其他系統功能未設置好，無法利用。引導型病毒占據INT 13H功能，在其中放置病毒所需的代碼。 B.改DOS系統為數據區的內存總量 病毒常駐內存後，為了防止DOS系統將其覆蓋，必須修改系統內存總量。 C.對COM、EXE文件做寫入動作 病毒要感染，必須寫COM、EXE文件。 D.病毒程序與宿主程序的切換 染毒程序運行中，先運行病毒，而後執行宿主程序。在兩者切換時，有許多特徵行為。 行為監測法的長處：可發現未知病毒、可相當准確地預報未知的多數病毒。行為監測法的短處：可能誤報警、不能識別病毒名稱、實現時有一定難度。 軟體模擬法 多態性病毒每次感染都變化其病毒密碼，對付這種病毒，特徵代碼法失效。因為多態性病毒代碼實施密碼化，而且每次所用密鑰不同，把染毒的病毒代碼相互比較，也無法找出相同的可能做為特徵的穩定代碼。雖然行為檢測法可以檢測多態性病毒，但是在檢測出病毒後，因為不知病毒的種類，難於做消毒處理。
參考資料： http://doveyhc.21ic.org/ 摘自：網路知道

I. 殺毒軟體的工作原理是怎樣的

傳統的是通過病毒的定義版本來對比你電腦中的文件是否符合病毒特徵，但由於病毒為了防殺有加殼的，這樣直接就無法識別，這就得看你殺毒軟體的脫殼能力，有的殼強的殺毒軟體都脫不了。另外病毒版本如果沒包含新出的病毒或變種那也發現不了。
於是更高級的技術有啟發技術，通過分析病毒的更為本質的基因碼查毒，這樣就可以查殺未知變種病毒，還有行為分析技術，不依賴病毒碼直接看程序的行為違不違法，還有雲計算，就是把整個互聯網連起來。
舉個例子：比如你是警察，你有一份黑名單，你在一些關口的人流中一個個地盤查，看犯罪嫌疑人有沒有再黑名單上的，有的話就逮他，你能力（引擎）不強的話逮都逮不著，黑名單隨著犯罪人員不斷更新，但如果犯人偽裝得好，換個身份證，弄個易容術，你就發現不了它，這時候你就需要DNA鑒定技術，這樣犯人再怎麼偽裝也逃不出，這就是啟發式。主動防禦是你沒有黑名單，你只靠犯人的犯罪行為抓人，只要犯人一有可疑的犯罪行為，你立馬抓人，這樣就排出了黑名單跟不上犯罪人員數量的被動性。