A. 杀毒软件是怎么识别木马和病毒的
目前大部分是通过特征码识别
即在木马样本里找出几段和待检测的程序样本进袜宽行匹配
匹配成功就说明它是XX木马或病毒
现在还有猛戚一个技术叫行为检测
监控系统的可疑行为来判断
比如同一一个木马
在运行时
它的行为是固定的流程
如果符合条件即为该木马/病毒
另外如果检测到和木马病毒相似行为的可疑操作
就报告给用户或杀软公司
再进行详细的判断.
以上是主流的两种方法
其它每个杀软都有自己的特点和新技术
这在该杀软的介告知亮绍中有详细的说明
B. 杀毒软件是如何确定病毒的
杀毒软件是通过以下的途径来判断程序中带有病毒的:首先是通过杀毒软件体内内置的杀毒软件病毒特征库特征码来发现病毒的。杀毒软件首先会打开并自动检查文件的内容,如果发现了和自己的病毒库有类似的内容时,既可以判断这个程序有病毒。采用病毒特征代码法的检测工具,面对不断出现的新病毒,必须不断更新版本,否则检测工具便会老化,逐渐失去实用价值。病毒特征代码法对从未见过的新病毒,自然无法知道其特征代码,因而无法去检测这些新病毒。
特征代码法的优点是:检测准确快速、可识别病毒的名称、误报警率低、依据检测结果,可做解毒处理。其缺点是:不能检测未知病毒、搜集已知病毒的特征代码,费用开销大、在网络上效率低(在网络服务器上,因长时间检索会使整个网络性能变坏)。
其特点:
A.速度慢。随着病毒种类的增多,检索时间变长。如果检索5000种病毒,必须对5000个病毒特征代码逐一检查。如果病毒种数再增加,检病毒的时间开销就变得十分可观。此类工具检测的高速性,将变得日益困难。
B.误报警率低。
非C.不能检查多形性病毒。特征代码法是不可能检测多态性病毒的。国外专家认为多态性病毒是病毒特征代码法的索命者。
D.不能对付隐蔽性病毒。隐蔽性病毒如果先进驻内存,后运行病毒检测工具,隐蔽性病毒能先于检测工具,将被查文件中的病毒代码剥去,检测工具的确是在检查一个虚假的“好文件”,而不能报警,被隐蔽性病毒所蒙骗。
校验和法
将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存。在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法叫校验和法,它既可发现已知病毒又可发现未知病毒。在SCAN和CPAV工具的后期版本中除了病毒特征代码法之外,还纳入校验和法,以提高其检测能力。
这种方法既能发现已知病毒,也能发现未知病毒,但是,它不能识别病毒类,不能报出病毒名称。由于病毒感染并非文件内容改变的唯一的非他性原因,文件内容的改变有可能是正常程序引起的,所以校验和法常常误报警。而且此种方法也会影响文件的运行速度。
病毒感染的确会引起文件内容变化,但是校验和法对文件内容的变化太敏感,又不能区分正常程序引起的变动,而频繁报警。用监视文件的校验和来检测病毒,不是最好的方法。
这种方法遇到下述情况:已有软件版更新、变更口令、修改运行参数、校验和法都会误报警。
校验和法对隐蔽性病毒无效。隐蔽性病毒进驻内存后,会自动剥去染毒程序中的病毒代码,使校验和法受骗,对一个有毒文件算出正常校验和。
运用校验和法查病毒采用三种方式:
①在检测病毒工具中纳入校验和法,对被查的对象文件计算其正常状态的校验和,将校验和值写入被查文件中或检测工具中,而后进行比较。
②在应用程序中,放入校验和法自我检查功能,将文件正常状态的校验和写入文件本身中,每当应用程序启动时,比较现行校验和与原校验和值。实现应用程序的自检测。
③将校验和检查程序常驻内存,每当应用程序开始运行时,自动比较检查应用程序内部或别的文件中预先保存的校验和。
校验和法的优点是:方法简单能发现未知病毒、被查文件的细微变化也能发现。其缺点是:发布通行记录正常态的校验和、会误报警、不能识别病毒名称、不能对付隐蔽型病毒。
行为监测法
利用病毒的特有行为特征性来监测病毒的方法,称为行吵局为监测法。通过对病毒多年的观察、研究,有一些行为是病毒的共同行为,而且比较特殊。在正常程序中,这些行为比较罕见。当程序运行拦碰裂时,监视其行为,如果发现了病毒行为,立即报警。
这些做为监测病毒的行为特征如下:
A.占有INT 13H
所有的引导型病毒,都攻击Boot扇区或主引导扇区。系统启动时,当Boot扇区或主引导扇区获得执行权时,系统刚刚开工。一般引导型病毒都会占用INT
13H功能,因为其他系统功能未设置好,简闭无法利用。引导型病毒占据INT 13H功能,在其中放置病毒所需的代码。
B.改DOS系统为数据区的内存总量
病毒常驻内存后,为了防止DOS系统将其覆盖,必须修改系统内存总量。
C.对COM、EXE文件做写入动作
病毒要感染,必须写COM、EXE文件。
D.病毒程序与宿主程序的切换
染毒程序运行中,先运行病毒,而后执行宿主程序。在两者切换时,有许多特征行为。
行为监测法的长处:可发现未知病毒、可相当准确地预报未知的多数病毒。行为监测法的短处:可能误报警、不能识别病毒名称、实现时有一定难度。
软件模拟法
多态性病毒每次感染都变化其病毒密码,对付这种病毒,特征代码法失效。因为多态性病毒代码实施密码化,而且每次所用密钥不同,把染毒的病毒代码相互比较,也无法找出相同的可能做为特征的稳定代码。虽然行为检测法可以检测多态性病毒,但是在检测出病毒后,因为不知病毒的种类,难于做消毒处理。
最近的病毒,会发作一些时间之后..杀软公司就会收集到这病毒程序..然后更新特征库..就是所谓的更新.. 这句话正确
C. 杀毒软件是怎么识别病毒的,它的原理是什么
常用的反病毒软件技术 特征码技术:基于对已知病毒分析、查解的反病毒技术 目前的大多数杀病毒软件采用的方法主要是特征码查毒方案与人工解毒并行,亦即在查病毒时采用特征码查毒,在杀病毒时采用人工编制解毒代码。 特征码查毒方案实际上是人工查毒经验的简单表述,它再现了人工辨识病毒的一般方法,采用了“同一病毒或同类病毒的某一部分肆山或代码相同”的原理,也就是说,如果病毒及其变种、变形病毒具有同一性,则可以对这种同一性进行描述,并通过对程序体与描述结果(亦即“特征码”)进行比较来查找病毒。而并非所有病毒都可以描述其特征码,很多病毒都是难以描述甚至无法用特征码进行描述。使用特征码技术需要实现一些补充功能,例如近来的压缩包、压缩可执行文件自动查杀技术。 但是,特征码查毒方案也具有极大的局限性。特征码的描述取决于人的主观因素,从长达数千字节的病毒体中撷取十余字节的病毒特征码,需要对病毒进行跟踪、反汇编以及其它分析,如果病毒本身具有反跟踪技术和变形、解码技术,那么跟踪和反汇编以获取特征码的情况将变得极其复杂。此外,要撷取一个病毒的特征码,必然要获取该病毒的样本,再由于对特征码的描述各个不同,特征码方法在国际上很难得到广域性支持。特征码查病毒主要的技术缺陷表现在较大的误查和误报上,而杀病毒技术又导致了反病毒软件的技术迟滞。 虚拟机技术:启发式探测未知病毒的反病毒技术 虚拟机技术的主要作用是能够运行一定规则的描述语言。由于病毒的最终判定准则是其复制传染性,而这个标准是不易被使用和实现的,如果病毒已经传染了才判定是它是病毒,定会给病毒的清除带来麻烦。 那么检查病毒用什么方法呢?客观地说,在各类病毒检查方法中,特征值方法是适用范围最宽、速度最快、最简单、最有效的方法。但由于其本身的缺陷问题,它只适用于已知病毒,对于未知病毒,如果能够让病毒在控制下先运行一段时间,让其自己还原,那么,裂伍问题就会相对明了。可以说,虚拟机是这种情况下的最佳选择。 虚拟机在反病毒软件中应用范围广,并成为目前反病毒软件的一个趋势。一个比较完整的虚拟机,不仅能够识别新的未知病毒,而且能够清除未知病毒,我们会发现这个反病毒工具不再是一个程序,而成为可以和卡斯帕罗夫抗衡的ibm深蓝超级计算机。首先,虚拟机必须提供足够的虚拟,以完成或将近完成病毒的“虚拟传染”;其次,尽管根据病毒定义而确立的“传染”标准是明确的,但是,这个标准假如能够实施,它在判定病毒的标准上仍然会有问题;第三,假如上一步能够通过,那么,我们必须检测并确认所谓“感染”的文件确实感染的就是这个病毒或其变形。 目前虚拟机的处理对象主要是文件型病毒。对于引导型病毒、word/excel宏病毒、木马程序在理论上都是可以通过虚拟机来处理的,但目前的实现水平仍相距甚远。就像病毒编码变形使得传统特征值方法失效一样,针对虚拟机的新病毒可以轻易使得虚拟机失效。虽然虚拟机也会在实践中不断得到发展。但是,pc的计算能力有限,反病毒软件的制造成本也有限,而病毒的发展可以说是无限的。让虚拟技术获得更加实际的功效,甚至要以此为基础来清除未知病毒,其难度相当大。 受病毒在理论上就是不可判定的这一根本前提的制约,事实上,无论是启发式,亦或是虚拟机,都只能是一种工程学的努力,其成功的概率永远不可唯宴达到100%。这是惟一的却又是无可奈何的缺憾。 未来的反病毒技术: 虚拟现实 对于未来技术的展望可能只是一种近乎飘渺的幻想,但是就如同计算机病毒最初的描述出现在科幻小说里,虽然还有许许多多我们目前仍在实现却仍未实现的技术,甚至还有许多我们根本未考虑到的因素。只要技术足够成熟,网络世界中是完全有可能出现类似人工智能的反病毒技术。 未来反病毒的疑难之一就是:我们永远无法写出一个合理的程序来辨识和查杀病毒。病毒掌握了人类所掌握的一切,它同样能辨识和分析反毒程序,并对自身重新编程;而反毒程序要可能同样地对病毒进行探测,再进行自编程。病毒与反毒程序的角逐就变成了自编程能力的实现,而这样的结果只能导致网络空间紧张,甚至崩溃! 我们还可以考虑用另一种方式:人工进入计算网络世界的方法来查杀病毒。人有足够的智能和经验积累来完成对病毒的辨识和杀除,而这就只剩下建立人与计算机之间的“桥”的问题了。 目前的虚拟现实技术重点放在了对人与人的自 查看原帖>>
D. 杀毒软件是如何判断病毒(木马)
杀毒软件判断者银病毒木马的方式如下:
特征库扫描法:检查文件中是否存在与常见病毒相同的代码。如果匹配,则说明存在病毒。由于该方法烂扒较慢,因此现在一般使用通配符扫描法进行代替。
云扫描法:将可疑文件上传到云服务器进行检查。需要网络连接。
虚拟机脱壳法:使用虚拟机引擎首历宴进行文件脱壳(仅支持部分壳类型)。脱壳后的文件将会进一步接受上两种扫描方式的检查。
E. 杀毒软件靠什么来识别病毒
现代的病毒层出不穷,更糟糕的是很多恶意软件、病毒、木马为了躲避杀毒软件的查杀是加了花指令、加了壳、甚至修改了特丛纳征码(简单点说就是通过各种手段伪装)。
如果杀毒软件茄纯还停留在单凭特征码来杀毒,更有甚者(像以前见于媒体的"木X杀客")单凭文件名来判断是否病毒,往往不能取到很好的效果,试想一下,稍微有点技术的木马制作人都会对木马文件易名的,更别说高手点的对木马程序进行修改之类。
那,现代杀毒软件还需要怎样才能应对现代病毒呢?
首先当然要改进特征码判断机制了,现在很多杀软都使用多重特征码来判断病毒,更有甚者针对病毒使用数据流技术来截获病毒(例如金山).接着要有强大的脱壳能力,能应对加壳后的病毒。现在最热的技术要数主动防范(主动防御),通过对软件危险行为的判断和制止,及时阻止未能识别的颤郑咐病毒进入系统……
F. 杀毒软件是怎么识别病毒的
这个问题答案可大可大了....
早期呢...杀软是通过特征码杀毒,就是分析已经认定是病毒的程序,在反汇编里找出做坏事的代码段...如果以后扫描到其他文件这样代码,就认定为病毒,杀之.(当然特征代码不止一小段,多重判断)
后来呢,杀软发现不对劲了...这样杀软的工作人员鸭梨很大,他们整天分析病毒可累可累了...然后就出现了启发式杀毒,能对一些未知的病毒做出判断,原理还是搜指对已有的病毒关键代陵磨码分析,判断其类型可能会出现的变种,杀之.
再后来呢,杀软的技术人员不爽,他们要求减负,所以想尺漏斗出了行为查杀,在瘟都死里,任何程序的执行是靠API函数实现的,病毒的运行也不例外,杀软在系统的最底层HOOK这些关键函数,比如执行函数..当一个程序运行时,它的所有操作会被杀软截获,比如一个木马同时运行下载和运行的操作...即使这个木马之前未出现过(即不会被特征码方式查杀),但是行为查杀依然会发现它的可疑行径,杀之.
现在呢,有了云查杀.....不打了...累死偶了...打这么多字...更多知识你感兴趣自个上搜去吧....
G. 杀毒软件是怎样识别病毒的
以上很多朋友说特征码我觉得太笼统了。
现代的病毒层出不穷,更糟糕的是很多恶意软件、病毒、木马为了躲避杀毒软件的查杀是加了花指令、加了壳、甚至修改了特征码(简单点说就是通过各种手段伪装)。
如果杀毒软件还停留在单凭特征码来杀毒,更有甚者(像以前见于媒体的"木X杀客")单凭文件名来判断是否病毒,往往不能取到很好的效果,试想一下,稍微有点技术的木马制作人都会对木马文件易名的,更别说高手点的对木马程序进行修改之类。
那,现代杀毒软件还需要怎样才能应对现代病毒呢?
首先当然要改进特征码判断机制了,现在很多杀软都使用多重特征码来判断病毒,更有甚者针对病毒使用数据流技术来截获病毒(例如金山).接着要有强大的脱壳能力,能应对加壳后的病毒。现在最热的技术要数主动防范(主动防御),通过对软件危险行为的判断和制止,及时阻止未能识别的病毒进入系统……
本人才疏学浅,有不对的地方还望高手指教。
多逛些杀软论坛可以很好了解这些东西
H. 杀毒软件通过什么判断是否是病毒
杀毒软件是根据文件中的一段代码来判断是否是病毒的。当然不一定一定准确,有很小很小的源塌几率,刚好一个数据文件的部分代码纯裂租和病毒的特征部分一致,这个就没有办法分出来了。有做兆时候会报错。
I. 杀毒软件是通过什么方式来辨别程序是不是木马或病毒的
楼主你好
是通过病毒库和特征,所以要经常升级病毒库哟
推荐试试腾讯电脑管家,他的软件升级、病毒库更新、漏洞修复、垃圾清理等,都可以自动和定期哟,懒人必备
腾讯电脑管家是免费专业安全软件,杀毒管理二合一(只用下载一个),占内存小,杀毒好,防护好,无误报误杀。电脑管家除了帮你杀毒查毒保护电脑以外。还可以帮你管理电脑、监测电脑动态、网络流量监控、垃圾清理、Q盘、开机加速等等,功能强大,齐全好用。
J. 杀毒软件通过什么形式来识别病毒的
病毒检测的方法
在与病毒的对抗中,及早发现病毒很重要。早发现,早处置,可以减少损失。检测病毒方法有:特征代码法、校验和法、行为监测法、软件模拟法
这些方法依据的原理不同,实现时所需开销不同,检测范围不同,各有所长。
特征代码法
特征代码法被早期应用于SCAN、CPAV等着名病毒检测工具中。国外专家认为特征代码法是检测已知病毒的最简单、开销最小的方法。
特征代码法的实现步骤如下:
采集已知病毒样本,病毒如果既感染COM文件,又感染EXE文件,对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。
在病毒样本中,抽取特征代码。依据如下原则:
抽取的代码比较特殊,不大可能与普通正常程序代码吻合。抽取的代码要有适当长度,一方面维持特征代码的唯一性,另一方面又不要有太大的空间与时间的开销。如果一种病毒的特征代码增长一字节,要检测3000种病毒,增加的空间就是3000字节。在保持唯一性的前提下,尽量使特征代码长度短些,以减少空间与时间开销。
在既感染COM文件又感染EXE文件的病毒样本中,要抽取两种样本共有的代码。将特征代码皮此余纳入病毒数据库。
打开被检测文件,在文件中搜索,检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码,由于特征代码与病毒一一对应,便可以断定,被查文件中患有何种病毒。
采用病毒特征代码法的检测工具,面对不断出现的新病毒,必须不断更新版本,否则检测工具便会老化,逐渐失去实用价值。病毒特征代码法对从未见过的新病毒,自然无法知道其特征代码,因而无法去检测这些新病毒。
特征扒悄代码法的优点是:检测准确快速、可识别病毒的名称、误报警率低、依据检测结果,可做解毒处理。其缺点是:不能检测未知病毒、搜集已知病毒的特征代码,费用开销大、在网络上效率低(在网络服务器上,因长时间检索会使整个网络性能变坏)。
其特点:
A.速度慢。随着病毒种类的增多,检索时间变长。如果检索5000种病毒,必须对5000个病毒特征代码逐一检查。如果病毒种数再增加,检病毒的时间开销就变得十分可观。此类工具检测的高速性,将变得日益困难。
B.误报警率低。
非C.不能检查多形性病毒。特征代码法是不可能检测多态性病毒的。国外专家认为多燃滚态性病毒是病毒特征代码法的索命者。
D.不能对付隐蔽性病毒。隐蔽性病毒如果先进驻内存,后运行病毒检测工具,隐蔽性病毒能先于检测工具,将被查文件中的病毒代码剥去,检测工具的确是在检查一个虚假的“好文件”,而不能报警,被隐蔽性病毒所蒙骗。
校验和法
将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存。在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法叫校验和法,它既可发现已知病毒又可发现未知病毒。在SCAN和CPAV工具的后期版本中除了病毒特征代码法之外,还纳入校验和法,以提高其检测能力。
这种方法既能发现已知病毒,也能发现未知病毒,但是,它不能识别病毒类,不能报出病毒名称。由于病毒感染并非文件内容改变的唯一的非他性原因,文件内容的改变有可能是正常程序引起的,所以校验和法常常误报警。而且此种方法也会影响文件的运行速度。
病毒感染的确会引起文件内容变化,但是校验和法对文件内容的变化太敏感,又不能区分正常程序引起的变动,而频繁报警。用监视文件的校验和来检测病毒,不是最好的方法。
这种方法遇到下述情况:已有软件版更新、变更口令、修改运行参数、校验和法都会误报警。
校验和法对隐蔽性病毒无效。隐蔽性病毒进驻内存后,会自动剥去染毒程序中的病毒代码,使校验和法受骗,对一个有毒文件算出正常校验和。
运用校验和法查病毒采用三种方式:
①在检测病毒工具中纳入校验和法,对被查的对象文件计算其正常状态的校验和,将校验和值写入被查文件中或检测工具中,而后进行比较。
②在应用程序中,放入校验和法自我检查功能,将文件正常状态的校验和写入文件本身中,每当应用程序启动时,比较现行校验和与原校验和值。实现应用程序的自检测。
③将校验和检查程序常驻内存,每当应用程序开始运行时,自动比较检查应用程序内部或别的文件中预先保存的校验和。
校验和法的优点是:方法简单能发现未知病毒、被查文件的细微变化也能发现。其缺点是:发布通行记录正常态的校验和、会误报警、不能识别病毒名称、不能对付隐蔽型病毒。
行为监测法
利用病毒的特有行为特征性来监测病毒的方法,称为行为监测法。通过对病毒多年的观察、研究,有一些行为是病毒的共同行为,而且比较特殊。在正常程序中,这些行为比较罕见。当程序运行时,监视其行为,如果发现了病毒行为,立即报警。
这些做为监测病毒的行为特征如下:
A.占有INT 13H
所有的引导型病毒,都攻击Boot扇区或主引导扇区。系统启动时,当Boot扇区或主引导扇区获得执行权时,系统刚刚开工。一般引导型病毒都会占用INT 13H功能,因为其他系统功能未设置好,无法利用。引导型病毒占据INT 13H功能,在其中放置病毒所需的代码。
B.改DOS系统为数据区的内存总量
病毒常驻内存后,为了防止DOS系统将其覆盖,必须修改系统内存总量。
C.对COM、EXE文件做写入动作
病毒要感染,必须写COM、EXE文件。
D.病毒程序与宿主程序的切换
染毒程序运行中,先运行病毒,而后执行宿主程序。在两者切换时,有许多特征行为。
行为监测法的长处:可发现未知病毒、可相当准确地预报未知的多数病毒。行为监测法的短处:可能误报警、不能识别病毒名称、实现时有一定难度。
软件模拟法
多态性病毒每次感染都变化其病毒密码,对付这种病毒,特征代码法失效。因为多态性病毒代码实施密码化,而且每次所用密钥不同,把染毒的病毒代码相互比较,也无法找出相同的可能做为特征的稳定代码。虽然行为检测法可以检测多态性病毒,但是在检测出病毒后,因为不知病毒的种类,难于做消毒处理。
计算机病毒的防治策略
计算机病毒的防治要从防毒、查毒、解毒三方面来进行;系统对于计算机病毒的实际防治能力和效果也要从防毒能力、查毒能力和解毒能力三方面来评判。
“防毒”是指根据系统特性,采取相应的系统安全措施预防病毒侵入计算机。“查毒”是指对于确定的环境,能够准确地报出病毒名称,该环境包括,内存、文件、引导区(含主导区)、网络等。“解毒”是指根据不同类型病毒对感染对象的修改,并按照病毒的感染特性所进行的恢复。该恢复过程不能破坏未被病毒修改的内容。感染对象包括:内存、引导区(含主引导区)、可执行文件、文档文件、网络等。
防毒能力是指预防病毒侵入计算机系统的能力。通过采取防毒措施,应可以准确地、实时地监测预警经由光盘、软盘、硬盘不同目录之间、局域网、因特网(包括FTP方式、E-MAIL、HTTP方式)或其它形式的文件下载等多种方式进行的传输;能够在病毒侵入系统是发出警报,记录携带病毒的文件,即时清除其中的病毒;对网络而言,能够向网络管理员发送关于病毒入侵的信息,记录病毒入侵的工作站,必要时还要能够注销工作站,隔离病毒源。
查毒能力是指发现和追踪病毒来源的能力。通过查毒应该能准确地发现计算机系统是否感染有病毒,并准确查找出病毒的来源,并能给出统计报告;查解病毒的能力应由查毒率和误报率来评判。
解毒能力是指从感染对象中清除病毒,恢复被病毒感染前的原始信息的能力;解毒能力应用解毒率来评判。