比较法 比较法是用原始或正常的对象与被检测的对象进 比较。 ·手工比较法是发现新病毒的必要方法 比较法又包括: 注册表比较法 工具 RegMon 弱点正常程序也操作注册表 文件比较法 通常比较文件的长度和内容两个方面 工具 FileMon 弱点:长度和内容的变化有时是合法的 病毒可以模糊这种变化
比较法 • 比较法是用原始或正常的对象与被检测的对象进 行比较。 • 手工比较法是发现新病毒的必要方法。 • 比较法又包括: – 注册表比较法 • 工具RegMon • 弱点:正常程序也操作注册表 – 文件比较法 • 通常比较文件的长度和内容两个方面 • 工具FileMon • 弱点:长度和内容的变化有时是合法的 病毒可以模糊这种变化
·内存比较法 主要针对驻留内存病毒 判断驻留特征 ·中断比较法 将正常系统的中断向量与有毒系统的中断向量 进行比较 比较法的好处:简单 比较法的缺点:无法确认病毒,依赖备份
• 内存比较法 – 主要针对驻留内存病毒 – 判断驻留特征 • 中断比较法 – 将正常系统的中断向量与有毒系统的中断向量 进行比较 • 比较法的好处:简单 • 比较法的缺点:无法确认病毒,依赖备份
校验和法 首先,计算正常文件内容的校验和并且将 该校验和写入某个位置保存。然后,在每 次使用文件前或文件使用过程中,定期地 检査文件现在内容算出的校验和与原来保 存的校验和是否一致,从而可以发现文件 是否感染,这种方法叫校验和法,它既可 发现已知病毒又可发现未知病毒
校验和法 • 首先,计算正常文件内容的校验和并且将 该校验和写入某个位置保存。然后,在每 次使用文件前或文件使用过程中,定期地 检查文件现在内容算出的校验和与原来保 存的校验和是否一致,从而可以发现文件 是否感染,这种方法叫校验和法,它既可 发现已知病毒又可发现未知病毒
·优点: 方法简单 能发现未知病毒 被査文件的细微变化也能发现 缺点: 必须预先记录正常态的校验和 会误报警 不能识别病毒名称 程序执行附加延迟 不对付隐蔽性病毒
• 优点: – 方法简单 – 能发现未知病毒 – 被查文件的细微变化也能发现 • 缺点: – 必须预先记录正常态的校验和 – 会误报警 – 不能识别病毒名称 – 程序执行附加延迟 – 不对付隐蔽性病毒
扫描法 扫描法是用每一种病毒体含有的特定字符 串( Signature)对被检测的对象进行扫描。 如果在被检测对象内部发现了某一种特定 字符串,就表明发现了该字符串所代表的 病毒。 扫描器由两部分组成: 特征串( Signature)和扫描算法( Scanner)
扫描法 • 扫描法是用每一种病毒体含有的特定字符 串(Signature)对被检测的对象进行扫描。 如果在被检测对象内部发现了某一种特定 字符串,就表明发现了该字符串所代表的 病毒。 • 扫描器由两部分组成: – 特征串(Signature)和扫描算法(Scanner)