选择代码串的规则是: 代码串不应含有病毒的数据区,数据区是会经常变化 的 在保持唯一性的前提下,应尽量使特征代码长度短些, 以减少时间和空间开销。 代码串一定要在仔细分析了程序之后才能选出最具代 表性的,足以将该病毒区别于其他病毒和该病毒的其 他变种的代码串 特征串必须能将病毒与正常的非病毒程序区分开。 例如:给定特征串为“E97C0010?37CB”,则 “E97C00102737cB”和“E97C00109c37CB” 都能被识别出来
• 选择代码串的规则是: – 代码串不应含有病毒的数据区,数据区是会经常变化 的。 – 在保持唯一性的前提下,应尽量使特征代码长度短些, 以减少时间和空间开销。 – 代码串一定要在仔细分析了程序之后才能选出最具代 表性的,足以将该病毒区别于其他病毒和该病毒的其 他变种的代码串。 – 特征串必须能将病毒与正常的非病毒程序区分开。 – 例如:给定特征串为“E9 7C 00 10 ? 37 CB”,则 “E9 7C 00 10 27 37 CB”和“E9 7C 00 10 9C 37 CB” 都能被识别出来
其优点包括: (1)当特征串选择得很好时,病毒检测 软件让计算机用户使用起来方便快速,对 病毒了解不多的人也能用它来发现病毒。 (2)不用专门软件,用编辑软件也能用 特征串扫描法去检测特定病毒。 (3)可识别病毒的名称。 (4)误报警率低。 (5)依据检测结果,可做杀毒处理
• 其优点包括: (1)当特征串选择得很好时,病毒检测 软件让计算机用户使用起来方便快速,对 病毒了解不多的人也能用它来发现病毒。 (2)不用专门软件,用编辑软件也能用 特征串扫描法去检测特定病毒。 (3)可识别病毒的名称。 (4)误报警率低。 (5)依据检测结果,可做杀毒处理
缺 1)当被扫描的文件很长时,扫描所花时间也较多。 2)不容易选出合适的特征串,有时会发出假警报。 (3)新病毒的特征串未加入病毒代码库时,老版本的 扫毒程序无法识别出新病毒。 (4)怀有恶意的计算机病毒制造者得到代码库后,会 很容易地改变病毒体内的代码,生成一个新的变种,使扫 描程序失去检测它的能力 (5)容易产生误警报。只要正常程序内带有某种病毒 的特征串,即使该代码段已不可能被执行,而只是被杀死 的病毒体残余,扫描程序仍会报簪 (6)不易识别变异类病毒。 7)搜集已知病毒的特征代码,费用开销大 (8)在网络上使用效率低
• 缺点: (1)当被扫描的文件很长时,扫描所花时间也较多。 (2)不容易选出合适的特征串,有时会发出假警报。 (3)新病毒的特征串未加入病毒代码库时,老版本的 扫毒程序无法识别出新病毒。 (4)怀有恶意的计算机病毒制造者得到代码库后,会 很容易地改变病毒体内的代码,生成一个新的变种,使扫 描程序失去检测它的能力。 (5)容易产生误警报。只要正常程序内带有某种病毒 的特征串,即使该代码段已不可能被执行,而只是被杀死 的病毒体残余,扫描程序仍会报警。 (6)不易识别变异类病毒。 (7)搜集已知病毒的特征代码,费用开销大。 (8)在网络上使用效率低
行为监测法 ·利用病毒的特有行为特性来监测病毒的方法称为 行为监测法。 ·常用行为: 占用|NT13H 修改DOS系统数据区的内存总量 对COM和EXE文件做写入动作 写注册表 自动联网请求 ·优点:发现未知病毒 ·缺点:难度大、误报警
行为监测法 • 利用病毒的特有行为特性来监测病毒的方法称为 行为监测法。 • 常用行为: – 占用INT 13H – 修改DOS系统数据区的内存总量 – 对COM和EXE文件做写入动作 – 写注册表 – 自动联网请求 • 优点:发现未知病毒 • 缺点:难度大、误报警
感染实验法 这种方法的原理是利用了病毒的最重要的 基本特征:感染特性。观察正常程序和可 疑程序的表现是非不同
感染实验法 • 这种方法的原理是利用了病毒的最重要的 基本特征:感染特性。观察正常程序和可 疑程序的表现是非不同