杀毒技术中,杀病毒技术有:特征码技术、覆盖法技术、驻留式软件技术、特征码过滤技术、自身加密的开放式反病毒数据库技术、智能和广谱技术、虚拟机技术、启发扫描技术、病毒疫苗等,最初并且现在还在用的就是特征值查毒法。所谓特征值查毒法,就是在获取病毒样本后,提取出其特征值(譬如石头病毒中的"your pc is stoned!"字符串),然后通过该特征值对各个文件或内存等进行扫描。如果发现这种特征值,这说明感染了这种病毒,然后针对性地解除病毒。
但是随着病毒技术的发展,加密技术渐渐成熟起来,很多病毒的特征都在那么容易提取。这样,虚拟机杀毒技术出现,所谓虚拟机技术,就是用软件先虚拟一套运行环境,让病毒先在该虚拟环境下运行,看看他的执行效果。由于加密的病毒在执行时最终还是要解密的。这样,在其解密之后我们可以通过特征值查毒法对其进行查杀。
新病毒不断出现,传统的特征值查毒法完全不可能查出新出现的病毒。启发式扫描技术产生了,何谓启发式扫描?我们知道,一个病毒总存在其与普通程序不一般的地方,譬如他会格式化硬盘,重定位,改回文件时间,修改文件大小,能够传染等等。这样,我们就可以对每一类病毒特征进行加权,譬如重定位3分,格式化硬盘15分,传染10分,这样,如果一个程序拥有这3个功能,他就得到了28分,如果我们设定判断一个病毒的标准是20分,那么这个程序在遇到采用了启发式扫描技术的杀毒软件时,杀毒软件就会报警,说发现新病毒。这就是启发式扫描技术。norton的启发式扫描技术非常不错。
还有一种技术叫病毒疫苗,这种疫苗程序,举个简单的例子,美丽莎病毒会并修改WINDOWS注册表项:HKEY_CURRENT_USER\Software\Microsoft\Office,将其增加表项:Melissa?,并给其赋值为:… by Kwyjibo,这是病毒避免进行重复感染的标志。如果我们在一台没有感染美丽莎病毒的机器上事先设立这一注册表值,那么当美丽莎病毒准备感染这台机器时,由于发现存在该键值会认为该机器已经被感染而不对它进行再次感染。这样,我们达到了对这台机器进行免疫的目的。当然有些病毒的免疫不是这么简单的。但是思想都差不多了。
扫一扫
3573
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
