1. 杀毒软件查杀原理
1. 特征码法
- 获取病毒的特征代码(和普通代码不同的部分),放入病毒库,查毒的时候一一遍历查询
- 优点:检测准确快速,出错率低
- 缺点:不能检测新型病毒,开销大,会是网络变慢.不能对付隐蔽性病毒,不能检测多态病毒.
2. 校验和法
- 将正常文件的内容,计算校验和,随时查询他的校验和是否变化,来判定是否中毒.
- 优点:方法简单,呢个发现未知病毒
- 缺点:容易误报:软件更新,变更口令,修改参数都会!!!对隐蔽性病毒也无效,且不能识别病毒名称.
3. 行为监测法
- 利用病毒的特有行为特征性来检测病毒的方法,如:修改一些特殊的注册表,对com,exe文件做写入动作
- 优点:可发现未知病毒,可准确的预知多数病毒,
- 缺点:容易误报,不能识别病毒名称,实现难.
4. 软件模拟法
- 综合了多种查杀方法,用于查杀多态性病毒
- 优点: 对病毒的判断能力强
- 缺点:扫描速度慢.查毒往往不准确
1. 免杀技术分类
1. 内部免杀
- 从病毒源代码入手
2. 外部免杀
- 又称为PE免杀
- 将已经编译连接后的病毒文件通过加密等手段将代码复杂化,从而干扰杀毒软件的查杀.
3. 特征码免杀
- 修改病毒的特征码
4. 大范围免杀
- 利用加花等方法,复杂化病毒代码,是多种杀毒软件失效(没啥用)
5. 文件免杀
- 对病毒的静态文件扫描
6. 内存免杀
- 对病毒的动态文件扫描
7. 行为免杀
- 监测运行的程序是否对计算机系统有危害
8. 盲免技术
- 字面意思!!!