计算机病毒检测技术主要分为哪几个方面？了解电脑病毒检测技术

yu8139

针对各种各样的计算机病毒和各自不同的传染方法和途径，因此在实际操作中使用的检测病毒的方法有多种，通常采用特征代码法、校验和法、行为检测法、软件模拟法和预扫描法这几种方法。

病毒检测技术

(1)特征代码法

当前计算机领域在监测病毒的各种原理中，特征代码法可通过及其便捷且成本极低方式进行病毒监测。此种监测原理是基于已找到的病毒样本，然后对其分析和病毒特征代码的提取，将提取出的特征码作为病毒的监测对比标准，存入到病毒库中。在日常的监测病毒时将文件中监测到的代码与病毒库中的已存病毒特征代码进行对比，如能一一对应，则证明此文件为带病毒文件，否则的话说明此文件安全。

特征代码法

显而易见，这种病毒监测方法准确率高，监测简易便捷还能监测出病毒详细信息，出错率很低，但其缺陷也很明显，只能对已知病毒进行监测，并不能监测互联网中出现新型的、未知的病毒。当然，由于现在病毒种类的持续变多，基于此种方法用于监测病毒库需持续得进行更新，其病毒特征代码也随之变多，当增加到一定极限后将会大大的延长病毒检索时间，进而导致扫描引擎性能的下降。同时，此方法不能监测出互联网中存在的隐蔽性病毒。该种病毒科通过自身特性，在驻留的文件中将自身的病毒代码隐蔽，这样特征代码法就无法监测出其病毒代码，从而不能监测出隐蔽性病毒代码。

隐蔽性病毒代码

(2)校验和法

计算机病毒相当于自然界的寄生虫，其传播时需寄存在一个文件中，但在其进行病毒感染时会对该寄生文件的大小和日期进行篡改。校验和病毒监测就是基于该方法进行监测，首先通过对已存的全部数据文件进行处理，同时得出常规校验和，将其存储。每次在对文件进行操作时，基于此种病毒监测法原理的病毒防护软件都会对文件当前的校验和与已存的校验和进行比较，通过对比来监测程序的安全性。采用此种病毒监测法不仅能够监测到已发现病毒，还能对未知病毒监测，但仍然无法监测出隐蔽病毒，也不能将病毒的详细信息进行汇报。同时该种方法的误报率会较上者更高一些，因为校验和可能由正常的操作改变，不全是由病毒引起，因此会增加出错率。

(3)行为检测法

由于病毒在感染到程序或者文件中通常会进行一些区别于正常文件的行为来对系统进行攻击或者数据窃取等行为，所以可以通过其特殊行为来对进行检查，通常称之为行为检测法。通过对病毒行为进行长期监测，总结出现在流行的病毒行为特征分为3种。首先是抢占INT13H。大多数的引导性病毒在侵入到系统后基本都会对系统的Boot扇区亦或主引导扇区进行攻击。

病毒行为检测法

在计算机系统启动时，该种病毒会在启动扇区中加载病毒代码，使得系统在启动时会先对病毒代码进行加载，加载后的病毒可驻留在文件中然后隐蔽起来，待到需要使用时可进行病毒传播。其次篡改系统内存总量。病毒在内存中驻留时，为确保其在内存中的位置，会将系统的内存总量篡改降低，这样可减少系统对系统程序和应用程序的运行数量，使其可以更好的驻留在系统中。然后是对COM,EXE等类型进行篡改，改方法通过行为监测法进行监测。最后为病毒与其寄生的主程序进行对换的病毒特殊行为。通过对换后在运行时最初会加载病毒随后才会对主程序进行加载。在主程序与病毒进行互换时，通常会有很多特殊的行为特征，通过对这些特征的总结和对比可检测出其病毒。综上所述该种检测法效率较低，出错率较高，通常在实际中应用的较少。

(4)软件模拟法

通过进行软件模拟法与加载相关软件，通过软件分析器进行的方法称之为软件模拟法。为解决很多病毒在入侵程序后会自动修改病毒代码的问题，还有该种病毒代码的加密处理，使得其他病毒监测法无法对其进行监测。通过软件模拟法可对该类病毒进行监测并读取病毒的详细信息。在监测时，需结合第一种方法。首先通过特征代码法发现受感染程序，然后利用软件模拟器对其进行跟踪分析，当病毒进行解密后再利用特征代码法进行病毒的监测、识别，最后进行真诚的杀毒程序。目前市场上在病毒解除技术方面，有三种主流方式：

进行软件模拟法与加载相关软件

（1）文件型解除

病毒的全部代码通过代码解码跳转等检测方式可以实现。病毒源被用于病毒体后数据被复制到病毒体重。这就是我们通常所说的病毒解除或查杀。将执行命令传递给软件模拟板块，对病毒代码进行检测扫描最后破译出来可以确定病毒的类型。

（2）引导型病毒的解除

引导型病毒种类也繁多，它们把软盘或硬盘的第一个扇区占据，在开机后对计算机的控制先于操作系统，对系统的I/O存取速度产生影响，从而使操作系统无法正常进行。此类病毒解除方法可用：逻辑法、地址法、估算法、涵盖法、特殊法。

（3）内存解毒

因为反病毒软件的检测结果会受到内存中的活病毒体的干扰，所以几乎所有反病毒软件设计者都要把内存解毒考虑在内。新的内存解毒技术是要使病毒传播功能失效，这就需要找到病毒在内存中的位置，然后重构其中部分代码。现在计算机网络技术的高速发达，杀毒软件也需要进一步更新。现在市场中常用的杀毒软件越来越多，功能越来越强大，在市场中最常用的杀毒原理为上述介绍中的特征代码法，该方法以其快速、便捷且等在市场中占有一席之地。因此本论文的研究手段和杀毒原理是基于特征代码法同时根据UEFI规范进行病毒扫描的工作原理。在病毒查杀过程中，通常还包括了对相应文件处理的手段方法，比如常用的PE格式的文件和解压缩技术等。

了解病毒在内存的位置才能彻底清理干净

以上就是杀毒软件检测技术的原理，希望对喜欢计算机的朋友们起到一点抛砖引玉的作用，同时也为一些非计算机爱好者多了解一些软件的设计基本原理。


本文版权归原作者海外科技风云所有，如有侵权请联系管理员删除，原文地址：https://www.toutiao.com/a6720104236442452491/