殺毒軟件的作用原理

　　在現(xiàn)在的互聯(lián)網(wǎng)時(shí)代里面，病毒很多，殺病毒的軟件也很多，那你知道殺毒軟件的作用原理嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于殺毒軟件的作用原理的相關(guān)資料，供你參考。

　　殺毒軟件的作用原理：

　　1.嚴(yán)密監(jiān)控內(nèi)存RAM區(qū)

　　對(duì)RAM的監(jiān)控主要包括三個(gè)方面：

　　(1)跟蹤內(nèi)存容量的異常變化

　　內(nèi)存容量由內(nèi)存0000:004BH處的一個(gè)字單元來表示。正常情況下，該處的一個(gè)字表示以K為單位的內(nèi)存容量。例如，如果內(nèi)存容量為512K，則該字的內(nèi)存為0200H，如果內(nèi)存容量為640K，則該字的內(nèi)容為0280H。由于系統(tǒng)型病毒在侵入系統(tǒng)后，一般都要對(duì)內(nèi)存容量進(jìn)行修改，以便保護(hù)其放在內(nèi)存高端的病毒程序不被其他程序或COMMAND.COM文件的暫駐部分所覆蓋。

　　因此，如果軟件檢測到內(nèi)存容量發(fā)生了某些異常變化，通常是容量被無端占用，大幅度縮容，則表明有病毒存在。

　　(2)對(duì)中斷向量進(jìn)行監(jiān)控、檢測

　　此原理與病毒報(bào)警軟件有關(guān)部分相同。

　　(3)對(duì)RAM區(qū)進(jìn)行掃描

　　利用檢測軟件中所儲(chǔ)存的大量病毒特征值，對(duì)RAM區(qū)中的所有字符串進(jìn)行掃描。如果發(fā)現(xiàn)RAM中的某些字符串與已知病毒的特征值字符串相同，則表明內(nèi)存中已駐留了這種病毒，應(yīng)立即采取措施。

　　2.監(jiān)控磁盤引導(dǎo)扇區(qū)

　　系統(tǒng)型病毒主要維護(hù)引導(dǎo)扇區(qū)，對(duì)引導(dǎo)扇區(qū)的嚴(yán)格監(jiān)控，可以有效檢測出系統(tǒng)型病毒。

　　(1)代碼和有變，則可能有病毒感染。

　　由DOS的各種版本格式化后磁盤引導(dǎo)扇區(qū)的內(nèi)容都是固定的，所以其代碼和也是固定的。檢測軟件在求出代碼和后，如果發(fā)現(xiàn)其結(jié)果與DOS版本的正常代碼不一致，就可以初步確定被檢測的磁盤引導(dǎo)扇區(qū)被病毒所感染。

　　此方法有其局限性，通常它需結(jié)合其他方法才能做出最終判斷。

　　(2)掃描引導(dǎo)扇區(qū)的所有字符串

　　若發(fā)現(xiàn)有病毒特征值字符串出現(xiàn)，則可以判定有病毒存在于引導(dǎo)扇區(qū)。

　　(3)全方位掃描磁盤文件

　　檢測軟件對(duì)系統(tǒng)中的所有文件進(jìn)行掃描，查找病毒特征值字符串，以確定是否有病毒被檢測出。

　　顯然，它是針對(duì)文件型病毒的一種作用方式。

　　病毒檢測的方法

　　在與病毒的對(duì)抗中，及早發(fā)現(xiàn)病毒很重要。早發(fā)現(xiàn)，早處置，可以減少損失。檢測病毒方法有：特征代碼法、校驗(yàn)和法、行為監(jiān)測法、軟件模擬法

　　這些方法依據(jù)的原理不同，實(shí)現(xiàn)時(shí)所需開銷不同，檢測范圍不同，各有所長。

　　特征代碼法

　　特征代碼法被早期應(yīng)用于SCAN、CPAV等著名病毒檢測工具中。國外專家認(rèn)為特征代碼法是檢測已知病毒的最簡單、開銷最小的方法。

　　特征代碼法的實(shí)現(xiàn)步驟如下：

　　采集已知病毒樣本，病毒如果既感染COM文件，又感染EXE文件，對(duì)這種病毒要同時(shí)采集COM型病毒樣本和EXE型病毒樣本。

　　在病毒樣本中，抽取特征代碼。依據(jù)如下原則：

　　抽取的代碼比較特殊，不大可能與普通正常程序代碼吻合。抽取的代碼要有適當(dāng)長度，一方面維持特征代碼的唯一性，另一方面又不要有太大的空間與時(shí)間的開銷。如果一種病毒的特征代碼增長一字節(jié)，要檢測3000種病毒，增加的空間就是3000字節(jié)。在保持唯一性的前提下，盡量使特征代碼長度短些，以減少空間與時(shí)間開銷。

　　在既感染COM文件又感染EXE文件的病毒樣本中，要抽取兩種樣本共有的代碼。將特征代碼納入病毒數(shù)據(jù)庫。

　　打開被檢測文件，在文件中搜索，檢查文件中是否含有病毒數(shù)據(jù)庫中的病毒特征代碼。如果發(fā)現(xiàn)病毒特征代碼，由于特征代碼與病毒一一對(duì)應(yīng)，便可以斷定，被查文件中患有何種病毒。

　　采用病毒特征代碼法的檢測工具，面對(duì)不斷出現(xiàn)的新病毒，必須不斷更新版本，否則檢測工具便會(huì)老化，逐漸失去實(shí)用價(jià)值。病毒特征代碼法對(duì)從未見過的新病毒，自然無法知道其特征代碼，因而無法去檢測這些新病毒。

　　特征代碼法的優(yōu)點(diǎn)是：檢測準(zhǔn)確快速、可識(shí)別病毒的名稱、誤報(bào)警率低、依據(jù)檢測結(jié)果，可做解毒處理。其缺點(diǎn)是：不能檢測未知病毒、搜集已知病毒的特征代碼，費(fèi)用開銷大、在網(wǎng)絡(luò)上效率低(在網(wǎng)絡(luò)服務(wù)器上，因長時(shí)間檢索會(huì)使整個(gè)網(wǎng)絡(luò)性能變壞)。

　　其特點(diǎn)：

　　A.速度慢。隨著病毒種類的增多，檢索時(shí)間變長。如果檢索5000種病毒，必須對(duì)5000個(gè)病毒特征代碼逐一檢查。如果病毒種數(shù)再增加，檢病毒的時(shí)間開銷就變得十分可觀。此類工具檢測的高速性，將變得日益困難。

　　B.誤報(bào)警率低。

　　非C.不能檢查多形性病毒。特征代碼法是不可能檢測多態(tài)性病毒的。國外專家認(rèn)為多態(tài)性病毒是病毒特征代碼法的索命者。

　　D.不能對(duì)付隱蔽性病毒。隱蔽性病毒如果先進(jìn)駐內(nèi)存，后運(yùn)行病毒檢測工具，隱蔽性病毒能先于檢測工具，將被查文件中的病毒代碼剝?nèi)ィ瑱z測工具的確是在檢查一個(gè)虛假的“好文件”，而不能報(bào)警，被隱蔽性病毒所蒙騙。

　　校驗(yàn)和法

　　將正常文件的內(nèi)容，計(jì)算其校驗(yàn)和，將該校驗(yàn)和寫入文件中或?qū)懭雱e的文件中保存。在文件使用過程中，定期地或每次使用文件前，檢查文件現(xiàn)在內(nèi)容算出的校驗(yàn)和與原來保存的校驗(yàn)和是否一致，因而可以發(fā)現(xiàn)文件是否感染，這種方法叫校驗(yàn)和法，它既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒。在SCAN和CPAV工具的后期版本中除了病毒特征代碼法之外，還納入校驗(yàn)和法，以提高其檢測能力。

　　這種方法既能發(fā)現(xiàn)已知病毒，也能發(fā)現(xiàn)未知病毒，但是，它不能識(shí)別病毒類，不能報(bào)出病毒名稱。由于病毒感染并非文件內(nèi)容改變的唯一的非他性原因，文件內(nèi)容的改變有可能是正常程序引起的，所以校驗(yàn)和法常常誤報(bào)警。而且此種方法也會(huì)影響文件的運(yùn)行速度。

　　病毒感染的確會(huì)引起文件內(nèi)容變化，但是校驗(yàn)和法對(duì)文件內(nèi)容的變化太敏感，又不能區(qū)分正常程序引起的變動(dòng)，而頻繁報(bào)警。用監(jiān)視文件的校驗(yàn)和來檢測病毒，不是最好的方法。

　　這種方法遇到下述情況：已有軟件版更新、變更口令、修改運(yùn)行參數(shù)、校驗(yàn)和法都會(huì)誤報(bào)警。

　　校驗(yàn)和法對(duì)隱蔽性病毒無效。隱蔽性病毒進(jìn)駐內(nèi)存后，會(huì)自動(dòng)剝?nèi)ト径境绦蛑械牟《敬a，使校驗(yàn)和法受騙，對(duì)一個(gè)有毒文件算出正常校驗(yàn)和。

　　運(yùn)用校驗(yàn)和法查病毒采用三種方式：

　?、僭跈z測病毒工具中納入校驗(yàn)和法，對(duì)被查的對(duì)象文件計(jì)算其正常狀態(tài)的校驗(yàn)和，將校驗(yàn)和值寫入被查文件中或檢測工具中，而后進(jìn)行比較。

　?、谠趹?yīng)用程序中，放入校驗(yàn)和法自我檢查功能，將文件正常狀態(tài)的校驗(yàn)和寫入文件本身中，每當(dāng)應(yīng)用程序啟動(dòng)時(shí)，比較現(xiàn)行校驗(yàn)和與原校驗(yàn)和值。實(shí)現(xiàn)應(yīng)用程序的自檢測。

　　③將校驗(yàn)和檢查程序常駐內(nèi)存，每當(dāng)應(yīng)用程序開始運(yùn)行時(shí)，自動(dòng)比較檢查應(yīng)用程序內(nèi)部或別的文件中預(yù)先保存的校驗(yàn)和。

　　校驗(yàn)和法的優(yōu)點(diǎn)是：方法簡單能發(fā)現(xiàn)未知病毒、被查文件的細(xì)微變化也能發(fā)現(xiàn)。其缺點(diǎn)是：發(fā)布通行記錄正常態(tài)的校驗(yàn)和、會(huì)誤報(bào)警、不能識(shí)別病毒名稱、不能對(duì)付隱蔽型病毒。

　　行為監(jiān)測法

　　利用病毒的特有行為特征性來監(jiān)測病毒的方法，稱為行為監(jiān)測法。通過對(duì)病毒多年的觀察、研究，有一些行為是病毒的共同行為，而且比較特殊。在正常程序中，這些行為比較罕見。當(dāng)程序運(yùn)行時(shí)，監(jiān)視其行為，如果發(fā)現(xiàn)了病毒行為，立即報(bào)警。

　　這些做為監(jiān)測病毒的行為特征如下：

　　A.占有INT 13H

　　所有的引導(dǎo)型病毒，都攻擊Boot扇區(qū)或主引導(dǎo)扇區(qū)。系統(tǒng)啟動(dòng)時(shí)，當(dāng)Boot扇區(qū)或主引導(dǎo)扇區(qū)獲得執(zhí)行權(quán)時(shí)，系統(tǒng)剛剛開工。一般引導(dǎo)型病毒都會(huì)占用INT 13H功能，因?yàn)槠渌到y(tǒng)功能未設(shè)置好，無法利用。引導(dǎo)型病毒占據(jù)INT 13H功能，在其中放置病毒所需的代碼。

　　B.改DOS系統(tǒng)為數(shù)據(jù)區(qū)的內(nèi)存總量

　　病毒常駐內(nèi)存后，為了防止DOS系統(tǒng)將其覆蓋，必須修改系統(tǒng)內(nèi)存總量。

　　C.對(duì)COM、EXE文件做寫入動(dòng)作

　　病毒要感染，必須寫COM、EXE文件。

　　D.病毒程序與宿主程序的切換

　　染毒程序運(yùn)行中，先運(yùn)行病毒，而后執(zhí)行宿主程序。在兩者切換時(shí)，有許多特征行為。

　　行為監(jiān)測法的長處：可發(fā)現(xiàn)未知病毒、可相當(dāng)準(zhǔn)確地預(yù)報(bào)未知的多數(shù)病毒。行為監(jiān)測法的短處：可能誤報(bào)警、不能識(shí)別病毒名稱、實(shí)現(xiàn)時(shí)有一定難度。

　　軟件模擬法

　　多態(tài)性病毒每次感染都變化其病毒密碼，對(duì)付這種病毒，特征代碼法失效。因?yàn)槎鄳B(tài)性病毒代碼實(shí)施密碼化，而且每次所用密鑰不同，把染毒的病毒代碼相互比較，也無法找出相同的可能做為特征的穩(wěn)定代碼。雖然行為檢測法可以檢測多態(tài)性病毒，但是在檢測出病毒后，因?yàn)椴恢《镜姆N類，難于做消毒處理。

　　計(jì)算機(jī)病毒的防治策略

　　計(jì)算機(jī)病毒的防治要從防毒、查毒、解毒三方面來進(jìn)行;系統(tǒng)對(duì)于計(jì)算機(jī)病毒的實(shí)際防治能力和效果也要從防毒能力、查毒能力和解毒能力三方面來評(píng)判。

　　“防毒”是指根據(jù)系統(tǒng)特性，采取相應(yīng)的系統(tǒng)安全措施預(yù)防病毒侵入計(jì)算機(jī)。“查毒”是指對(duì)于確定的環(huán)境，能夠準(zhǔn)確地報(bào)出病毒名稱，該環(huán)境包括，內(nèi)存、文件、引導(dǎo)區(qū)(含主導(dǎo)區(qū))、網(wǎng)絡(luò)等。“解毒”是指根據(jù)不同類型病毒對(duì)感染對(duì)象的修改，并按照病毒的感染特性所進(jìn)行的恢復(fù)。該恢復(fù)過程不能破壞未被病毒修改的內(nèi)容。感染對(duì)象包括：內(nèi)存、引導(dǎo)區(qū)(含主引導(dǎo)區(qū))、可執(zhí)行文件、文檔文件、網(wǎng)絡(luò)等。

　　防毒能力是指預(yù)防病毒侵入計(jì)算機(jī)系統(tǒng)的能力。通過采取防毒措施，應(yīng)可以準(zhǔn)確地、實(shí)時(shí)地監(jiān)測預(yù)警經(jīng)由光盤、軟盤、硬盤不同目錄之間、局域網(wǎng)、因特網(wǎng)(包括FTP方式、E-MAIL、HTTP方式)或其它形式的文件下載等多種方式進(jìn)行的傳輸;能夠在病毒侵入系統(tǒng)是發(fā)出警報(bào)，記錄攜帶病毒的文件，即時(shí)清除其中的病毒;對(duì)網(wǎng)絡(luò)而言，能夠向網(wǎng)絡(luò)管理員發(fā)送關(guān)于病毒入侵的信息，記錄病毒入侵的工作站，必要時(shí)還要能夠注銷工作站，隔離病毒源。

　　查毒能力是指發(fā)現(xiàn)和追蹤病毒來源的能力。通過查毒應(yīng)該能準(zhǔn)確地發(fā)現(xiàn)計(jì)算機(jī)系統(tǒng)是否感染有病毒，并準(zhǔn)確查找出病毒的來源，并能給出統(tǒng)計(jì)報(bào)告;查解病毒的能力應(yīng)由查毒率和誤報(bào)率來評(píng)判。

　　解毒能力是指從感染對(duì)象中清除病毒，恢復(fù)被病毒感染前的原始信息的能力;解毒能力應(yīng)用解毒率來評(píng)判。

　　看過文章“殺毒軟件的作用原理”的人還看了：

　　1.支持Win7的國產(chǎn)殺毒軟件有哪些

　　2.諾頓殺毒軟件的介紹

　　3.關(guān)于殺毒軟件安裝使用的誤區(qū)

　　4.電腦防護(hù)軟件排名

　　5.為什么殺毒軟件打不開

　　6.殺毒軟件無法打開的原因分析

　　7.電腦自帶殺毒軟件mcafee的使用方法

　　8.360電腦病毒殺毒軟件

　　9.安裝殺毒軟件與設(shè)置防火墻 保障電腦安全