搜索法
這種方法主要是對(duì)每一種病毒含有的特定字符串進(jìn)行掃描�����,如果在被檢測(cè)對(duì)象內(nèi)部發(fā)現(xiàn)了某一種特定字節(jié)串�,就表明發(fā)現(xiàn)了該字節(jié)串所代表的病毒。國(guó)外稱這種按搜索法工作的病毒掃描軟件為“Scanner”���。
這種病毒掃描軟件由兩部分組成:一部分是病毒代碼庫(kù)�����,含有經(jīng)過特別選定的各種電腦病毒的代碼串;另一部分是利用該代碼庫(kù)進(jìn)行掃描的掃描程序����,病毒掃描程序能識(shí)別的電腦病毒的數(shù)目完全取決于病毒代碼庫(kù)內(nèi)所含病毒種類的多少����。
病毒代碼串的選擇是非常重要的,短小的病毒代碼只有一百多個(gè)字節(jié)���,長(zhǎng)的也只有10KB字節(jié)����。一定要在仔細(xì)分析程序之后選出最具代表特性的,足以將該病毒區(qū)別于其它病毒和該病毒的其它變種的代碼串�����。
一般情況下���,代碼串是由連續(xù)若干個(gè)字節(jié)組成的,但是有些掃描軟件采用的是可變長(zhǎng)串���,即在串中包含有一個(gè)到幾個(gè)“模糊”字節(jié)�。掃描軟件遇到這種串時(shí)�,只要除“模糊”字節(jié)之外的字串都能完好匹配,就也能夠判別出病毒�。另外,特征串還必須能將病毒與正常的非病毒程序區(qū)�,不然就會(huì)出現(xiàn)“假報(bào)、誤報(bào)”�����。
特征字識(shí)別法
這是基于特征串掃描法發(fā)展起來的一種方式,運(yùn)行速度較快�����、誤報(bào)頻率較低����。特征字識(shí)別法只須從病毒體內(nèi)抽取很少的幾個(gè)關(guān)鍵特征字,組成特征字庫(kù)�����。由于需要處理的字節(jié)很少���,又不必進(jìn)行串匹配�,因此大大加快了識(shí)別速度���,當(dāng)被處理的程序很大時(shí)��,用這種辦法比較合適���。
由于特征字識(shí)別法更注意電腦病毒的“程序活性”,因此減少了錯(cuò)報(bào)的可能性���。使用基于特征串掃描法的查病毒軟件方法與使用基于特征字識(shí)別法的查病毒軟件方法是一樣的�,只要運(yùn)行查毒程序,就能將已知的病毒檢查出來�����。這兩種方法的使用����,都須要不斷地對(duì)病毒庫(kù)進(jìn)行擴(kuò)充,一旦捕捉到病毒����,經(jīng)過提取特征并加入到病毒庫(kù)�����,就能使查病毒程序多檢查出一種新病毒來����。
比較法
這是用原始備份與被檢測(cè)的引導(dǎo)扇區(qū)或被檢測(cè)的文件進(jìn)行比較的方法,可以用打印的代碼清單(比如Debug的D命令輸出格式)進(jìn)行比較�,也可用程序來進(jìn)行比較(如DOS的DISKCOMP、COMP或PCTOOLS等其它軟件)���。
比較法不需要專用的查病毒程序�,只要用常規(guī)DOS軟件和PCTOOLS等工具軟件就可以進(jìn)行,而且還可以發(fā)現(xiàn)那些尚不能被現(xiàn)有的殺毒軟件發(fā)現(xiàn)的計(jì)算機(jī)病毒���。因?yàn)椴《緜鞑サ煤芸���,新病毒層出不窮,而目前還沒有能查出一切病毒的通用程序���,或通過代碼分析��,可以判定某個(gè)程序中是否含有病毒的查毒程序��,所以只有靠比較法和分析法����,或這兩種方法相結(jié)合來發(fā)現(xiàn)新病毒���。
對(duì)硬盤的主引導(dǎo)區(qū)或?qū)OS的引導(dǎo)扇區(qū)作檢查�����,用比較法能發(fā)現(xiàn)其中的程序源代碼是否發(fā)生了變化���。由于要進(jìn)行比較����,因此保留好原始備份是非常重要的�。制作備份時(shí)必須在無電腦病毒的環(huán)境里進(jìn)行,制作好的備份必須妥善保管�,寫好標(biāo)簽,貼好寫保護(hù)�。比較法的好處是簡(jiǎn)單、方便�����,不用專用軟件;缺點(diǎn)是無法確認(rèn)病毒的種類名稱����。
另外,造成被檢測(cè)程序與原始備份之間差別的原因尚需進(jìn)一步驗(yàn)證�,以查明是電腦病毒造成的�����,還是DOS數(shù)據(jù)被偶然原因����,如突然停電��、程序失控�����、惡意程序等破壞的����。這些要用到后面講的分析法���,查看變化部分代碼的性質(zhì)���,以此來確認(rèn)是否存在病毒�! 》治龇
這種方法一方面可以確認(rèn)被觀察的磁盤引導(dǎo)區(qū)和程序中是否含有病毒,另一方面可以辨認(rèn)病毒的類型和種類����,判定是否為一種新病毒,另外還可以搞清楚病毒體的大致結(jié)構(gòu)���,提取用于特征識(shí)別的字節(jié)串或特征字�,增添到病毒代碼庫(kù)中供病毒掃描和識(shí)別程序使用。同時(shí)�,詳細(xì)地分析病毒代碼,還有助于制定相應(yīng)的反病毒方案���。
與前三種檢測(cè)病毒的方法不同���,使用分析法檢測(cè)病毒,除了要具有相關(guān)的知識(shí)外��,還需要使用Debug��、Proview等分析工具程序和專用的試驗(yàn)用計(jì)算機(jī)���。因?yàn)榧词故呛芫ú《镜募夹g(shù)人員��,使用性能完善的分析軟件��,也不能完全保證在短時(shí)間內(nèi)將病毒代碼分析清楚�;而病毒則有可能在被分析階段繼續(xù)傳染甚至發(fā)作��,把軟盤�����、硬盤內(nèi)的數(shù)據(jù)完全毀壞掉�����,所以分析工作必須在專門的試驗(yàn)用PC機(jī)上進(jìn)行�����,不怕其中的數(shù)據(jù)被破壞�。
不具備必要的條件,不要輕易開始分析工作�����。很多電腦病毒采用了自加密���、抗跟蹤等技術(shù)����,使得分析病毒的工作經(jīng)常是冗長(zhǎng)枯燥的��。特別是某些文件型病毒的源代碼可達(dá)10KB以上����,與系統(tǒng)的牽扯層次很深��,使詳細(xì)的剖析工作十分復(fù)雜�。病毒檢測(cè)的分析法是反病毒工作中不可或缺的重要技術(shù)�����,任何一個(gè)性能優(yōu)良的反病毒系統(tǒng)的研制和開發(fā)都離不開專門人員對(duì)各種病毒詳盡��、認(rèn)真的分析�。