1. 殺毒軟件查殺原理
1. 特徵碼法
- 獲取病毒的特徵代碼(和普通代碼不同的部分),放入病毒庫,查毒的時候一一遍歷查詢
- 優點:檢測準確快速,出錯率低
- 缺點:不能檢測新型病毒,開銷大,會是網絡變慢.不能對付隱蔽性病毒,不能檢測多態病毒.
2. 校驗和法
- 將正常文件的內容,計算校驗和,隨時查詢他的校驗和是否變化,來判定是否中毒.
- 優點:方法簡單,呢個發現未知病毒
- 缺點:容易誤報:軟件更新,變更口令,修改參數都會!!!對隱蔽性病毒也無效,且不能識別病毒名稱.
3. 行爲監測法
- 利用病毒的特有行爲特徵性來檢測病毒的方法,如:修改一些特殊的註冊表,對com,exe文件做寫入動作
- 優點:可發現未知病毒,可準確的預知多數病毒,
- 缺點:容易誤報,不能識別病毒名稱,實現難.
4. 軟件模擬法
- 綜合了多種查殺方法,用於查殺多態性病毒
- 優點: 對病毒的判斷能力強
- 缺點:掃描速度慢.查毒往往不準確
1. 免殺技術分類
1. 內部免殺
- 從病毒源代碼入手
2. 外部免殺
- 又稱爲PE免殺
- 將已經編譯連接後的病毒文件通過加密等手段將代碼複雜化,從而干擾殺毒軟件的查殺.
3. 特徵碼免殺
- 修改病毒的特徵碼
4. 大範圍免殺
- 利用加花等方法,複雜化病毒代碼,是多種殺毒軟件失效(沒啥用)
5. 文件免殺
- 對病毒的靜態文件掃描
6. 內存免殺
- 對病毒的動態文件掃描
7. 行爲免殺
- 監測運行的程序是否對計算機系統有危害
8. 盲免技術
- 字面意思!!!