計(jì)算機(jī)病毒的檢測(cè)方法

1、1計(jì)算機(jī)病毒的檢測(cè)方法2 計(jì)算機(jī)病毒進(jìn)行傳染，必然會(huì)留下痕計(jì)算機(jī)病毒進(jìn)行傳染，必然會(huì)留下痕跡。檢測(cè)計(jì)算機(jī)病毒，就是要到病毒寄跡。檢測(cè)計(jì)算機(jī)病毒，就是要到病毒寄生場(chǎng)所去檢查，發(fā)現(xiàn)異常情況，并進(jìn)而生場(chǎng)所去檢查，發(fā)現(xiàn)異常情況，并進(jìn)而驗(yàn)明驗(yàn)明“正身正身”，確認(rèn)計(jì)算機(jī)病毒的存在。，確認(rèn)計(jì)算機(jī)病毒的存在。病毒靜態(tài)時(shí)存儲(chǔ)于磁盤中，激活時(shí)駐留病毒靜態(tài)時(shí)存儲(chǔ)于磁盤中，激活時(shí)駐留在內(nèi)存中。在內(nèi)存中。 因此對(duì)計(jì)算機(jī)病毒的檢測(cè)分為因此對(duì)計(jì)算機(jī)病毒的檢測(cè)分為對(duì)內(nèi)存對(duì)內(nèi)存的檢測(cè)和對(duì)磁盤的檢測(cè)。的檢測(cè)和對(duì)磁盤的檢測(cè)。3 一般對(duì)磁盤進(jìn)行病毒檢測(cè)時(shí)，要求內(nèi)存中不一般對(duì)磁盤進(jìn)行病毒檢測(cè)時(shí)，要求內(nèi)存中不帶病毒，因?yàn)槟承┯?jì)算機(jī)病毒會(huì)

2、向檢測(cè)者報(bào)告帶病毒，因?yàn)槟承┯?jì)算機(jī)病毒會(huì)向檢測(cè)者報(bào)告假情況。假情況。 例如例如40964096病毒在內(nèi)存中時(shí)，查看被它感染的病毒在內(nèi)存中時(shí)，查看被它感染的文件長度時(shí)，不會(huì)發(fā)現(xiàn)該文件的長度已發(fā)生變文件長度時(shí)，不會(huì)發(fā)現(xiàn)該文件的長度已發(fā)生變化，而當(dāng)在內(nèi)存中沒有病毒時(shí)，才會(huì)發(fā)現(xiàn)文件化，而當(dāng)在內(nèi)存中沒有病毒時(shí)，才會(huì)發(fā)現(xiàn)文件長度已經(jīng)增加了長度已經(jīng)增加了40964096字節(jié)。字節(jié)。 又如又如引導(dǎo)區(qū)型的巴基斯坦大腦病毒，當(dāng)它引導(dǎo)區(qū)型的巴基斯坦大腦病毒，當(dāng)它被激活在內(nèi)存中時(shí)，檢查引導(dǎo)區(qū)時(shí)看不到病毒被激活在內(nèi)存中時(shí)，檢查引導(dǎo)區(qū)時(shí)看不到病毒程序而只看到正常的引導(dǎo)扇區(qū)。程序而只看到正常的引導(dǎo)扇區(qū)。4 病毒檢測(cè)的原理主

3、要基于下列幾種方法：病毒檢測(cè)的原理主要基于下列幾種方法： 利用病毒特征代碼串的利用病毒特征代碼串的特征代碼法特征代碼法利用文件內(nèi)容校驗(yàn)的利用文件內(nèi)容校驗(yàn)的校驗(yàn)和法校驗(yàn)和法用軟件虛擬分析的用軟件虛擬分析的軟件模擬法軟件模擬法比較被檢測(cè)對(duì)象與原始備份的比較被檢測(cè)對(duì)象與原始備份的比較法比較法運(yùn)用反匯編技術(shù)分析被檢測(cè)對(duì)象確認(rèn)運(yùn)用反匯編技術(shù)分析被檢測(cè)對(duì)象確認(rèn)是否為病毒的是否為病毒的分析法分析法51. 病毒的檢測(cè)方法病毒的檢測(cè)方法 1.1 特征代碼法特征代碼法 特征代碼法被認(rèn)為是用來檢測(cè)已知病毒的特征代碼法被認(rèn)為是用來檢測(cè)已知病毒的最簡單、開銷最小最簡單、開銷最小的方法。的方法。 原理：原理： 將所有病毒

4、的病毒碼加以剖析，并且將這將所有病毒的病毒碼加以剖析，并且將這些病毒獨(dú)有的特征搜集在一個(gè)病毒碼資料庫些病毒獨(dú)有的特征搜集在一個(gè)病毒碼資料庫中，簡稱中，簡稱“病毒庫病毒庫”，檢測(cè)時(shí)，檢測(cè)時(shí)，以掃描的方以掃描的方式將待檢測(cè)程序與病毒庫中的病毒特征碼進(jìn)式將待檢測(cè)程序與病毒庫中的病毒特征碼進(jìn)行一一對(duì)比，如果發(fā)現(xiàn)有相同的代碼，則可行一一對(duì)比，如果發(fā)現(xiàn)有相同的代碼，則可判定該程序已遭病毒感染。判定該程序已遭病毒感染。6在設(shè)計(jì)此類檢測(cè)工具時(shí)，應(yīng)考慮如下一些問題：在設(shè)計(jì)此類檢測(cè)工具時(shí)，應(yīng)考慮如下一些問題： （1） 高速性。高速性。 隨著病毒種類的增多，檢索時(shí)間變長。如果檢隨著病毒種類的增多，檢索時(shí)間變長。如果

5、檢索索5000種病毒，必須對(duì)種病毒，必須對(duì)5000個(gè)病毒特征代碼個(gè)病毒特征代碼逐一檢查。如果病毒種數(shù)再增加，檢查病毒的時(shí)逐一檢查。如果病毒種數(shù)再增加，檢查病毒的時(shí)間開銷就變得十分可觀。此類工具檢測(cè)的高速性，間開銷就變得十分可觀。此類工具檢測(cè)的高速性，將變得日益困難。將變得日益困難。（2） 誤報(bào)警率低。誤報(bào)警率低。（3） 要具有檢查多態(tài)性病毒的能力。此要求是對(duì)要具有檢查多態(tài)性病毒的能力。此要求是對(duì)病毒檢測(cè)工具的新要求，特征代碼法是不可能檢病毒檢測(cè)工具的新要求，特征代碼法是不可能檢測(cè)多態(tài)性病毒的。測(cè)多態(tài)性病毒的。7（4） 能對(duì)付隱蔽性病毒。隱蔽性病毒如果先進(jìn)能對(duì)付隱蔽性病毒。隱蔽性病毒如果先進(jìn)駐內(nèi)

6、存，后運(yùn)行病毒檢測(cè)工具，隱蔽性病毒能駐內(nèi)存，后運(yùn)行病毒檢測(cè)工具，隱蔽性病毒能先于檢測(cè)工具，將被查文件中的病毒代碼剝?nèi)?，先于檢測(cè)工具，將被查文件中的病毒代碼剝?nèi)ィ瑱z測(cè)工具的確是在檢查一個(gè)有毒文件，但它真檢測(cè)工具的確是在檢查一個(gè)有毒文件，但它真正看到的卻是一個(gè)虛假的正看到的卻是一個(gè)虛假的“好文件好文件”，而不能，而不能報(bào)警，被隱蔽性病毒所蒙騙。報(bào)警，被隱蔽性病毒所蒙騙。 81.2 校驗(yàn)和法校驗(yàn)和法 校驗(yàn)和法是將正常文件的內(nèi)容，計(jì)算其校驗(yàn)和法是將正常文件的內(nèi)容，計(jì)算其“校驗(yàn)和校驗(yàn)和”，將該校驗(yàn)和寫入文件中或?qū)懭雱e，將該校驗(yàn)和寫入文件中或?qū)懭雱e的文件中保存。的文件中保存。 在文件使用過程中，定期地或每

7、次使用文件在文件使用過程中，定期地或每次使用文件前，檢查文件現(xiàn)在內(nèi)容算出的校驗(yàn)和與原來保前，檢查文件現(xiàn)在內(nèi)容算出的校驗(yàn)和與原來保存的校驗(yàn)和是否一致，以此來發(fā)現(xiàn)文件是否感存的校驗(yàn)和是否一致，以此來發(fā)現(xiàn)文件是否感染。染。優(yōu)點(diǎn)優(yōu)點(diǎn): 既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒。既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒。 常用常用: 在許多常用的檢測(cè)工具中，都采用了這種方在許多常用的檢測(cè)工具中，都采用了這種方法。法。9 缺點(diǎn)缺點(diǎn) 不能識(shí)別病毒種類，不能報(bào)出病毒名稱不能識(shí)別病毒種類，不能報(bào)出病毒名稱 誤報(bào)警誤報(bào)警:由于病毒感染并非文件內(nèi)容改變的惟由于病毒感染并非文件內(nèi)容改變的惟一的排他性原因，文件內(nèi)容的改變有可能是正常一

8、的排他性原因，文件內(nèi)容的改變有可能是正常程序引起的，所以校驗(yàn)和法常常誤報(bào)警。程序引起的，所以校驗(yàn)和法常常誤報(bào)警。 會(huì)影響文件的運(yùn)行速度會(huì)影響文件的運(yùn)行速度 當(dāng)已有軟件版本更新、變更口令或修改運(yùn)行參當(dāng)已有軟件版本更新、變更口令或修改運(yùn)行參數(shù)時(shí)，校驗(yàn)和法都會(huì)誤報(bào)警。數(shù)時(shí)，校驗(yàn)和法都會(huì)誤報(bào)警。10校驗(yàn)和法對(duì)隱蔽性病毒無效校驗(yàn)和法對(duì)隱蔽性病毒無效: 隱蔽性病毒進(jìn)駐內(nèi)存后，會(huì)自動(dòng)剝?nèi)ト径境绦螂[蔽性病毒進(jìn)駐內(nèi)存后，會(huì)自動(dòng)剝?nèi)ト径境绦蛑械牟《敬a，使校驗(yàn)和法受騙，對(duì)一個(gè)有毒文中的病毒代碼，使校驗(yàn)和法受騙，對(duì)一個(gè)有毒文件算出正常校驗(yàn)和。件算出正常校驗(yàn)和。111.3 軟件模擬法軟件模擬法 為了檢測(cè)多態(tài)性病毒，國

9、外研制了新的檢測(cè)為了檢測(cè)多態(tài)性病毒，國外研制了新的檢測(cè)方法方法軟件模擬法軟件模擬法。它是一種軟件分析器，。它是一種軟件分析器，用軟件方法來模擬和分析程序的運(yùn)行，以后演用軟件方法來模擬和分析程序的運(yùn)行，以后演繹為虛擬機(jī)上進(jìn)行的查毒，啟發(fā)式查毒技術(shù)等，繹為虛擬機(jī)上進(jìn)行的查毒，啟發(fā)式查毒技術(shù)等，是相對(duì)成熟的技術(shù)。是相對(duì)成熟的技術(shù)。 新型檢測(cè)工具納入了軟件模擬法，該類工具新型檢測(cè)工具納入了軟件模擬法，該類工具開始運(yùn)行時(shí)，使用特征代碼法檢測(cè)病毒，如果開始運(yùn)行時(shí)，使用特征代碼法檢測(cè)病毒，如果發(fā)現(xiàn)隱蔽病毒或多態(tài)性病毒嫌疑時(shí)，啟動(dòng)軟件發(fā)現(xiàn)隱蔽病毒或多態(tài)性病毒嫌疑時(shí)，啟動(dòng)軟件模擬模塊，監(jiān)視病毒的運(yùn)行，待病毒自身

10、的密模擬模塊，監(jiān)視病毒的運(yùn)行，待病毒自身的密碼譯碼以后，再運(yùn)用特征代碼法來識(shí)別病毒的碼譯碼以后，再運(yùn)用特征代碼法來識(shí)別病毒的種類。種類。121.4 比較法比較法 比較法是用原始的或正常的文件與被檢測(cè)比較法是用原始的或正常的文件與被檢測(cè)的文件進(jìn)行比較。的文件進(jìn)行比較。長度比較法長度比較法內(nèi)容比較法內(nèi)容比較法內(nèi)存比較法內(nèi)存比較法中斷比較法中斷比較法 比較時(shí)可以靠打印的代碼清單（比如比較時(shí)可以靠打印的代碼清單（比如DEBUG的口命令輸出格式）進(jìn)行比較，或用的口命令輸出格式）進(jìn)行比較，或用程序來進(jìn)行比較（如程序來進(jìn)行比較（如DOS的的DISKCOMP、COMP或或PCTOOLS等其他軟件）。等其他軟件

11、）。 13 可以發(fā)現(xiàn)那些尚不能被現(xiàn)有的查病毒程序可以發(fā)現(xiàn)那些尚不能被現(xiàn)有的查病毒程序發(fā)現(xiàn)的計(jì)算機(jī)病毒。因?yàn)椴《緜鞑サ煤芸?，發(fā)現(xiàn)的計(jì)算機(jī)病毒。因?yàn)椴《緜鞑サ煤芸?，新病毒層出不窮，由于目前還沒有做出通用新病毒層出不窮，由于目前還沒有做出通用的能查出一切病毒，或通過代碼分析，可以的能查出一切病毒，或通過代碼分析，可以判定某個(gè)程序中是否含有病毒的查毒程序，判定某個(gè)程序中是否含有病毒的查毒程序，發(fā)現(xiàn)新病毒就只有靠比較法和分析法，有時(shí)發(fā)現(xiàn)新病毒就只有靠比較法和分析法，有時(shí)必須結(jié)合這兩者一同工作。必須結(jié)合這兩者一同工作。14 1. 長度比較法及內(nèi)容比較法長度比較法及內(nèi)容比較法 病毒感染系統(tǒng)或文件，必然引起系

12、統(tǒng)或文病毒感染系統(tǒng)或文件，必然引起系統(tǒng)或文件的變化，既包括長度的變化，又包括內(nèi)容的件的變化，既包括長度的變化，又包括內(nèi)容的變化。因此，變化。因此，將無毒的系統(tǒng)或文件與被檢測(cè)的將無毒的系統(tǒng)或文件與被檢測(cè)的系統(tǒng)或文件的長度和內(nèi)容進(jìn)行比較系統(tǒng)或文件的長度和內(nèi)容進(jìn)行比較，即可發(fā)現(xiàn)，即可發(fā)現(xiàn)病毒。病毒。152 內(nèi)存比較法內(nèi)存比較法 這是一種對(duì)內(nèi)存駐留病毒進(jìn)行檢測(cè)的方法。這是一種對(duì)內(nèi)存駐留病毒進(jìn)行檢測(cè)的方法。由于病毒駐留于內(nèi)存，必須在內(nèi)存中申請(qǐng)一定由于病毒駐留于內(nèi)存，必須在內(nèi)存中申請(qǐng)一定的空間，并對(duì)該空間進(jìn)行占用、保護(hù)。因此，的空間，并對(duì)該空間進(jìn)行占用、保護(hù)。因此，通過對(duì)內(nèi)存的檢測(cè)，觀察其空間變化，與正常

13、通過對(duì)內(nèi)存的檢測(cè)，觀察其空間變化，與正常系統(tǒng)內(nèi)存的占用和空間進(jìn)行比較，可以判斷是系統(tǒng)內(nèi)存的占用和空間進(jìn)行比較，可以判斷是否有病毒駐留其間。但無法判定為何種病毒。否有病毒駐留其間。但無法判定為何種病毒。此法對(duì)于那些隱蔽型病毒無效。此法對(duì)于那些隱蔽型病毒無效。163 中斷比較法中斷比較法 病毒為實(shí)現(xiàn)其隱蔽和傳染破壞之目的，常病毒為實(shí)現(xiàn)其隱蔽和傳染破壞之目的，常采用采用“截留盜用截留盜用”技術(shù)，更改、接管中斷向量，技術(shù)，更改、接管中斷向量，讓系統(tǒng)中斷向量轉(zhuǎn)向執(zhí)行病毒控制部分。因此，讓系統(tǒng)中斷向量轉(zhuǎn)向執(zhí)行病毒控制部分。因此，將正常系統(tǒng)的中斷向量與有毒系統(tǒng)的中斷向量將正常系統(tǒng)的中斷向量與有毒系統(tǒng)的中斷向

14、量進(jìn)行比較，可以發(fā)現(xiàn)是否有病毒修改和盜用中進(jìn)行比較，可以發(fā)現(xiàn)是否有病毒修改和盜用中斷向量斷向量。17 比較法的好處是簡單、方便，不需專用軟比較法的好處是簡單、方便，不需專用軟件。件。 缺點(diǎn)是缺點(diǎn)是無法確認(rèn)病毒的種類名稱無法確認(rèn)病毒的種類名稱。181.5 分析法分析法 一般使用分析法的人不是普通用戶，而是一般使用分析法的人不是普通用戶，而是反病毒技術(shù)人員。使用分析法的目的是：反病毒技術(shù)人員。使用分析法的目的是： （1） 確認(rèn)被觀察的磁盤引導(dǎo)區(qū)和程序中是否確認(rèn)被觀察的磁盤引導(dǎo)區(qū)和程序中是否含有病毒。含有病毒。（2） 確認(rèn)病毒的類型和種類，判定其是否是確認(rèn)病毒的類型和種類，判定其是否是一種新病毒。一種新病毒。（3） 搞清楚病毒體的大致結(jié)構(gòu)，提取特征識(shí)搞清楚病毒體的大致結(jié)構(gòu)，提取特征識(shí)別用的字符串或特征字，別用的字符串或特征字， 用于增添到病毒代用于增添到病