常见计算机病毒的检测方法主要有哪几种类型
常见计算机病毒的检测方法主要有以下几种类型:
特征代码法:特征代码法是利用已经创建的计算机病毒的特征代码病毒样本库,在具体检测时比对被检测的文件中是否存在病毒样本库中存在的代码,如果有就认为该文件感染了病毒,并根据样本库来确定具体的病毒名称。很显然,特征代码法的有效性建立在完善的病毒样本库的基础上。病毒样本库的建立需要采集已知病毒的样本,即提取病毒的特征代码。
校验和法:校验和法是指首先计算出正常文件程序代码的校验和(如Hash值),并保存在数据库中,在具体检测时将被检测程序的校验和与数据库中的值进行比对,以判断是否感染了计算机病毒。校验和法的优点是可检测到各种计算机病毒(包括未知病毒),能够发现被检测文件的细微变化;但其缺点是误差率较高,因为某些正常的程序操作引起的文件内容改变会被误认为是病毒攻击所致。同时,该方法无法确定具体的病毒名称。
状态监测法:状态监测是利用计算机病毒感染及破坏时表现出的一些与正常程序不同的特殊的状态特征,以及人为的经验来判断是否感染了计算机病毒。通过对计算机病毒的长期观察,识别出病毒行为的具体特征。当系统运行时,监视其行为,如果出现病毒感染,立即进行识别。
软件模拟法:软件模拟法专门针对多态病毒。多态病毒是指每次传染产生的病毒副本特征代码都发生变化的病毒。由于多态病毒没有固定的特征代码,并且在传播过程中使用不固定的密钥或随机数来加密病毒代码,或者在病毒运行过程中直接改变病毒代码,所以增加了病毒检测的难度。软件模拟技术可监视病毒的运行,并可以在设置的虚拟机环境下模拟执行病毒的解码程序,将病毒密码进行破译,还原真实的病毒程序代码。
档案校验和法:将计算出系统正常档案内容的校验和进行储存。并定期检查档案的校验和与原来储存的校验和是否一致,从而发现档案是否感染病毒,这种方法叫档案校验和法。它既可发现已知病毒又可发现未知病毒,能观测档案的细微变化。但是这种方法常常误报警,原因是病毒感染并非档案内容改变的惟一的非他性,还有可能是正常程式引起的。档案校验和法不是最好的方法,它会影响档案的执行速度。不能识别病毒名称、不能对付隐蔽型病毒。