识别病毒有哪些方式
检测病毒方法通常有:
特征代码法:这种方法根据正常程序与病毒程序代码的差别来识别病毒文件。有人认为,对于已知病毒来说,这种方法是最简单、最直接的方法,这种方法的优、缺点都很突出。
优点:检测的准确率较高,误报率低。
缺点:查杀速度慢,由于已知病毒越来越多,因此病毒特征码也随之增加,因此查杀速度也会越来越慢。不能检测未知病毒和多态性病毒以及隐蔽性病毒。另外这种检测方法也不适合网络版杀毒软件采用,因为它会消耗我们宝贵的网络资源。
校验和法:此法计算文件的校验和(只要知道是一种算法就可以了)并保存,可定期或调用文件时进行对比,从而判断文件是否被病毒感染。虽然此法可以发现未知病毒,但由于其较高的误报率,已经逐渐不被采用。
优点:可发现未知病毒。
缺点:无法报出病毒名称,误报率高,当软件更新,口令修改或修改文件内容时,校验和法都可能会误报,因为这种方法无法区分文件内容的变化是不是属于正常的程序使用引起的。
行为监测法:此法根据病毒的行为特征来识别病毒,这需要对病毒行为进行详细的分类和研究,分析那些病毒共同的行为,以及正常程序的罕见行为,根据程序运行时的行为进行病毒判断和预警。
优点:由于其归纳和总结各种病毒的共同特征,因此可以发现未知病毒,对于多数未知病毒预报非常有效。
缺点:对于未知行为病毒,不能有效检测,同时也存在误报现象,对查到的未知病毒,不能识别病毒名称,因此普通用户不能对发现的未知病毒进行有效的清除。
软件模拟法:这种方法通过模拟病毒运行的方式来检测病毒特征,由于特征码法无法检测多态性病毒,虽然行为监测法可以发现病毒,但是无法确定病毒名称,也无法对其进行相应的杀除,因此产生了软件模拟法。
优点:可识别未知病毒,病毒定位准确,误报率低。
缺点:检测速度受到一定影响,消耗系统资源较高。
长度检测法:病毒程序的长度与正常程序下文件的长度相比有较大的差异,受到病毒侵袭的文件字节长度会大大增加,使之区别于正常文件的长度和大小。病毒具备的特征之一就是感染性,被感染的文件和程序即宿主程序,其文件长度会增加几百字节,根据染病文件的长度不同,可以实现病毒的检测。
优点:将其中携带病毒的文件进行修复或删除,同时对文件增加的字节长度进行诊断,确定病毒的种类,实行相对有效的杀毒防护。
缺点:长度检测法也有其弊端,根据长度识别病毒的方法并非完全有效,该方法无法实现对受到病毒侵袭后长度不变的文件的检测,因而具有一定的局限性。
病毒标记检测法:对已经传染病毒的文件和程序进行标记,对程序的不同位置进行特定的标记,根据这些标记对病毒进行综合分析,确定病毒样本,掌握病毒的种类和特性。
优点:病毒标记法的使用,要求操作者熟知各种病毒,对其中具有特性的程序片段进行综合分析和考量。
缺点:耗费的时间和精力较大,而且必须熟记病毒标记和位置。通过对病毒样本分析,可以掌握病毒的标记内容和位置,并对其宿主程序进行病毒标记搜索,查找被感染的病毒文件,对其进行相应的处理。
上述几种检测方法各有所长,往往都不能单纯使用一种方法完成大规模病毒的检测报警工作,通常都是几种技术相结合,根据实际情况和应用场合配合运用相应的检测手段。