1.3 杀 毒 软 件 查 杀 原 理 杀 毒 软 件 是 根 据 什 么 来 进 行 病 毒 判 断 并 查 杀 的 呢 ? 在 讲 这 个 问 题 之 前 首 先 要 弄 清 楚 杀毒 软 件 检 测 病 毒 的 方 法 , 在 与 病 毒 的 对 抗 中 , 及 早 发 现 病 毒 有 重 要 。 早 发 现 , 早 处理 , 可 以 减 少 损 失 。 检 测 病 毒 的 方 法 有 : 特 征 码 法 、校验和法 、行 为检 测 法 、软 件 模拟法 。 这 些方 法 依据 原 理 不同, 实现 时所需开销不同, 检 测 范围不同, 各有 所长。 1.3.1 特 征 码 法 被早 期应用于 SCAN、CPAV 等著名病 毒 检 测 工具中 。 国外专家认为特 征 码 法是 检 测 已知病 毒 的 最简单、开销最小的 方 法 , 特 征 码 法 的 实现 步凑如下: 1、 抽取的 代码 比较特 殊, 不大可 能与 普通正常程序代码 吻合。 2、 抽取的 代码 要 适当长度, 一方 面维持特 征 码 的 唯一性, 另一方 面又不要 有 太大的 空间与 时间的 开销。 如果一种病 毒 的 特 征 码 增强一字节, 要 检 测 3000 种病毒 , 增加的 空间就是 3000 字节。 在 保持唯一性的 前 提下, 尽量使特 征 码 长度短些。 杀 毒 软 件 在 扫描文件 的 时候, 在 文件 中 搜索是 否含有 病 毒 数据 库中 的 病 毒 特 征码 。 如果发 现 病 毒 特 征 码 , 由于特 征 码 与 病 毒 一一对 应, 便可 以 断 定为病 毒 。这 里的 特 征 码 分为两个 部分, 第一个 是 特 征 码 位置;第二部分是 狭义上的 特 征码 。 杀 毒 软 件 运用特 征 码 扫描确定某文件 为病 毒 时, 这 个 文件 需要 满足两个 条件 : 1、该文件 中 的 某一位置与 杀 毒 软 件 病 毒 库的 某一位置相对 应。 2、该位置上存放的 代码 与 病 毒 库中 定义的 该位置上的 代码 相同。 采用病 毒 特 征 码 法 的 检 测 工具, 面对 不断 出现 的 新病 毒 必须不断 更新版本, 否则检 测工具便会老化, 逐渐失 去实用价值。 病 毒 特 征 码 法 对 从未见过的 新病 毒 , 自然无法 知道其特 征 码 , 因而无法 去检 测 这 些新病...
