下载此文档

计算机病毒的检测方法ppt课件.ppt


文档分类:IT计算机 | 页数:约19页 举报非法文档有奖
1/19
下载提示
  • 1.该资料是网友上传的,本站提供全文预览,预览什么样,下载就什么样。
  • 2.下载该文档所得收入归上传者、原创者。
  • 3.下载的文档,不会出现我们的网址水印。
1/19 下载此文档
文档列表 文档介绍
计算机病毒的检测方法
1
完整版PPT课件
计算机病毒进行传染,必然会留下痕迹。检测计算机病毒,就是要到病毒寄生场所去检查,发现异常情况,并进而验明“正身”,确认计算机病毒的存在。病毒静态时存储于磁盘中,激活时驻留在内存中。
因此对计算机病毒的检测分为对内存的检测和对磁盘的检测。
2
完整版PPT课件
一般对磁盘进行病毒检测时,要求内存中不带病毒,因为某些计算机病毒会向检测者报告假情况。
例如4096病毒在内存中时,查看被它感染的文件长度时,不会发现该文件的长度已发生变化,而当在内存中没有病毒时,才会发现文件长度已经增加了4096字节。
又如引导区型的巴基斯坦大脑病毒,当它被激活在内存中时,检查引导区时看不到病毒程序而只看到正常的引导扇区。
3
完整版PPT课件
病毒检测的原理主要基于下列几种方法:
利用病毒特征代码串的特征代码法
利用文件内容校验的校验和法
用软件虚拟分析的软件模拟法
比较被检测对象与原始备份的比较法
运用反汇编技术分析被检测对象确认是否为病毒的分析法
4
完整版PPT课件
1. 病毒的检测方法
特征代码法
特征代码法被认为是用来检测已知病毒的最简单、开销最小的方法。
原理:
将所有病毒的病毒码加以剖析,并且将这些病毒独有的特征搜集在一个病毒码资料库中,简称“病毒库”,检测时,以扫描的方式将待检测程序与病毒库中的病毒特征码进行一一对比,如果发现有相同的代码,则可判定该程序已遭病毒感染。
5
完整版PPT课件
在设计此类检测工具时,应考虑如下一些问题:
(1) 高速性。
随着病毒种类的增多,检索时间变长。如果检索5000种病毒,必须对5000个病毒特征代码逐一检查。如果病毒种数再增加,检查病毒的时间开销就变得十分可观。此类工具检测的高速性,将变得日益困难。
(2) 误报警率低。
(3) 要具有检查多态性病毒的能力。此要求是对病毒检测工具的新要求,特征代码法是不可能检测多态性病毒的。
6
完整版PPT课件
(4) 能对付隐蔽性病毒。隐蔽性病毒如果先进驻内存,后运行病毒检测工具,隐蔽性病毒能先于检测工具,将被查文件中的病毒代码剥去,检测工具的确是在检查一个有毒文件,但它真正看到的却是一个虚假的“好文件”,而不能报警,被隐蔽性病毒所蒙骗。
7
完整版PPT课件
校验和法
校验和法是将正常文件的内容,计算其“校验和”,将该校验和写入文件中或写入别的文件中保存。
在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,以此来发现文件是否感染。
优点:
既可发现已知病毒又可发现未知病毒。
常用:
在许多常用的检测工具中,都采用了这种方法。
8
完整版PPT课件
缺点
不能识别病毒种类,不能报出病毒名称
误报警:由于病毒感染并非文件内容改变的惟一的排他性原因,文件内容的改变有可能是正常程序引起的,所以校验和法常常误报警。
会影响文件的运行速度
当已有软件版本更新、变更口令或修改运行参数时,校验和法都会误报警。
9
完整版PPT课件
校验和法对隐蔽性病毒无效:
隐蔽性病毒进驻内存后,会自动剥去染毒程序中的病毒代码,使校验和法受骗,对一个有毒文件算出正常校验和。
10
完整版PPT课件

计算机病毒的检测方法ppt课件 来自淘豆网www.taodocs.com转载请标明出处.

相关文档 更多>>
非法内容举报中心
文档信息
  • 页数19
  • 收藏数0 收藏
  • 顶次数0
  • 上传人相惜
  • 文件大小132 KB
  • 时间2021-04-11