計(jì)算機(jī)病毒的檢測(cè)方法
檢測(cè)磁盤(pán)中的計(jì)算機(jī)病毒可分成檢測(cè)引導(dǎo)型計(jì)算機(jī)病毒和檢測(cè)文件型計(jì)算機(jī)病毒。這兩種檢測(cè)從原理上講是一樣的,但由于各自的存儲(chǔ)方式不同,檢測(cè)方法是有差別的。下面是學(xué)習(xí)啦小編跟大家分享的是計(jì)算機(jī)病毒的檢測(cè)方法,歡迎大家來(lái)閱讀學(xué)習(xí)。
計(jì)算機(jī)病毒的檢測(cè)方法一
2.4.1 比較法
比較法是用原始備份與被檢測(cè)的引導(dǎo)扇區(qū)或被檢測(cè)的文件進(jìn)行比較。比較時(shí)可以靠打印的代碼清單(比如DEBUG的D命令輸出格式)進(jìn)行比較,或用程序來(lái)進(jìn)行比較(如DOS的DISKCOMP、FC或PCTOOLS等其它軟件)。這種比較法不需要專(zhuān)用的查計(jì)算機(jī)病毒程序,只要用常規(guī)DOS軟件和PCTOOLS等工具軟件就可以進(jìn)行。而且用這種比較法還可以發(fā)現(xiàn)那些尚不能被現(xiàn)有的查計(jì)算機(jī)病毒程序發(fā)現(xiàn)的計(jì)算機(jī)病毒。因?yàn)橛?jì)算機(jī)病毒傳播得很快,新的計(jì)算機(jī)病毒層出不窮,由于目前還沒(méi)有做出通用的能查出一切計(jì)算機(jī)病毒,或通過(guò)代碼分析,可以判定某個(gè)程序中是否含有計(jì)算機(jī)病毒的查毒程序,發(fā)現(xiàn)新計(jì)算機(jī)病毒就只有靠比較法和分析法,有時(shí)必須結(jié)合這兩者來(lái)一同工作。
使用比較法能發(fā)現(xiàn)異常,如文件的長(zhǎng)度有變化,或雖然文件長(zhǎng)度未發(fā)生變化,但文件內(nèi)的程序代碼發(fā)生了變化。對(duì)硬盤(pán)主引導(dǎo)扇區(qū)或?qū)OS的引導(dǎo)扇區(qū)做檢查,比較法能發(fā)現(xiàn)其中的程序代碼是否發(fā)生了變化。由于要進(jìn)行比較,保留好原始備份是非常重要的,制作備份時(shí)必須在無(wú)計(jì)算機(jī)病毒的環(huán)境里進(jìn)行,制作好的備份必須妥善保管,寫(xiě)好標(biāo)簽,并加上寫(xiě)保護(hù)。
比較法的好處是簡(jiǎn)單、方便,不需專(zhuān)用軟件。缺點(diǎn)是無(wú)法確認(rèn)計(jì)算機(jī)病毒的種類(lèi)名稱(chēng)。另外,造成被檢測(cè)程序與原始備份之間差別的原因尚需進(jìn)一步驗(yàn)證,以查明是由于計(jì)算機(jī)病毒造成的,或是由于DOS數(shù)據(jù)被偶然原因,如突然停電、程序失控、惡意程序等破壞的。這些要用到以后講的分析法,查看變化部分代碼的性質(zhì),以此來(lái)確證是否存在計(jì)算機(jī)病毒。另外,當(dāng)找不到原始備份時(shí),用比較法就不能馬上得到結(jié)論。從這里可以看到制作和保留原始主引導(dǎo)扇區(qū)和其它數(shù)據(jù)備份的重要性。
2.4.2 加總比對(duì)法
根據(jù)每個(gè)程序的檔案名稱(chēng)、大小、時(shí)間、日期及內(nèi)容,加總為一個(gè)檢查碼,再將檢查碼附于程序的后面,或是將所有檢查碼放在同一個(gè)數(shù)據(jù)庫(kù)中,再利用此加總對(duì)比系統(tǒng),追蹤并記錄每個(gè)程序的檢查碼是否遭更改,以判斷是否感染了計(jì)算機(jī)病毒。一個(gè)很簡(jiǎn)單的例子就是當(dāng)您把車(chē)停下來(lái)之后,將里程表的數(shù)字記下來(lái)。那么下次您再開(kāi)車(chē)時(shí),只要比對(duì)一下里程表的數(shù)字,那么您就可以斷定是否有人偷開(kāi)了您的車(chē)子。這種技術(shù)可偵測(cè)到各式的計(jì)算機(jī)病毒,但最大的缺點(diǎn)就是誤判斷高,且無(wú)法確認(rèn)是哪種計(jì)算機(jī)病毒感染的。對(duì)于隱形計(jì)算機(jī)病毒也無(wú)法偵測(cè)到。
2.4.3 搜索法.
搜索法是用每一種計(jì)算機(jī)病毒體含有的特定字符串對(duì)被檢測(cè)的對(duì)象進(jìn)行掃描。如果在被檢測(cè)對(duì)象內(nèi)部發(fā)現(xiàn)了某一種特定字節(jié)串,就表明發(fā)現(xiàn)了該字節(jié)串所代表的計(jì)算機(jī)病毒。國(guó)外對(duì)這種按搜索法工作的計(jì)算機(jī)病毒掃描軟件叫Virus Scanner。計(jì)算機(jī)病毒掃描軟件由兩部分組成:一部分是計(jì)算機(jī)病毒代碼庫(kù),含有經(jīng)過(guò)特別選定的各種計(jì)算機(jī)病毒的代碼串;另一部分是利用該代碼庫(kù)進(jìn)行掃描的掃描程序。目前常見(jiàn)的防殺計(jì)算機(jī)病毒軟件對(duì)已知計(jì)算機(jī)病毒的檢測(cè)大多采用這種方法。計(jì)算機(jī)病毒掃描程序能識(shí)別的計(jì)算機(jī)病毒的數(shù)目完全取決于計(jì)算機(jī)病毒代碼庫(kù)內(nèi)所含計(jì)算機(jī)病毒的種類(lèi)多少。顯而易見(jiàn),庫(kù)中計(jì)算機(jī)病毒代碼種類(lèi)越多,掃描程序能認(rèn)出的計(jì)算機(jī)病毒就越多。計(jì)算機(jī)病毒代碼串的選擇是非常重要的。短小的計(jì)算機(jī)病毒只有一百多個(gè)字節(jié),長(zhǎng)的有上萬(wàn)字節(jié)的。如果隨意從計(jì)算機(jī)病毒體內(nèi)選一段作為代表該計(jì)算機(jī)病毒的特征代碼串,可能在不同的環(huán)境中,該特征串并不真正具有代表性,不能用于將該串所對(duì)應(yīng)的計(jì)算機(jī)病毒檢查出來(lái)。選這種串做為計(jì)算機(jī)病毒代碼庫(kù)的特征串就是不合適的。
另一種情況是代碼串不應(yīng)含有計(jì)算機(jī)病毒的數(shù)據(jù)區(qū),數(shù)據(jù)區(qū)是會(huì)經(jīng)常變化的。代碼串一定要在仔細(xì)分析了程序之后才選出最具代表特性的,足以將該計(jì)算機(jī)病毒區(qū)別于其它計(jì)算機(jī)病毒的字節(jié)串。選定好的特征代碼串是很不容易的,是計(jì)算機(jī)病毒掃描程序的精華所在。一般情況下,代碼串是連續(xù)的若干個(gè)字節(jié)組成的串,但是有些掃描軟件采用的是可變長(zhǎng)串,即在串中包含有一個(gè)到幾個(gè)“模糊”字節(jié)。掃描軟件遇到這種串時(shí),只要除“模糊”字節(jié)之外的字串都能完好匹配,則也能判別出計(jì)算機(jī)病毒。
除了前面說(shuō)的選特征串的規(guī)則外,最重要的是一條是特征串必須能將計(jì)算機(jī)病毒與正常的非計(jì)算機(jī)病毒程序區(qū)分開(kāi)。不然將非計(jì)算機(jī)病毒程序當(dāng)成計(jì)算機(jī)病毒報(bào)告給用戶(hù),是假警報(bào),這種“狼來(lái)了”的假警報(bào)太多了,就會(huì)使用戶(hù)放松警惕,等真的計(jì)算機(jī)病毒一來(lái),破壞就嚴(yán)重了;再就是若將這假警報(bào)送給殺計(jì)算機(jī)病毒程序,會(huì)將好程序給“殺死”了。
使用特征串的掃描法被查計(jì)算機(jī)病毒軟件廣泛應(yīng)用。當(dāng)特征串選擇得很好時(shí),計(jì)算機(jī)病毒檢測(cè)軟件讓計(jì)算機(jī)用戶(hù)使用起來(lái)很方便,對(duì)計(jì)算機(jī)病毒了解不多的人也能用它來(lái)發(fā)現(xiàn)計(jì)算機(jī)病毒。另外,不用專(zhuān)門(mén)軟件,用PCTOOLS等軟件也能用特征串掃描法去檢測(cè)特定的計(jì)算機(jī)病毒。
這種掃描法的缺點(diǎn)也是明顯的。第一是當(dāng)被掃描的文件很長(zhǎng)時(shí),掃描所花時(shí)間也越多;第二是不容易選出合適的特征串;第三是新的計(jì)算機(jī)病毒的特征串未加入計(jì)算機(jī)病毒代碼庫(kù)時(shí),老版本的掃毒程序無(wú)法識(shí)別出新的計(jì)算機(jī)病毒;第四是懷有惡意的計(jì)算機(jī)病毒制造者得到代碼庫(kù)后,會(huì)很容易地改變計(jì)算機(jī)病毒體內(nèi)的代碼,生成一個(gè)新的變種,使掃描程序失去檢測(cè)它的能力;第五是容易產(chǎn)生誤報(bào),只要在正常程序內(nèi)帶有某種計(jì)算機(jī)病毒的特征串,即使該代碼段已不可能被執(zhí)行,而只是被殺死的計(jì)算機(jī)病毒體殘余,掃描程序仍會(huì)報(bào)警;第六是不易識(shí)別多維變形計(jì)算機(jī)病毒。不管怎樣,基于特征串的計(jì)算機(jī)病毒掃描法仍是今天用得最為普遍的查計(jì)算機(jī)病毒方法。
計(jì)算機(jī)病毒的檢測(cè)方法二
2.4.4 分析法
一般使用分析法的人不是普通用戶(hù),而是防殺計(jì)算機(jī)病毒技術(shù)人員。使用分析法的目的在于:
1. 確認(rèn)被觀察的磁盤(pán)引導(dǎo)扇區(qū)和程序中是否含有計(jì)算機(jī)病毒;
2. 確認(rèn)計(jì)算機(jī)病毒的類(lèi)型和種類(lèi),判定其是否是一種新的計(jì)算機(jī)病毒;
3. 搞清楚計(jì)算機(jī)病毒體的大致結(jié)構(gòu),提取特征識(shí)別用的字節(jié)串或特征字,用于增添到計(jì)算機(jī)病毒代碼庫(kù)供計(jì)算機(jī)病毒掃描和識(shí)別程序用;
4. 詳細(xì)分析計(jì)算機(jī)病毒代碼,為制定相應(yīng)的防殺計(jì)算機(jī)病毒措施制定方案。
上述四個(gè)目的按順序排列起來(lái),正好是使用分析法的工作順序。使用分析法要求具有比較全面的有關(guān)計(jì)算機(jī)、DOS、Windows、網(wǎng)絡(luò)等的結(jié)構(gòu)和功能調(diào)用以及關(guān)于計(jì)算機(jī)病毒方面的各種知識(shí),這是與其他檢測(cè)計(jì)算機(jī)病毒方法不一樣的地方。
要使用分析法檢測(cè)計(jì)算機(jī)病毒,其條件除了要具有相關(guān)的知識(shí)外,還需要反匯編工具、二進(jìn)制文件編輯器等分析用工具程序和專(zhuān)用的試驗(yàn)計(jì)算機(jī)。因?yàn)榧词故呛苁炀毜姆罋⒂?jì)算機(jī)病毒技術(shù)人員,使用性能完善的分析軟件,也不能保證在短時(shí)間內(nèi)將計(jì)算機(jī)病毒代碼完全分析清楚。而計(jì)算機(jī)病毒有可能在被分析階段繼續(xù)傳染甚至發(fā)作,把軟盤(pán)硬盤(pán)內(nèi)的數(shù)據(jù)完全毀壞掉,這就要求分析工作必須在專(zhuān)門(mén)設(shè)立的試驗(yàn)計(jì)算機(jī)機(jī)上進(jìn)行,不怕其中的數(shù)據(jù)被破壞。在不具備條件的情況下,不要輕易開(kāi)始分析工作,很多計(jì)算機(jī)病毒采用了自加密、反跟蹤等技術(shù),使得分析計(jì)算機(jī)病毒的工作經(jīng)常是冗長(zhǎng)和枯燥的。特別是某些文件型計(jì)算機(jī)病毒的代碼可達(dá)10Kb以上,與系統(tǒng)的牽扯層次很深,使詳細(xì)的剖析工作十分復(fù)雜。
計(jì)算機(jī)病毒檢測(cè)的分析法是防殺計(jì)算機(jī)病毒工作中不可缺少的重要技術(shù),任何一個(gè)性能優(yōu)良的防殺計(jì)算機(jī)病毒系統(tǒng)的研制和開(kāi)發(fā)都離不開(kāi)專(zhuān)門(mén)人員對(duì)各種計(jì)算機(jī)病毒的詳盡而認(rèn)真的分析。
分析的步驟分為靜態(tài)分析和動(dòng)態(tài)分析兩種。靜態(tài)分析是指利用反匯編工具將計(jì)算機(jī)病毒代碼打印成反匯編指令后程序清單后進(jìn)行分析,看計(jì)算機(jī)病毒分成哪些模塊,使用了哪些系統(tǒng)調(diào)用,采用了哪些技巧,并將計(jì)算機(jī)病毒感染文件的過(guò)程翻轉(zhuǎn)為清除該計(jì)算機(jī)病毒、修復(fù)文件的過(guò)程;判斷哪些代碼可被用做特征碼以及如何防御這種計(jì)算機(jī)病毒。分析人員具有的素質(zhì)越高,分析過(guò)程越快、理解越深。動(dòng)態(tài)分析則是指利用DEBUG等調(diào)試工具在內(nèi)存帶毒的情況下,對(duì)計(jì)算機(jī)病毒做動(dòng)態(tài)跟蹤,觀察計(jì)算機(jī)病毒的具體工作過(guò)程,以進(jìn)一步在靜態(tài)分析的基礎(chǔ)上理解計(jì)算機(jī)病毒工作的原理。在計(jì)算機(jī)病毒編碼比較簡(jiǎn)單的情況下,動(dòng)態(tài)分析不是必須的。但當(dāng)計(jì)算機(jī)病毒采用了較多的技術(shù)手段時(shí),必須使用動(dòng)、靜相結(jié)合的分析方法才能完成整個(gè)分析過(guò)程。
2.4.5 人工智能陷阱技術(shù)和宏病毒陷阱技術(shù)
人工智能陷阱是一種監(jiān)測(cè)計(jì)算機(jī)行為的常駐式掃描技術(shù)。它將所有計(jì)算機(jī)病毒所產(chǎn)生的行為歸納起來(lái),一旦發(fā)現(xiàn)內(nèi)存中的程序有任何不當(dāng)?shù)男袨椋到y(tǒng)就會(huì)有所警覺(jué),并告知使用者。這種技術(shù)的優(yōu)點(diǎn)是執(zhí)行速度快、操作簡(jiǎn)便,且可以偵測(cè)到各式計(jì)算機(jī)病毒;其缺點(diǎn)就是程序設(shè)計(jì)難,且不容易考慮周全。不過(guò)在這千變?nèi)f化的計(jì)算機(jī)病毒世界中,人工智能陷阱掃描技術(shù)是一個(gè)至少具有主動(dòng)保護(hù)功能的新技術(shù)。
宏病毒陷阱技術(shù)(MacroTrap)是結(jié)合了搜索法和人工智能陷阱技術(shù),依行為模式來(lái)偵測(cè)已知及未知的宏病毒。其中,配合OLE2技術(shù),可將宏與文件分開(kāi),使得掃描速度變得飛快,而且更可有效地將宏病毒徹底清除。
2.4.6 軟件仿真掃描法
該技術(shù)專(zhuān)門(mén)用來(lái)對(duì)付多態(tài)變形計(jì)算機(jī)病毒(Polymorphic/MutationVirus)。多態(tài)變形計(jì)算機(jī)病毒在每次傳染時(shí),都將自身以不同的隨機(jī)數(shù)加密于每個(gè)感染的文件中,傳統(tǒng)搜索法的方式根本就無(wú)法找到這種計(jì)算機(jī)病毒。軟件仿真技術(shù)則是成功地仿真CPU執(zhí)行,在DOS虛擬機(jī)(Virtual Machine)下偽執(zhí)行計(jì)算機(jī)病毒程序,安全并確實(shí)地將其解密,使其顯露本來(lái)的面目,再加以?huà)呙琛?/p>
2.4.7 先知掃描法
先知掃描技術(shù)(VICE,Virus Instruction Code Emulation)是繼軟件仿真后的一大技術(shù)上突破。既然軟件仿真可以建立一個(gè)保護(hù)模式下的DOS虛擬機(jī),仿真CPU動(dòng)作并偽執(zhí)行程序以解開(kāi)多態(tài)變形計(jì)算機(jī)病毒,那么應(yīng)用類(lèi)似的技術(shù)也可以用來(lái)分析一般程序,檢查可疑的計(jì)算機(jī)病毒代碼。因此先知掃描技術(shù)將專(zhuān)業(yè)人員用來(lái)判斷程序是否存在計(jì)算機(jī)病毒代碼的方法,分析歸納成專(zhuān)家系統(tǒng)和知識(shí)庫(kù),再利用軟件模擬技術(shù)(Software Emulation)偽執(zhí)行新的計(jì)算機(jī)病毒,超前分析出新計(jì)算機(jī)病毒代碼,對(duì)付以后的計(jì)算機(jī)病毒。