日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

硬盤與內(nèi)存檢測 教你四種查毒絕招( 二 )

云知道


分析法分為靜態(tài)和動態(tài)兩種 。靜態(tài)分析是指利用Debug等反匯編程序?qū)⒉《敬a打印成反匯編后的程序清單進(jìn)行分析,看病毒分成哪些模塊,使用了哪些系統(tǒng)調(diào)用,采用了哪些技巧,如何將病毒感染文件的過程翻轉(zhuǎn)為清除病毒、修復(fù)文件的過程,哪些代碼可被用做特征碼以及如何防御這種病毒等等 。分析人員的素質(zhì)越高,分析過程就越快,理解也就越深;動態(tài)分析則是指利用Debug等程序調(diào)試工具在內(nèi)存帶毒的情況下,對病毒作動態(tài)跟蹤,觀察病毒的具體工作過程,以進(jìn)一步在靜態(tài)分析的基礎(chǔ)上理解病毒工作的原理 。在病毒編碼比較簡單的情況下,動態(tài)分析不是必須的 。但是,當(dāng)病毒采用了較多的技術(shù)手段時,就必須使用動、靜相結(jié)合的分析方法才能完成整個分析過程 。
綜上所述,利用原始備份和被檢測程序相比較的方法適合于不用專用軟件,可以發(fā)現(xiàn)異常情況的場合,是一種簡單、基本的病毒檢測方法;掃描特征串和識別特性字的方法更適用于廣大PC機用戶使用,方便而又迅速;但對新出現(xiàn)的病毒會出現(xiàn)漏檢的情況,須要與分析和比較法結(jié)合使用 。
通過采取技術(shù)上和管理上的措施,電腦病毒是完全可以防范的 。
病毒要進(jìn)行傳染,必然會留下痕跡 。生物醫(yī)學(xué)病毒如此,電腦病毒也是一樣 。檢測電腦病毒,就要到病毒寄生場所去檢查,發(fā)現(xiàn)異常情況,并進(jìn)而驗明“正身”,確認(rèn)電腦病毒的存在 。電腦病毒靜態(tài)時存儲于
硬盤中,被激活時駐留在內(nèi)存中,因此對電腦病毒的檢測可以分為對硬盤的檢測和對內(nèi)存的檢測 。
一般對硬盤進(jìn)行病毒檢測時,要求內(nèi)存中不帶病毒,因為某些電腦病毒會向檢測者報告假情況 。例如“4096”病毒在內(nèi)存中時,查看被它感染的文件,不會發(fā)現(xiàn)該文件的長度已發(fā)生變化,而當(dāng)在內(nèi)存中沒有病毒時,才會發(fā)現(xiàn)文件長度已經(jīng)增長了4096字節(jié);又例如,“DIR2”病毒在內(nèi)存中,用Debug程序查看被感染文件時,根本看不到“DIR2”病毒的代碼,很多檢測程序因此而漏過了被感染的文件;還有引導(dǎo)區(qū)型的“巴基斯坦智囊”病毒,當(dāng)它活躍在內(nèi)存中時,檢查引導(dǎo)區(qū)就看不到病毒程序而只看到正常的引導(dǎo)扇區(qū) 。因此,只有在要求確認(rèn)某種病毒的類型和對其進(jìn)行分析、研究時,才能在內(nèi)存中帶毒的情況下作檢測工作 。從原始的、未受病毒感染的DOS系統(tǒng)軟盤啟動,可以保證內(nèi)存中不帶病毒 。啟動必須是上電啟動而不是按鍵盤上的“Alt Ctrl Del”三鍵的那種熱啟動,因為某些病毒可以通過截取鍵盤中斷,將自己駐留在內(nèi)存中 。檢測硬盤中的病毒,啟動系統(tǒng)軟盤的DOS版本號應(yīng)該等于或高于硬盤內(nèi)DOS系統(tǒng)的版本號 。如果硬盤上使用了硬盤管理軟件DM、ADM,硬盤壓縮存儲管理軟件Stacker、DoubleSpace等,啟動系統(tǒng)軟盤時應(yīng)把這些軟件的驅(qū)動程序包括在軟盤上,并把它們寫入config.sys文件中,否則用系統(tǒng)軟盤引導(dǎo)啟動后,將不能訪問硬盤上的所有分區(qū),使躲藏在其中的病毒逃過檢查 。
【硬盤與內(nèi)存檢測 教你四種查毒絕招】檢測硬盤中的病毒可分成檢測引導(dǎo)區(qū)型病毒和檢測文件型病毒 。這兩種檢測的原理上相同,但由于病毒的存儲方式不同,檢測方法還是有差別的 。主要是基于下列四種方法:比較被檢測對象與原始備份的比較法;利用病毒特征代碼串進(jìn)行查找的搜索法;搜索病毒體內(nèi)特定位置的特征字識別法;運用反匯編技術(shù)分析被檢測對象,確證是否為病毒的分析法 。

推薦閱讀