第5题:
【简答题】计算机病毒的检测方法有哪些?简述其原理。
1. 比较法 用原始备份与被检测的引导扇区或文件进行比较。只要用常规DOS软件和PCTOOLS等工具软件就可以进行。发现新计算机病毒就只有靠比较法和分析法,有时必须结合这两者来一同工作。使用比较法能发现异常,如文件的长度有变化,或虽然文件长度未发生变化,但文件内的程序代码发生了变化。保留好原始备份是非常重要的,制作备份时必须在无计算机病毒的环境里进行。 比较法的好处是简单、方便,不需专用软件。缺点是无法确认计算机病毒的种类名称。另外,造成被检测程序与原始备份之间差别的原因尚需进一步验证,这些要用到以后讲的分析法,查看变化部分代码的性质,以此来确证是否存在计算机病毒。 2. 加总比对法(Checksum) 根据每个程序的档案名称、大小、时间、日期及内容,加总为一个检查码,再将检查码附于程序的后面,或是将所有检查码放在同一个数据库中,再利用此加总对比系统,以判断是否感染了计算机病毒。 这种技术可侦测到各式的计算机病毒,但最大的缺点就是误判断高,且无法确认是哪种计算机病毒感染的,对于隐形计算机病毒也无法侦测到。 3. 特征字串搜索法 用每一种计算机病毒体含有的特定字符串对被检测的对象进行扫描,如果在被检测对象内部发现了某一种特定字节串,就表明发现了该字节串所代表的计算机病毒。国外对这种按搜索法工作的计算机病毒扫描软件叫Virus Scanner。 4. 人工智能陷阱技术 一种监测计算机行为的常驻式扫描技术,它将所有计算机病毒所产生的行为归纳起来,一旦发现内存中的程序有任何不当的行为,系统就会有所警觉,并告知使用者。 这种技术的优点是执行速度快、操作简便,且可以侦测到各式计算机病毒,是一个至少具有主动保护功能的新技术;其缺点就是程序设计难,且不容易考虑周全。 5. 分析法 使用分析法的人不是普通用户,而是防杀计算机病毒技术人员。分析法是防杀计算机病毒工作中不可缺少的重要技术,任何一个性能优良的防杀计算机病毒系统的研制和开发都离不开专门人员对各种计算机病毒的详尽而认真的分析。