导扇区、FAT表、中断向量表和设备驱动程序头等
长度比较法及内容比较法 依据：计算机病毒感染系统或文件，必然引起系统或文件的 变化（长度的变化和内容的变化） 注意：只靠检测长度和内容是不充分的，只能将其作为检测 病毒的手段之一
5.3.2 系统数据对比法
内存比较法 依据：通常病毒要驻留内存，造成可用内存空间的减少 内存比较法是针对内存驻留计算机病毒进行检测的方法
计算机病毒签名检测法的特点： 必须预先知道计算机病毒签名的内容和位置
每一种计算机病毒签名的获得都要耗费大量劳力，因此用 计算机病毒签名的方法检测计算机病毒，常常是低效、不适 用的方法 可能造成虚假报警
5.3.4 特征代码法
原理：计算机病毒程序通常具有明显的特征代码
特征代码可能是病毒的感染标记，由字母和数字组成串 可能是一小段程序由若干指令组成，特征代码不一定连续
5.3.1 外观检测法
虽不能准确判断系统感染了何种病毒，但可通过异常现象 来判断病毒的存在
外观检测法是计算机病毒防治阶段起重要作用的一个环节 1．屏幕显示异常 2．声音异常 3．文件系统异常 4．程序异常 5．系统异常 6．打印机、软驱等外部设备异常
5.3.2 系统数据对比法
计算机系统的重要数据：主引导扇区、DOS分区引导扇区、软盘的引
5.2.2 检测病毒的基本方法
2．借助专用工具检测 ——指专门的计算机病毒检测工具，如Norton等
一般来说，专用工具具备自动扫描磁盘的功能，可检测磁盘 的染毒情况。
病毒检测工具只能识别已知计算机病毒，其发展总是滞后于 计算机病毒的发展，从而对相当数量的未知计算机病毒无法识 别。
5.3 病毒主要检测技术和特点
方法：通过搜索、比较计算机系统中是否含有与特征代码数 据库中特征代码匹配的特征代码，从而确定系统是否染毒， 感染了何种病毒。 特点：
依赖于对病毒精确特征的了解，必须事先对病毒样本做大量剖析 分析计算机病毒需要很多时间，有时间滞后 若病毒特殊代码段的位置或代码改动，则原检测方法失败
5.3.4 特征代码法
第四代反计算机病毒技术： 基于计算机病毒家族体系的命名规则、基于多位CRC校验和
扫描机理、启发式智能代码分析模块、动态数据还原模块、内 存解毒模块和自身免疫模块等先进的解毒技术
5.2 计算机病毒检测技术原理
计算机病毒检测技术：通过一定的技术手段判定出病毒的技术 计算机病毒检测技术种类： 根据病毒在特征分类基础上的检测技术
中断比较法 依据：计算机病毒为实现其隐藏和传染破坏的目的，常采
用“截留盗用”技术，更改、接管中断向量，使系统中断向 量转向执行计算机病毒控制部分。
方法：将正常系统的中断向量与染毒系统的中断向量进行 比较，可发现是否有计算机病毒修改或盗用中断向量
5.3.3 病毒签名检测法
计算机病毒签名：即计算机病毒感染标记 不同计算机病毒的签名内容不同，位置也不同。 并非所有计算机病毒都具备计算机病毒签名。
5.3.1 外观检测法 5.3.2 系统数据对比法 5.3.3 病毒签名检测法 5.3.4 特征代码法 5.3.5 检查常规内存数 5.3.6 校验和法 5.3.7 行为监测法（实时监控法） 5.3.8 软件模拟法 5.3.9 启发式代码扫描技术 5.3.10 主动内核技术 5.3.11 病毒分析法 5.3.12 病毒感染法
5.2.1 病毒检测技术的基本原理
反病毒程序计算各个可执行程序的校验和 某些反病毒程序是常驻内存程序
反病毒程序常驻内存中，搜索可能进入系统的计算机病毒， 其目的是阻止任何病毒感染系统。 少数工具可以从感染病毒的程序中清除病毒
少数工具反病毒工具虽可将染毒程序修复好，但有些修复效 果不能保证。某些反病毒工具还可能产生虚假报警。 反病毒技术的主要分类：
病毒诊断技术、病毒治疗技术、病毒预防技术
5.2.2 检测病毒的基本方法
1．借助简单工具检测——指DEBUG等常规软件工具 要求检测者必须具备的知识：
分析工具的性能 磁盘内部结构（如BOOT区、主引导区、FAT表和文件目录等 有关知识） 磁盘文件结构（EXE文件头部结构，重定位方法、EXE和COM 文件加载文件的不同等） 中断矢量表 内存管理（内存控制块、环境参数和文件的PSP结构等） 阅读汇编程序的能力 有关病毒的信息
选择代码串规则
不能随意选择病毒体内的一段作为特征代码串 代码串不应含有病毒的数据区 保持唯一性的前提下，代码串应尽量短 特征代码串应最具代表性，足以区别于其他病毒程序 特征代码串应能区别于其他正常的非病毒程序
实现步骤
采集已知计算机病毒样本 从计算机病毒样本中，抽取计算机病毒特征代码 将特征代码纳入计算机病毒数据库 检测文件
计算机病毒原理与防范
任课教师：乔奎贤
E-mail：cren616@
第5章 计算机病毒检测技术
5.1 反病毒技术的发展历程 5.2 计算机病毒检测技术原理 5.3 病毒主要检测技术和特点
5.1 反病毒技术的发展历程
第一代反病毒技术：采取单纯的计算机病毒特征判断 可以准确地清除计算机病毒，可靠性很高 随着病毒技术的发展，特别是加密和变形技术的应用，这 种简单的静态扫描方式逐渐失去了作用
根据病毒程序中的关键字、特征程序段内容、病毒特征及感 染方式、危机程度的变化 对文件或数据段的检验和进行检测
不针对具体病毒程序自身检验技术，即对某个文件或数据段 进行检验和计算并保存其结果，以后定期或不定期地根据保存 的结果对该文件或数据段进行检验，若出现差异，即表示该文 件或数据段的完整性已遭到破坏，从而检测到病毒的存在
第二代反病毒技术：采用静态广谱特征扫描方法检测病毒 可更多地检测出变形病毒，但是误报率也有所提高 容易造成文件和数据的破坏
ቤተ መጻሕፍቲ ባይዱ
5.1 反病毒技术的发展历程
第三代反病毒技术：静态扫描技术和动态仿真技术相结合 查找病毒和清除病毒合二为一，形成一个整体解决方案 能全面实现预防、检测和清除等反病毒所必备的各种手段 以驻留内存方式防止病毒的入侵，凡是检测到的计算机病 毒都能清除，不会破坏文件和数据