瑞星信息安全技术培训–反病毒技术概述
病毒诊断技术
病毒诊断技术－计算机病毒比较法
文档仅供参考，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。
瑞星信息安全技术培训–反病毒技术概述
病毒诊断技术
病毒诊断技术－计算机病毒比较法
文档仅供参考，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。
另一部分是利用该代码库进行扫描的扫 描程序。
文档仅供参考，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。
瑞星信息安全技术培训–反病毒技术概述
反病毒技术
病毒诊断技术－计算机病毒扫描法
选择代码串的规则是： ➢代表性 ➢避开数据区。 ➢尽量使特征代码长度简短 ➢区别于其它病毒及其变种 ➢将病毒与正常的非病毒程序区分开
病毒诊断技术－行为感染试验法
➢行为感染试验法
感染实验是一种简单实用的检测病毒 方法。
当病毒检测工具不能发现病毒时，使 用感染实验法。
可以检测出病毒检测工具不认识的新 病毒，摆脱对检测工具的依赖，检测 可疑新病毒
反病毒技术
病毒诊断技术－行为监测法诊断原理
➢检测的行为包括
占用INT 13H 修改DOS系统数据区的内存总量 以COM和EXE文件做写入动作 病毒程序与宿主程序的切换
文档仅供参考，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。
瑞星信息安全技术培训–反病毒技术概述
反病毒技术
瑞星信息安全技术培训–反病毒技术概述
病毒诊断技术
病毒诊断技术－计算机病毒比较法
文档仅供参考，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。
瑞星信息安全技术培训–反病毒技术概述
病毒诊断技术
病毒诊断技术
• 计算机病毒比较法诊断原理 • 计算机病毒校验法诊断原理 • 计算机病毒扫描法诊断原理 • 计算机病毒行为监测法诊断原理 • 计算机病毒行为感染试验法诊断原理 • 计算机病毒行为软件模拟法诊断原理 • 计算机病毒分析法诊断的原理
文档仅供参考，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。
瑞星信息安全技术培训–反病毒技术概述
反病毒技术
病毒诊断技术－计算机病毒扫描法
例如给定特征串： “E9 7C 00 10 ? 37 CB” “E9 7C 00 10 27 37 CB” “E9 7C 00 10 9C 37 CB” 又例如： “E9 7C 37 CB” “E9 7C 00 37 CB” “E9 7C 00 11 37 CB” “E9 7C 00 11 22 37 CB” “E9 7C 00 11 22 33 44 37 CB”（不匹配）
文档仅供参考，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。
瑞星信息安全技术培训–反病毒技术概述
反病毒技术概述
反病毒技术剖析
反病毒技术概述 病毒诊断技术 反病毒引擎技术剖析
Agenda
文档仅供参考，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。
瑞星信息安全技术培训–反病毒技术概述
文档仅供参考，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。
瑞星信息安全技术培训–反病毒技术概述
病毒诊断技术
反病毒技术剖析
反病毒技术概述 病毒诊断技术 反病毒引擎技术剖析
Agenda
文档仅供参考，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。
瑞星信息安全技术培训–反病毒技术概述
• 特征代码扫描法 • 特征字扫描法
文档仅供参考，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。
瑞星信息安全技术培训–反病毒技术概述
病毒诊断技术
病毒诊断技术－计算机病毒扫描法
➢特征代码扫描法
病毒扫描软件由两部分组成：一部分是 病毒代码库，含有经过特别选定的各种 计算机病毒的代码串；
文档仅供参考，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。
瑞星信息安全技术培训–反病毒技术概述
病毒诊断技术
病毒诊断技术－计算机病毒扫描法
扫描法是用每一种病毒体含有的特定字符 串对被检测的对象进行扫描。 如果在被检测对象内部发现了某一种特定 字符串，就表明发现了该字符串所代表的 病毒。
➢特征字扫描法
速度更快、误报警更少，但仍然存在特 征代码扫描法所具有的一些缺点。
只需从病毒体内抽取很少几个关键的特 征字组成特征字库。
需要处理的字节很少，而又不必进行串 匹配，加快了识别速度。
文档仅供参考，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。
瑞星信息安全技术培训–反病毒技术概述
病毒诊断技术
病毒诊断技术
• 计算机病毒比较法诊断原理 • 计算机病毒校验法诊断原理 • 计算机病毒扫描法诊断原理 • 计算机病毒行为监测法诊断原理 • 计算机病毒行为感染试验法诊断原理 • 计算机病毒行为软件模拟法诊断原理 • 计算机病毒分析法诊断的原理
文档仅供参考，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。
瑞星信息安全技术培训–反病毒技术概述
病毒诊断技术
病毒诊断技术－计算机病毒比较法
文档仅供参考，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。
瑞星信息安全技术培训–反病毒技术概述
病毒诊断技术
病毒诊断技术－计算机病毒比较法
文档仅供参考，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。
反病毒技术概述
反病毒技术概述
文档仅供参考，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。
瑞星信息安全技术培训–反病毒技术概述
反病毒技术概述
病毒疫苗举例：
➢“美丽莎”病毒修改Windows注册表 项： HKEY_CURRENT_RSER\Software\Micr osoft\Office,增加表项：Melissa 并赋值为byKwyjibo
文档仅供参考，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。
瑞星信息安全技术培训–反病毒技术概述
反病毒技术
病毒诊断技术－计算机病毒扫描法
文档仅供参考，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或பைடு நூலகம்人删除。
瑞星信息安全技术培训–反病毒技术概述
反病毒技术
病毒诊断技术－计算机病毒扫描法