计算机病毒如何检测
计算机老是出现一些故障，很多人会怀疑是不是中毒了，但又不会检测，该怎么办呢?下面由学习啦小编
给你做出详细的计算机病毒检测方法介绍!希望对你有
帮助!
计算机病毒检测方法一提早发现病毒对计算机的防护是很重要的。

早发现，早处置，可以减少损失。

现在介绍几种检测病毒的方法，虽然方法不尽相同，但各具所长。

特征代码法、校验和法、行为监测法、软件模拟法病毒特征代码检测法
特征代码检测是目前较为普遍的病毒检测方法，是通过检测工具(反病毒软件)置入已知病毒特征代码来
检测病毒，但对从未见过的新病毒，却无法检测。

在技术上需要不断更新程序版本，升级病毒特征代码。

文件校验和法
将计算出系统正常文件内容的校验和进行保存。

并定期检查文件的校验和与原来保存的校验和是否一致，从而发现文件是否感染病毒，这种方法叫文件校验和法。

它既可发现已知病毒又可发现未知病毒，能观测文
件的细微变化。

但是这种方法常常误报警，原因是病毒感染并非文件内容改变的惟一的非他性，还有可能是正常程序引起的。

文件校验和法不是最好的方法，它会影响文件的运行速度。

不能识别病毒名称、不能对付隐蔽型病毒。

行为特征监测法
利用病毒的特有行为特征性来监测病毒的方法，称为行为监测法。

通过对病毒长期观察，研究、识别出病毒行为共同性和特殊性。

当系统运行时，监视其行为，如果有病毒行为，会立即发出警报。

行为特征监测法可以发现未知病毒、能相当准确地预报未知的多数病毒。

但可能导致误报、不能识别病毒名称。

软件模拟法
由此演绎为虚拟机上进行的查毒，启发式查毒技术等，是相对成熟的技术。

计算机病毒检测方法二 1.程序或文件是否修改注册表启动项;
2.是否将自身或文件写入系统目录;
3.是否访问外链，开放端口。

4.直接看文件就提示这可能是病毒，可能是360原
创的技术。

计算机病毒检测方法三一般对硬盘进行病毒检测时，要求内存中不带病毒，因为某些电脑病毒会向检测者报告假情况。

例如4096病毒在内存中时，查看被它感染的
文件，不会发现该文件的长度已发生变化，而当在内存中没有病毒时，才会发现文件长度已经增l k了4096字节;又例如，D I R2病毒在内存中，用D e b u g程序查看被感染文件时，根本看不到D I R2病毒的代码，很多检测
程序因此而漏过了被感染的文件;还有引导区型的巴基
斯坦智囊病毒，当它活跃在内存中时，检查引导区就看不到病毒程序而只看到正常的引导扇区。

因此，只有在要求确认某种病毒的类型和对其进行分析、研究时，才能在内存中带毒的情况下作检测工作。

从原始的、未受病毒感染的D O S系统软盘启动，可以保证内存中不带病毒。

启动必须是上电启动而不是按键盘上的A l t+C t r l+D e l三键的那种热启动，因为某些
病毒可以通过截取键盘中断，将自己驻留在内存中。

检测硬盘中的病毒，启动系统软盘的D O S版本号应该等于或高于硬盘内D O S系统的版本号。

如果硬盘上使用了硬盘管理软件D M、A D M，硬盘压缩存储管理软件S t a c k e r、
D o u b l e S p a c e等，启动系统软盘时应把这些软件的驱动程序包括在软盘上，并把它们写入c o n f i g.s y s文件中，否则用系统软盘引导启动后，将不能访问硬盘上的所有分区，使躲藏在其中的病毒逃过检查。

检测硬盘中的病毒可分成检测引导区型病毒和检测文件型病毒。

这两种检测的原理上相同，但由于病毒的存储方式不同，检测方法还是有差别的。

主要是基于下列四种方法：比较被检测对象与原始备份的比较法;利
用病毒特征代码串进行查找的搜索法;搜索病毒体内特
定位置的特征字识别法;运用反汇编技术分析被检测对象，确证是否为病毒的分析法。

比较法
这是用原始备份与被检测的引导扇区或被检测的文件进行比较的方法，可以用打印的代码清单(比如D e b u g 的D命令输出格式)进行比较，也可用程序来进行比较(如D O S的D I S K C O M P、C O M P或P C T O O L S等其它软件)。

比较法不需要专用的查病毒程序，只要用常规D O S软件和P C T O O L S等工具软件就可以进行，而且还可以发现那些尚不能被现有的杀毒软件发现的计算机病毒。

因为病毒传播得很快，新病毒层出不穷，而目前还没有能查出一切病毒的通用程序，或通过代码分析，可以判定某个
程序中是否含有病毒的查毒程序，所以只有靠比较法和分析法，或这两种方法相结合来发现新病毒。

对硬盘的主引导区或对D O S的引导扇区作检查，用比较法能发现其中的程序源代码是否发生了变化。

由于要进行比较，因此保留好原始备份是非常重要的。

制作备份时必须在无电脑病毒的环境里进行，制作好的备份必须妥善保管，写好标签，贴好写保护。

比较法的好处是简单、方便，不用专用软件;缺点是无法确认病毒的种类名称。

另外，造成被检测程序与原始备份之间差别的原因尚需进一步验证，以查明是电脑病毒造成的，还是D O S数据被偶然原因，如突然停电、程序失控、恶意程序等破坏的。

这些要用到以后讲的分析法，查看变化部分代码的性质，以此来确认是否存在病毒。

搜索法这种方法主要是对每一种病毒含有的特定字符串进行扫描，如果在被检测对象内部发现了某一种特定字节串，就表明发现了该字节串所代表的病毒。

国外称这种按搜索法工作的病毒扫描软件为S c a n n e r。

这种病毒扫描软件由两部分组成：一部分是病毒代码库，含有经过特别选定的各种电脑病毒的代码串;另一部分是利用该代码库进行扫描的扫描程序，病毒扫描程序能识别的电
脑病毒的数目完全取决于病毒代码库内所含病毒种类的多少。

病毒代码串的选择是非常重要的，短小的病毒代码只有一百多个字节，长的也只有10K B字节。

一定要在仔细分析程序之后选出最具代表特性的，足以将该病毒区别于其它病毒和该病毒的其它变种的代码串。

一般情况下，代码串是由连续若干个字节组成的，但是有些扫描软件采用的是可变长串，即在串中包含有一个到几个模糊字节。

扫描软件遇到这种串时，只要除模糊字节之外的字串都能完好匹配，就也能够判别出病毒。

另外，特征串还必须能将病毒与正常的非病毒程序区，不然就会出现假报、误报。

特征字识别法
这是基于特征串扫描法发展起来的一种方式，运行速度较快、误报频率较低。

特征字识别法只须从病毒体内抽取很少的几个关键特征字，组成特征字库。

由于需要处理的字节很少，又不必进行串匹配，因此大大加快了识别速度，当被处理的程序很大时，用这种办法比较合适。

由于特征字识别法更注意电脑病毒的程序活性，因此减少了错报的可能性。

使用基于特征串扫描法的查
病毒软件方法与使用基于特征字识别法的查病毒软件方法是一样的，只要运行查毒程序，就能将已知的病毒检查出来。

这两种方法的使用，都须要不断地对病毒库进行扩充，一旦捕捉到病毒，经过提取特征并加入到病毒库，就能使查病毒程序多检查出一种新病毒来。

分析法这种方法一方面可以确认被观察的磁盘引导区和程序中是否含有病毒，另一方面可以辨认病毒的类型和种类，判定是否为一种新病毒，另外还可以搞清楚病毒体的大致结构，提取用于特征识别的字节串或特征字，增添到病毒代码库中供病毒扫描和识别程序使用。

同时，详细地分析病毒代码，还有助于制定相应的反病毒方案。

与前三种检测病毒的方法不同，使用分析法检测病毒，除了要具有相关的知识外，还需要使用D e b u g、P r o v i e w 等分析工具程序和专用的试验用计算机。

因为即使是很精通病毒的技术人员，使用性能完善的分析软件，也不能完全保证在短时间内将病毒代码分析清楚;而病毒则
有可能在被分析阶段继续传染甚至发作，把软盘、硬盘内的数据完全毁坏掉，所以分析工作必须在专门的试验用P C机上进行，不怕其中的数据被破坏。

不具备必要的条件，不要轻易开始分析工作。

很多
电脑病毒采用了自加密、抗跟踪等技术，使得分析病毒的工作经常是冗长枯燥的。

特别是某些文件型病毒的源代码可达10K B以上，与系统的牵扯层次很深，使详细
的剖析工作十分复杂。

病毒检测的分析法是反病毒工作中不可或缺的重要技术，任何一个性能优良的反病毒系统的研制和开发都离不开专门人员对各种病毒详尽、认真的分析。

分析法分为静态和动态两种。

静态分析是指利用
D e b u g等反汇编程序将病毒代码打印成反汇编后的程序清单进行分析，看病毒分成哪些模块，使用了哪些系统调用，采用了哪些技巧，如何将病毒感染文件的过程翻转为清除病毒、修复文件的过程，哪些代码可被用做特征码以及如何防御这种病毒等等。

分析人员的素质越高，分析过程就越快，理解也就越深;动态分析则是指利用
D e b u g等程序调试工具在内存带毒的情况下，对病毒作动态跟踪，观察病毒的具体工作过程，以进一步在静态分析的基础上理解病毒工作的原理。

在病毒编码比较简单的情况下，动态分析不是必须的。

但是，当病毒采用了较多的技术手段时，就必须使用动、静相结合的分析方法才能完成整个分析过程。