怎么检查电脑系统是否有病毒
电脑病毒静态时存储于硬盘中,被激活时驻留在内存中,因此对电脑病毒的检测可以分为对硬盘的检测和对内存的检测。
一般对硬盘进行病毒检测时,要求内存中不带病毒,因为某些电脑病毒会向检测者报告假情况。
例如4096病毒在内存中时,查看被它感染的文件,不会发现该文件的长度已发生变化,而当在内存中没有病毒时,才会发现文件长度已经增lk了4096字节;又例如,DIR2病毒在内存中,用Debug程序查看被感染文件时,根本看不到DIR2病毒的代码,很多检测程序因此而漏过了被感染的文件;还有引导区型的巴基斯坦智囊病毒,当它活跃在内存中时,检查引导区就看不到病毒程序而只看到正常的引导扇区。
因此,只有在要求确认某种病毒的类型和对其进行分析、研究时,才能在内存中带毒的情况下作检测工作。
从原始的、未受病毒感染的DOS系统软盘启动,可以保证内存中不带病毒。
启动必须是上电启动而不是按键盘上的Alt+Ctrl+Del三键的那种热启动,因为某些病毒可以通过截取键盘中断,将自己驻留在内存中。
检测硬盘中的病毒,启动系统软盘的DOS版本号应该等于或高于硬盘内DOS系统的版本号。
如果硬盘上使用了硬盘管理软件DM、ADM,硬盘压缩存储管理软件Stacker、DoubleSpace等,启动系统软盘时应把这些软件的驱动程序包括在软盘上,并把它们写入config.sys文件中,否则用系统软盘引导启动后,将不能访问硬盘上的所有分区,使躲藏在其中的病毒逃过检查。
检测硬盘中的病毒可分成检测引导区型病毒和检测文件型病毒。
这两种检测的原理上相同,但由于病毒的存储方式不同,检测方法还是有差别的。
主要是基于下列四种方法:比较被检测对象与原始备份的比较法;利用病毒特征代码串进行查找的搜索法;搜索病毒体内特定位置的特征字识别法;运用反汇编技术分析被检测对象,确证是否为病毒的分析法。
比较法
这是用原始备份与被检测的引导扇区或被检测的文件进行比较的方法,可以用打印的代码清单(比如Debug的D命令输出格式)进行比较,也可用程序来进行比较(如DOS的DISKCOMP、COMP或PCTOOLS等其它软件)。
比较法不需要专用的查病毒程序,只要用常规DOS软件和PCTOOLS等工具软件就可以进行,而且还可以发现那些尚不能被现有的杀毒软件发现的计算机病毒。
因为病毒传播得很快,新病毒层出不穷,而目前还没有能查出一切病毒的通用程序,或通过代码分析,可以判定某个程序中是否含有病毒的查毒程序,所以只有靠比较法和分析法,或这两种方法相结合来发现新病毒。
对硬盘的主引导区或对DOS的引导扇区作检查,用比较法能发现其中的程序源代码是否发生了变化。
由于要进行比较,因此保留好原始备份是非常重要的。
制作备份时必须在无电脑病毒的环境里进行,制作好的备份必须妥善保管,写好标签,贴好写保护。
比较法的好处是简单、方便,不用专用软件;缺点是无法确认病毒的种类名称。
另外,造成被检测程序与原始备份之间差别的原因尚需进一步验证,以查明是电脑病毒造成的,还是DOS数据被偶然原因,如突然停电、程序失控、恶意程序等破坏的。
这些要用到以后讲的分析法,查看变化部分代码的性质,以此来确认是否存在病毒。
搜索法
这种方法主要是对每一种病毒含有的特定字符串进行扫描,如果在被检测对象内部发现了某一种特定字节串,就表明发现了该字节串所代表的病毒。
国外称这种按搜索法工作的病毒扫描软件为Scanner。
这种病毒扫描软件由两部分组成:一部分是病毒代码库,含有经过特别选定的各种电脑病毒的代码串;另一部分是利用该代码库进行扫描的扫描程序,病毒扫描程序能识别的电脑病毒的数目完全取决于病毒代码库内所含病毒种类的多少。
病毒代码串的选择是非常重要的,短小的病毒代码只有一百多个字节,长的也只有10KB字节。
一定要在仔细分析程序之后选出最具代表特性的,足以将该病毒区别于其它病毒和该病毒的其它变种的代码串。
一般情况下,代码串是由连续若干个字节组成的,但是有些扫描软件采用的是可变长串,即在串中包含有一个到几个模糊字节。
扫描软件遇到这种串时,只要除模糊字节之外的字串都能完好匹配,就也能够判别出病毒。
另外,特征串还必须能将病毒与正常的非病毒程序区,不然就会出现假报、误报。
特征字识别法
这是基于特征串扫描法发展起来的一种方式,运行速度较快、误报频率较低。
特征字识别法只须从病毒体内抽取很少的几个关键特征字,组成特征字库。
由于需要处理的字节很少,又不必进行串匹配,因此大大加快了识别速度,当被处理的程序很大时,用这种办法比较合适。
由于特征字识别法更注意电脑病毒的程序活性,因此减少了错报的可能性。
使用基于特征串扫描法的查病毒软件方法与使用基于特征字识别法的查病毒软件方法是一样的,只要运行查毒程序,就能将已知的病毒检查出来。
这两种方法的使用,都须要不断地对病毒库进行扩充,一旦捕捉到病毒,经过提取特征并加入到病毒库,就能使查病毒程序多检查出一种新病毒来。
分析法
这种方法一方面可以确认被观察的磁盘引导区和程序中是否含有病毒,另一方面可以辨认病毒的类型和种类,判定是否为一种新病毒,另外还可以搞清楚病毒体的大致结构,提取用于特征识别的字节串或特征字,增添到病毒代码库中供病毒扫描和识别程序使用。
同时,详细地分析病毒代码,还有助于制定相应的反病毒方案。
与前三种检测病毒的方法不同,使用分析法检测病毒,除了要具有相关的知识外,还需要使用Debug、Proview等分析工具程序和专用的试验用计算机。
因为即使是很精通病毒的技术人员,使用性能完善的分析软件,也不能完全保证在短时间内将病毒代码分析清楚;而病毒则有可能在被分析阶段继续传染甚至发作,把软盘、硬盘内的数据完全毁坏掉,所以分析工作必须在专门的试验用PC机上进行,不怕其中的数据被破坏。
不具备必要的条件,不要轻易开始分析工作。
很多电脑病毒采用了自加密、抗跟踪等技术,使得分析病毒的工作经常是冗长枯燥的。
特别是某些文件型病毒的源代码可达10KB以上,与系统的牵扯层次很深,使详细的剖析工作十分复杂。
病毒检测的分析法是反病毒工作中不可或缺的重要技术,任何一个性能优良的反病毒系统的研制和开发都离不开专门人员对各种病毒详尽、认真的分析。
分析法分为静态和动态两种。
静态分析是指利用Debug等反汇编程序将病毒代码打印成反汇编后的程序清单进行分析,看病毒分成哪些模块,使用了哪些系统调用,采用了哪些技巧,如何将病毒感染文件的过程翻转为清除病毒、修复文件的过程,哪些代码可被用做特征码以及如何防御这种病毒等等。
分析人员的素质越高,分析过程就越快,理解也就越深;动态分析则是指利用Debug等程序调试工具在内存带毒的情况下,对病毒作动态跟踪,观察病毒的具体工作过程,以进一步在静态分析的基础上理解病毒工作的原理。
在病毒编码比较简单的情况下,动态分析不是必须的。
但是,当病毒采用了较多的技术手段时,就必须使用动、静相结合的分析方法才能完成整个分析过程。
综上所述,利用原始备份和被检测程序相比较的方法适合于不用专用软件,可以发现异常情况的场合,是一种简单、基本的病毒检测方法;扫描特征串和识别特性字的方法更适用于广大PC机用户使用,方便而又迅速;但对新出现的病毒会出现漏检的情况,须要与分析和比较法结合使用。
病毒??
四种查病毒的绝招
作者:3s10 2007-08-07 12:48:20
标签: 知识/探索
病毒要进行传染,必然会留下痕迹。
生物医学病毒如此,电脑病毒也是一样。
检测电脑病毒,就要到病毒寄生场所去检查,发现异常情况,并进而验明“正身”,确认电脑病毒的存在。
电脑病毒静态时存储于硬盘中,被激活时驻留在内存中,因此对电脑病毒的检测可以分为对硬盘的检测和对内存的检测。
一般对硬盘进行病毒检测时,要求内存中不带病毒,因为某些电脑病毒会向检测者报告假情况。
例如“4096”病毒在内存中时,查看被它感染的文件,不会发现该文件的长度已发生变化,而当在内存中没有病毒时,才会发现文件长度已经增长了4096字节;又例如,“DIR2”病毒在内存中,用Debug程序查看被感染文件时,根本看不到“DIR2”病毒的代码,很多检测程序因此而漏过了被感染的文件;还有引导区型的“巴基斯坦智囊”病毒,当它活跃在内存中时,检查引导区就看不到病毒程序而只看到正常的引导扇区。
因此,只有在要求确认某种病毒的类型和对其进行分析、研究时,才能在内存中带毒的情况下作检测工作。
从原始的、未受病毒感染的DOS系统软盘启动,可以保证内存中不带病毒。
启动必须是上电启动而不是按键盘上的“Alt+Ctrl+Del”三键的那种热启动,因为某些病毒可以通过截取键盘中断,将自己驻留在内存中。
检测硬盘中的病毒,启动系统软盘的DOS版本号应该等于或高于硬盘内DOS系统的版本号。
如果硬盘上使用了硬盘管理软件DM、ADM,硬盘压缩存储管理软件Stacker、DoubleSpace等,启动系统软盘时应把这些软件的驱动程序包括在软盘上,并把它们写入config.sys文件中,否则用系统软盘引导启动后,将不能访问硬盘上的所有分区,使躲藏在其中的病毒逃过检查。
/
检测硬盘中的病毒可分成检测引导区型病毒和检测文件型病毒。
这两种检测的原理上相同,但由于病毒的存储方式不同,检测方法还是有差别的。
主要是基于下列四种方法:比较被检测对象与原始备份的比较法;利用病毒特征代码串进行查找的搜索法;搜索病毒体内特定位置的特征字识别法;运用反汇编技术分析被检测对象,确证是否为病毒的分析法。
/index.html
比较法
这是用原始备份与被检测的引导扇区或被检测的文件进行比较的方法,可以用打印的代码清单(比如Debug的D命令输出格式)进行比较,也可用程序来进行比较(如DOS的DISKCOMP、COMP或PCTOOLS等其它软件)。
比较法不需要专用的查病毒程序,只要用常规DOS软件和PCTOOLS等工具软件就可以进行,而且还可以发现那些尚不能被现有的杀毒软件发现的计算机病毒。
因为病毒传播得很快,新病毒层出不穷,而目前还没有能查出一切病毒的通用程序,或通过代码分析,可以判定某个程序中是否含有病毒的查毒程序,所以只有靠比较法和分析法,或这两种方法相结合来发现新病毒。
对硬盘的主引导区或对DOS的引导扇区作检查,用比较法能发现其中的程序源代码是否发生了变化。
由于要进行比较,因此保留好原始备份是非常重要的。
制作备份时必须在无电脑病毒的环境里进行,制作好的备份必须妥善保管,写好标签,贴好写保护。
比较法的好处是简单、方便,不用专用软件;缺点是无法确认病毒的种类名称。
另外,造成被检测程序与原始备份之间差别的原因尚需进一步验证,以查明是电脑病毒造成的,还是DOS数据被偶然原因,如突然停电、程序失控、恶意程序等破坏的。
这些要用到以后讲的分析法,查看变化部分代码的性质,以此来确认是否存在病毒。
搜索法 /index.html
这种方法主要是对每一种病毒含有的特定字符串进行扫描,如果在被检测对象内部发现了某一种特定字节串,就表明发现了该字节串所代表的病毒。
国外称这种按搜索法工作的病毒扫描软件为“Scanner”。
这种病毒扫描软件由两部分组成:一部分是病毒代码库,含有经过特别选定的各种电脑病毒的代码串;另一部分是利用该代码库进行扫描的扫描程序,病毒扫描程序能识别的电脑病毒的数目完全取决于病毒代码库内所含病毒种类的多少。
病毒代码串的选择是非常重要的,短小的病毒代码只有一百多个字节,长的也只有10KB字节。
一定要在仔细分析程序之后选出最具代表特性的,足以将该病毒区别于其它病毒和该病毒的其它变种的代码串。
一般情况下,代码串是由连续若干个字节组成的,但是有些扫描软件采用的是可变长串,即在串中包含有一个到几个“模糊”字节。
扫描软件遇到这种串时,只要除“模糊”字节之外的字串都能完好匹配,就也能够判别出病毒。
另外,特征串还必须能将病毒与正常的非病毒程序区,不然就会出现“假报、误报”。
/index.html
特征字识别法
/index.html
这是基于特征串扫描法发展起来的一种方式,运行速度较快、误报频率较低。
特征字识别法只须从病毒体内抽取很少的几个关键特征字,组成特征字库。
由于需要处理的字节很少,又不必进行串匹配,因此大大加快了识别速度,当被处理的程序很大时,用这种办法比较合适。
由于特征字识别法更注意电脑病毒的“程序活性”,因此减少了错报的可能性。
使用基于特征串扫描法的查病毒软件方法与使用基于特征字识别法的查病毒软件方法是一样的,只要运行查毒程序,就能将已知的病毒检查出来。
这两种方法的使用,都须要不断地对病毒库进行扩充,一旦捕捉到病毒,经过提取特征并加入到病毒库,就能使查病毒程序多检查出一种新病毒来。
分析法
这种方法一方面可以确认被观察的磁盘引导区和程序中是否含有病毒,另一方面可以辨认病毒的类型和种类,判定是否为一种新病毒,另外还可以搞清楚病毒体的大致结构,提取用于特征识别的字节串或特征字,增添到病毒代码库中供病毒扫描和识别程序使用。
同时,详细地分析病毒代码,还有助于制定相应的反病毒方案。
与前三种检测病毒的方法不同,使用分析法检测病毒,除了要具有相关的知识外,还需要使用Debug、Proview等分析工具程序和专用的试验用计算机。
因为即使是很精通病毒的技术人员,使用性能完善的分析软件,也不能完全保证在短时间内将病毒代码分析清楚;而病毒则有可能在被分析阶段继续传染甚至发作,把软盘、硬盘内的数据完全毁坏掉,所以分析工作必须在专门的试验用PC机上进行,不怕其中的数据被破坏。
不具备必要的条件,不要轻易开始分析工作。
很多电脑病毒采用了自加密、抗跟踪等技术,使得分析病毒的工作经常是冗长枯燥的。
特别是某些文件型病毒的源代码可达10KB以上,与系统的牵扯层次很深,使详细的剖析工作十分复杂。
病毒检测的分析法是反病毒工作中不可或缺的重要技术,任何一个性能优良的反病毒系统的研制和开发都离不开专门人员对各种病毒详尽、认真的分析。
/
分析法分为静态和动态两种。
静态分析是指利用Debug等反汇编程序将病毒代码打印成反汇编后的程序清单进行分析,看病毒分成哪些模块,使用了哪些系统调用,采用了哪些技巧,如何将病毒感染文件的过程翻转为清除病毒、修复文件的过程,哪些代码可被用做特征码以及如何防御这种病毒等等。
分析人员的素质越高,分析过程就越快,理解也就越深;动态分析则是指利用Debug等程序调试工具在内存带毒的情况下,对病毒作动态跟踪,观察病毒的具体工作过程,以进一步在静态分析的基础上理解病毒工作的原理。
在病毒编码比较简单的情况下,动态分析不是必须的。
但是,当病毒采用了较多的技术手段时,就必须使用动、静相结合的分析方法才能完成整个分析过程。
计算机病毒检测技术主要分为哪几个方面?
展开全部
【热心解答】
常见的计算机病毒的检测技术的分类:
1. 自动防御检测技术
2. 启发式病毒扫描检测技术
3. 智能型广谱式的病毒检测技术
4. 特征码计算机病毒检测技术
拓展阅读参考:
/view/80d1030bbed5b9f3f90f1cd2.html
杀毒软件是怎么分析病毒来源的?
有几种:
1。
用户提交 把样本提交上去 分析师进行分析然后写出查杀特征码
2。
虚拟执行 虚拟环境执行程序 检查是否存在病毒行为 也是很多主动防御技术的原理
/z/q772665452.htm
这是详细的 您可以参考
谈谈你们对电脑病毒的理解
20世纪60年代初,美国贝尔实验室里,三个年轻的程序员编写了一个名为“磁芯大战”的游戏,游戏中通过复制自身来摆脱对方的控制,这就是所谓“病毒”的第一个雏形。
20世纪70年代,美国作家雷恩在其出版的<<p1的青春>>一书中构思了一种能够自我复制的计算机程序,并第一次称之为“计算机病毒”。
1982年,elk cloner病毒出现在苹果电脑中,这个由rich skrenta编写的恶作剧程序,是世界上已知的第一个电脑病毒。
当elk cloner发作时,电脑屏幕上会现出一段韵文 it will get on all your disks(它会占领你所有的磁盘) it will infiltrate your chips(潜入你的芯片) yes it’s cloner! (是的,它就是克隆病毒!) it will stick to you like glue(它会像胶水一样粘着你) it will modify ram too(也会修改你的内存) send in the cloner! (传播这个克隆病毒!)
1983年11月,在国际计算机安全学术研讨会上,美国计算机专家首次将病毒程序在vax/750计算机上进行了实验,世界上第一个计算机病毒就这样出生在实验室中。
20世纪80年代后期,巴基斯坦有两个编软件为生的兄弟,他们为了打击那些盗版软件的使用者,设计出了一个名为“巴基斯坦智囊”的病毒,该病毒只传染软盘引导。
这就是最早在世界上流行的一个真正的病毒。
电脑病毒的起源
电脑病毒的历史:磁蕊大战
电脑病毒并非是最近才出现的新产物事实上早在一九四九年距离第一部商用电脑的出现仍有好几年时电脑的先驱者约翰范纽曼在他所提出的一篇论文复杂自动装置的理论及组织的进行即已把病毒程式的蓝图勾勒出来当时绝大部份的电脑专家都无法想像这种会自我繁植的程式是可能的可是少数几个科学家默默的研究范纽曼的所提出的概念直到十年之後在美国电话电报公司AT&T的贝尔Bell实验室中这些概念在一种很奇怪的电子游戏中成形了这种电子游戏叫做磁蕊大战corewar
磁蕊大战是当时贝尔实验室中三个年轻程式人员在工馀想出来的他们是道格拉斯麦耀莱维特维索斯基以及罗伯莫里斯当时三人年纪都只有二十多岁
附注:RobertTMorris就是後来写了一个Worm把搞的天翻地覆的那个罗伯莫里斯的爸爸当时大Morris刚好是负责网路安全
电脑病毒的出现
在那些日子里电脑都没有连线而是互相独立的因此并不会出现小莫礼士所引起的病毒瘟疫如果有某部电脑受到感染失去控制工作人员只需把它关掉便可但是当电脑连线逐渐成为社会结构的一部份之後一个或自我复制的病毒程式便很可能带来祸害因此长久一来懂的玩磁蕊大战游戏的电脑工作者都严守一项不成文的规定:不对普罗大众公开这些战争程式的内容
一九八三年这项规定被打破了科恩汤普逊是当年一项杰出电脑讲得奖人在颁奖典礼上他作了一个演讲不但公开地证实了电脑病毒的存在而且还告诉所有听众怎样去写自己的病毒程式他的同行全都吓坏了然而这个秘密已经流传出去了一九八四年情况愈复杂了这一年科学美国人月刊ScientificAmerican的专栏作家杜特尼在五月号写了第一篇讨论磁蕊大战的文章并且只要寄上两块美金任何读者都可以收到它所写得有关写程式的纲领在自己家中的电脑中开辟战场
【病毒】一词的正式出现
在一九八五年三月份的科学美国人里杜特尼再次讨论磁蕊大战---和病毒在文章的开头他便说:当去年五月有关磁蕊大战的文章印出来时我并没有想过我所谈论的是那么严重的题目文中并第一次提到病毒这个名称他提到说义大利的罗勃吐些鲁帝和马高么鲁顾帝发明了一种破坏软体的方法他们想用病毒而不是蠕虫来使得苹果二号电脑受感染
些鲁弟写了一封信给杜特尼信内说:马高想写一个像病毒一样的程式可以从一部苹果电脑传染到另一部苹果电脑使其受到感染可是我们没法这样做直到我想到这病毒要先使磁碟受到感染而电脑只是媒介这样病毒就可以从一片磁碟传染到另一片磁碟了
自从1987年发现了全世界首例计算机病毒以来,病毒的数量早已超过1万种以上,并且还在以每年两千种新病毒的速度递增,不断困扰着涉及计算机领域的各个行业。
计算机病毒的危害及造成的损失是众所周知的,发明计算机病毒的人同样也受到社会和公众舆论的谴责。
也许有人会问:“计算机病毒是哪位先生发明的?”这个问题至今无法说清楚,但是有一点可以肯定,即计算机病毒的发源地是科学最发达的美国 。
虽然全世界的计算机专家们站在不同立场或不同角度分析了病毒的起因,但也没有能够对此作出最后的定论,只能推测电脑病毒缘于以下几种原因:一、科幻小说的启发;二、恶作剧的产物;三、电脑游戏的产物;四、软件产权保护的结果
自从1987年发现了全世界首例计算机病毒以来,病毒的数量早已超过1万种以上,并且还在以每年两千种新病毒的速度递增,不断困扰着涉及计算机领域的各个行业。
计算机病毒的危害及造成的损失是众所周知的,发明计算机病毒的人同样也受到社会和公众舆论的谴责。
也许有人会问:“计算机病毒是哪位先生发明的?”这个问题至今无法说清楚,但是有一点可以肯定,即计算机病毒的发源地是科学最发达的美国。
虽然全世界的计算机专家们站在不同立场或不同角度分析了病毒的起因,但也没有能够对此作出最后的定论,只能推测电脑病毒缘于以下几种原因:一、科幻小说的启发;二、恶作剧的产物;三、电脑游戏的产物;四、软件产权保护的结果