杀毒软件发现病毒原理 蠕虫病毒杀毒软件
杀毒软件识别病毒的原理!病毒成千上万,那么软件是如何识别的呢! ...
识别病毒的几种方法 如何识别病毒,对于任何杀毒软件来说,都是非常重要,同时也是非常核心的工作。
识别病毒的能力,往往决定了这款杀毒软件的病毒查杀能力,若连病毒都无法识别,当然也就不能对病毒作出妥当的处理。
检测病毒方法通常有:特征代码法、校验和法、行为监测法、软件模拟法几种,各安全厂商会衡量不同方法之间的查杀效果、运行开销等因素,再结合自身的技术特点,选择相应的病毒识别方法。
这里只介绍各种方法的优缺点,对于具体的实现步骤,已经超出了“菜鸟”的范畴。
特征代码法:这种方法根据正常程序与病毒程序代码的差别来识别病毒文件。
有人认为,对于已知病毒来说,这种方法是最简单、最直接的方法,这种方法的优、缺点都很突出。
优点:检测的准确率较高,误报率低。
缺点:查杀速度慢,由于已知病毒越来越多,因此病毒特征码也随之增加,因此查杀速度也会越来越慢。
不能检测未知病毒和多态性病毒以及隐蔽性病毒。
另外这种检测方法也不适合网络版杀毒软件采用,因为它会消耗我们宝贵的网络资源。
校验和法:此法计算文件的校验和(只要知道是一种算法就可以了)并保存,可定期或调用文件时进行对比,从而判断文件是否被病毒感染。
虽然此法可以发现未知病毒,但由于其较高的误报率,已经逐渐不被采用。
优点:可发现未知病毒。
缺点:无法报出病毒名称,误报率高,当软件更新,口令修改或修改文件内容时,校验和法都可能会误报,因为这种方法无法区分文件内容的变化是不是属于正常的程序使用引起的。
行为监测法:此法根据病毒的行为特征来识别病毒,这需要对病毒行为进行详细的分类和研究,分析那些病毒共同的行为,以及正常程序的罕见行为,根据程序运行时的行为进行病毒判断和预警。
优点:由于其归纳和总结各种病毒的共同特征,因此可以发现未知病毒,对于多数未知病毒预报非常有效。
缺点:对于未知行为病毒,不能有效检测,同时也存在误报现象,对查到的未知病毒,不能识别病毒名称,因此普通用户不能对发现的未知病毒进行有效的清除。
软件模拟法:这种方法通过模拟病毒运行的方式来检测病毒特征,由于特征码法无法检测多态性病毒,虽然行为监测法可以发现病毒,但是无法确定病毒名称,也无法对其进行相应的杀除,因此产生了软件模拟法。
优点:可识别未知病毒,病毒定位准确,误报率低。
缺点:检测速度受到一定影响,消耗系统资源较高。
上述几种检测方法各有所长,往往都不能单纯使用一种方法完成大规模病毒的检测报警工作,通常都是几种技术相结合,根据实际情况和应用场合配合运用相应的检测手段。
杀毒软件如何查杀病毒,原理是什么,当他发现一个病毒之后,是如何...
一个杀毒软件的构造的复杂程度要远远高于木马或病毒,所以其原理也比较复杂。
而且鉴于现在木马病毒越来越向系统底层发展,杀毒软件的编译技术也在不断向系统底层靠近。
例如现在的“主动防御”技术,就是应用RING0层的编译技巧。
这里我简单为大家介绍一下基本构成。
一个杀毒软件一般由扫描器、病毒库与虚拟机组成,并由主程序将他们结为一体,如图1。
扫描器是杀毒软件的核心,用于发现病毒,一个杀毒软件的杀毒效果好坏就直接取决于它的扫描器编译技术与算法是否先进,而且杀毒软件不同的功能往往对应着不同的扫描器,也就是说,大多数杀毒软件都是由多个扫描器组成的。
而病毒库存储的特征码形式则取决于扫描器采用哪种扫描技术。
它里面存储着很多病毒所具有的独一无二的特征字符,我们称之为“特征码”。
特征码总的分来只有两个,文件特征码与内存特征码。
文件特征码存在于一些未执行的文件里,例如EXE文件、RMVB文件、jpg文件甚至是txt文件中都有可能存在文件特征码,也都有可能被查杀。
而内存特征码仅仅存在于内存中已运行的应用程序。
而虚拟机则是最近引进的概念,它可以使病毒在一个由杀毒软件构建的虚拟环境中执行,与现实的CPU、硬盘等完全隔离,从而可以更加深入的检测文件的安全性。
简单的说,杀毒软件的原理就是匹配特征码。
当扫描得到一个文件时,杀毒软件会检测这个文件里是否包含病毒库里所包含的特征码,如果有,则报毒病查杀,如果没有,纵然这个文件确实是一个病毒,它也会把它当作正常文件来看待。
我觉得腾讯电脑管家就是最好的杀毒软件了二、基于文件扫描的杀毒技术基于文件的杀毒技术可以分为“第一代扫描技术”、“第二代扫描技术”与“算法扫描”这三种方法,对于免杀爱好者来说,要对每一种方法烂熟于心,才能成为高手!但做为一个初学者来说了解一下即可。
这里我们就简单介绍一下其中两种种方法,详细的技术原理如果各位得这有兴趣的话可以自己研究。
杀毒软件的原理
在与病毒的对抗中,及早发现病毒很重要。
早发现,早处置,可以减少损失。
检测病毒方法有:特征代码法、校验和法、行为监测法、软件模拟法。
这些方法依据的原理不同,实现时所需开销不同,检测范围不同,各有所长。
特征代码法 特征代码法被早期应用于SCAN、CPAV等著名病毒检测工具中。
国外专家认为特征代码法是检测已知病毒的最简单、开销最小的方法。
特征代码法的实现步骤如下:采集已知病毒样本,病毒如果既感染COM文件,又感染EXE文件,对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。
在病毒样本中,抽取特征代码。
依据如下原则:抽取的代码比较特殊,不大可能与普通正常程序代码吻合。
抽取的代码要有适当长度,一方面维持特征代码的唯一性,另一方面又不要有太大的空间与时间的开销。
如果一种病毒的特征代码增长一字节,要检测3000种病毒,增加的空间就是3000字节。
在保持唯一性的前提下,尽量使特征代码长度短些,以减少空间与时间开销。
在既感染COM文件又感染EXE文件的病毒样本中,要抽取两种样本共有的代码。
将特征代码纳入病毒数据库。
打开被检测文件,在文件中搜索,检查文件中是否含有病毒数据库中的病毒特征代码。
如果发现病毒特征代码,由于特征代码与病毒一一对应,便可以断定,被查文件中患有何种病毒。
采用病毒特征代码法的检测工具,面对不断出现的新病毒,必须不断更新版本,否则检测工具便会老化,逐渐失去实用价值。
病毒特征代码法对从未见过的新病毒,自然无法知道其特征代码,因而无法去检测这些新病毒。
特征代码法的优点是:检测准确快速、可识别病毒的名称、误报警率低、依据检测结果,可做解毒处理。
其缺点是:不能检测未知病毒、搜集已知病毒的特征代码,费用开销大、在网络上效率低(在网络服务器上,因长时间检索会使整个网络性能变坏)。
其特点:A.速度慢。
随着病毒种类的增多,检索时间变长。
如果检索5000种病毒,必须对5000个病毒特征代码逐一检查。
如果病毒种数再增加,检病毒的时间开销就变得十分可观。
此类工具检测的高速性,将变得日益困难。
B.误报警率低。
非C.不能检查多形性病毒。
特征代码法是不可能检测多态性病毒的。
国外专家认为多态性病毒是病毒特征代码法的索命者。
D.不能对付隐蔽性病毒。
隐蔽性病毒如果先进驻内存,后运行病毒检测工具,隐蔽性病毒能先于检测工具,将被查文件中的病毒代码剥去,检测工具的确是在检查一个虚假的“好文件”,而不能报警,被隐蔽性病毒所蒙骗。
校验和法 将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存。
在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法叫校验和法,它既可发现已知病毒又可发现未知病毒。
在SCAN和CPAV工具的后期版本中除了病毒特征代码法之外,还纳入校验和法,以提高其检测能力。
这种方法既能发现已知病毒,也能发现未知病毒,但是,它不能识别病毒类,不能报出病毒名称。
由于病毒感染并非文件内容改变的唯一的非他性原因,文件内容的改变有可能是正常程序引起的,所以校验和法常常误报警。
而且此种方法也会影响文件的运行速度。
病毒感染的确会引起文件内容变化,但是校验和法对文件内容的变化太敏感,又不能区分正常程序引起的变动,而频繁报警。
用监视文件的校验和来检测病毒,不是最好的方法。
这种方法遇到下述情况:已有软件版更新、变更口令、修改运行参数、校验和法都会误报警。
校验和法对隐蔽性病毒无效。
隐蔽性病毒进驻内存后,会自动剥去染毒程序中的病毒代码,使校验和法受骗,对一个有毒文件算出正常校验和。
运用校验和法查病毒采用三种方式:①在检测病毒工具中纳入校验和法,对被查的对象文件计算其正常状态的校验和,将校验和值写入被查文件中或检测工具中,而后进行比较。
②在应用程序中,放入校验和法自我检查功能,将文件正常状态的校验和写入文件本身中,每当应用程序启动时,比较现行校验和与原校验和值。
实现应用程序的自检测。
③将校验和检查程序常驻内存,每当应用程序开始运行时,自动比较检查应用程序内部或别的文件中预先保存的校验和。
校验和法的优点是:方法简单能发现未知病毒、被查文件的细微变化也能发现。
其缺点是:发布通行记录正常态的校验和、会误报警、不能识别病毒名称、不能对付隐蔽型病毒。
行为监测法 利用病毒的特有行为特征性来监测病毒的方法,称为行为监测法。
通过对病毒多年的观察、研究,有一些行为是病毒的共同行为,而且比较特殊。
在正常程序中,这些行为比较罕见。
当程序运行时,监视其行为,如果发现了病毒行为,立即报警。
这些做为监测病毒的行为特征如下:A.占有INT 13H 所有的引导型病毒,都攻击Boot扇区或主引导扇区。
系统启动时,当Boot扇区或主引导扇区获得执行权时,系统刚刚开工。
一般引导型病毒都会占用INT 13H功能,因为其他系统功能未设置好,无法利用。
引导型病毒占据INT 13H功能,在其中放置病毒所...
杀毒软件的工作原理是什么
杀毒软件的工作原理 一、杀毒软件原理基础 一个杀毒软件的构造的复杂程度要远远高于木马或病毒,所以其原理也比较复杂。
而且鉴于现在木马病毒越来越向系统底层发展,杀毒软件的编译技术也在不断向系统底层靠近。
例如现在的“主动防御”技术,就是应用RING0层的编译技巧。
这里我简单为大家介绍一下基本构成。
一个杀毒软件一般由扫描器、病毒库与虚拟机组成,并由主程序将他们结为一体,如图1。
扫描器是杀毒软件的核心,用于发现病毒,一个杀毒软件的杀毒效果好坏就直接取决于它的扫描器编译技术与算法是否先进,而且杀毒软件不同的功能往往对应着不同的扫描器,也就是说,大多数杀毒软件都是由多个扫描器组成的。
而病毒库存储的特征码形式则取决于扫描器采用哪种扫描技术。
它里面存储着很多病毒所具有的独一无二的特征字符,我们称之为“特征码”。
特征码总的分来只有两个,文件特征码与内存特征码。
文件特征码存在于一些未执行的文件里,例如EXE文件、RMVB文件、jpg文件甚至是txt文件中都有可能存在文件特征码,也都有可能被查杀。
而内存特征码仅仅存在于内存中已运行的应用程序。
而虚拟机则是最近引进的概念,它可以使病毒在一个由杀毒软件构建的虚拟环境中执行,与现实的CPU、硬盘等完全隔离,从而可以更加深入的检测文件的安全性。
简单的说,杀毒软件的原理就是匹配特征码。
当扫描得到一个文件时,杀毒软件会检测这个文件里是否包含病毒库里所包含的特征码,如果有,则报毒病查杀,如果没有,纵然这个文件确实是一个病毒,它也会把它当作正常文件来看待。
二、基于文件扫描的杀毒技术 基于文件的杀毒技术可以分为“第一代扫描技术”、“第二代扫描技术”与“算法扫描”这三种方法,对于免杀爱好者来说,要对每一种方法烂熟于心,才能成为高手!但做为一个初学者来说了解一下即可。
这里我们就简单介绍一下其中两种种方法,详细的技术原理如果各位得这有兴趣的话可以自己研究。
1、通配符扫描技术 通配符扫描技术属于是第一代扫描技术的一个分支,对于“通配符”,可以理解为具有一定意义的符号,例如DOS命令里的*号就是任意长度的任意字符的意思,而且通配符在不同的领域也里可以代表不同的意思。
现在杀毒软件中简单的扫描器常常支持通配符,因为鉴于字符串扫描技术的执行速度与特征码长度限制等问题,使得其逐渐退出历史舞台,取而代之的是通配符扫描技术,通配符扫描技术以同样简单的原理与技术却实现了更为强大的功能。
扫描器中的通配符一般用于跳过某些字节或字节范围,以至于现在有些扫描器还支持正则表达式! 下面我们通过一个例子来讲解通配符扫描技术的原理。
例如我们的病毒库中有这样一段特征码: 0400 B801 020E 07BB ??02 %3 33C9 8BD1 419C 上面的特征码可以解释为: 1、尝试匹配04,如果找到则继续,否则跳出。
2、尝试上一匹配目标后匹配00,如果找到则继续,否则跳出。
3、尝试上一匹配目标后匹配B8,如果找到则继续,否则跳出。
4、尝试上一匹配目标后匹配01,如果找到则继续,否则跳出。
5、尝试上一匹配目标后匹配02,如果找到则继续,否则跳出。
6、尝试上一匹配目标后匹配0E,如果找到则继续,否则跳出。
7、尝试上一匹配目标后匹配07,如果找到则继续,否则跳出。
8、尝试上一匹配目标后匹配BB,如果找到则继续,否则跳出。
9、忽略此字节。
10、尝试上一匹配目标后匹配02,如果找到则继续,否则跳出。
11、在接下来的3个位置(字节)中尝试匹配33,如果找到则继续,否则跳出。
12、尝试上一匹配目标后匹配C9,如果找到则继续,否则跳出。
13、尝试上一匹配目标后匹配8B,如果找到则继续,否则跳出。
14、尝试上一匹配目标后匹配D1,如果找到则继续,否则跳出。
15、尝试上一匹配目标后匹配41,如果找到则继续,否则跳出。
16、尝试上一匹配目标后匹配9C,如果找到则继续,否则跳出。
这种扫描技术通常支持半字节匹配,这样可以更精确地匹配特征码,一些早期的加密病毒用这种方法都比较容易检测出来。
其实现在的一些特征码仍然在使用类似此种方法的特征码表达技术,因此掌握这些知识会对我们以后的免杀有所帮助,同样可以使我们在定位特征码时更加了解自己正在做什么,以及做的是否正确等等,这对于我们来说非常重要。
2、智能扫描 智能扫描属于第二代扫描技术的一个分支,这种方法是在一种病毒变异工具包出现之后提出的。
智能扫描法会忽略检测文件中象NOP这样的无意义指令。
而对于文本格式的脚本病毒或宏病毒,则可以替换掉多余的例如空格、换行符或制表符等空白字符,这一切替换动作在扫描缓冲区就会执行,从而大大提高了扫描器的检测能力。
3、近似精确识别法 近似精确识别法同样是属于第二代扫描技术的一个分支,但是相比起来应用的更为广泛,这种扫描技术包含了两种方式与若干种方法,在这里不可能一一介绍,下面将主要介绍两种方法的代表。
方法一:多套特征码 该方法采用两个或更多个字符串集来检测每个病毒,如果扫描器检测到其中一个特征符合,那么就会警告...
杀毒软件杀毒的原理是什么?
杀毒软件大致上是根据以下几个方式辨别病毒: 病毒检测的方法 在与病毒的对抗中,及早发现病毒很重要。
早发现,早处置,可以减少损失。
检测病毒方法有:特征代码法、校验和法、行为监测法、软件模拟法 这些方法依据的原理不同,实现时所需开销不同,检测范围不同,各有所长。
特征代码法 特征代码法被早期应用于SCAN、CPAV等著名病毒检测工具中。
国外专家认为特征代码法是检测已知病毒的最简单、开销最小的方法。
特征代码法的实现步骤如下: 采集已知病毒样本,病毒如果既感染COM文件,又感染EXE文件,对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。
在病毒样本中,抽取特征代码。
依据如下原则: 抽取的代码比较特殊,不大可能与普通正常程序代码吻合。
抽取的代码要有适当长度,一方面维持特征代码的唯一性,另一方面又不要有太大的空间与时间的开销。
如果一种病毒的特征代码增长一字节,要检测3000种病毒,增加的空间就是3000字节。
在保持唯一性的前提下,尽量使特征代码长度短些,以减少空间与时间开销。
在既感染COM文件又感染EXE文件的病毒样本中,要抽取两种样本共有的代码。
将特征代码纳入病毒数据库。
打开被检测文件,在文件中搜索,检查文件中是否含有病毒数据库中的病毒特征代码。
如果发现病毒特征代码,由于特征代码与病毒一一对应,便可以断定,被查文件中患有何种病毒。
采用病毒特征代码法的检测工具,面对不断出现的新病毒,必须不断更新版本,否则检测工具便会老化,逐渐失去实用价值。
病毒特征代码法对从未见过的新病毒,自然无法知道其特征代码,因而无法去检测这些新病毒。
特征代码法的优点是:检测准确快速、可识别病毒的名称、误报警率低、依据检测结果,可做解毒处理。
其缺点是:不能检测未知病毒、搜集已知病毒的特征代码,费用开销大、在网络上效率低(在网络服务器上,因长时间检索会使整个网络性能变坏)。
其特点: A.速度慢。
随着病毒种类的增多,检索时间变长。
如果检索5000种病毒,必须对5000个病毒特征代码逐一检查。
如果病毒种数再增加,检病毒的时间开销就变得十分可观。
此类工具检测的高速性,将变得日益困难。
B.误报警率低。
非C.不能检查多形性病毒。
特征代码法是不可能检测多态性病毒的。
国外专家认为多态性病毒是病毒特征代码法的索命者。
D.不能对付隐蔽性病毒。
隐蔽性病毒如果先进驻内存,后运行病毒检测工具,隐蔽性病毒能先于检测工具,将被查文件中的病毒代码剥去,检测工具的确是在检查一个虚假的“好文件”,而不能报警,被隐蔽性病毒所蒙骗。
校验和法 将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存。
在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法叫校验和法,它既可发现已知病毒又可发现未知病毒。
在SCAN和CPAV工具的后期版本中除了病毒特征代码法之外,还纳入校验和法,以提高其检测能力。
这种方法既能发现已知病毒,也能发现未知病毒,但是,它不能识别病毒类,不能报出病毒名称。
由于病毒感染并非文件内容改变的唯一的非他性原因,文件内容的改变有可能是正常程序引起的,所以校验和法常常误报警。
而且此种方法也会影响文件的运行速度。
病毒感染的确会引起文件内容变化,但是校验和法对文件内容的变化太敏感,又不能区分正常程序引起的变动,而频繁报警。
用监视文件的校验和来检测病毒,不是最好的方法。
这种方法遇到下述情况:已有软件版更新、变更口令、修改运行参数、校验和法都会误报警。
校验和法对隐蔽性病毒无效。
隐蔽性病毒进驻内存后,会自动剥去染毒程序中的病毒代码,使校验和法受骗,对一个有毒文件算出正常校验和。
运用校验和法查病毒采用三种方式: ①在检测病毒工具中纳入校验和法,对被查的对象文件计算其正常状态的校验和,将校验和值写入被查文件中或检测工具中,而后进行比较。
②在应用程序中,放入校验和法自我检查功能,将文件正常状态的校验和写入文件本身中,每当应用程序启动时,比较现行校验和与原校验和值。
实现应用程序的自检测。
③将校验和检查程序常驻内存,每当应用程序开始运行时,自动比较检查应用程序内部或别的文件中预先保存的校验和。
校验和法的优点是:方法简单能发现未知病毒、被查文件的细微变化也能发现。
其缺点是:发布通行记录正常态的校验和、会误报警、不能识别病毒名称、不能对付隐蔽型病毒。
行为监测法 利用病毒的特有行为特征性来监测病毒的方法,称为行为监测法。
通过对病毒多年的观察、研究,有一些行为是病毒的共同行为,而且比较特殊。
在正常程序中,这些行为比较罕见。
当程序运行时,监视其行为,如果发现了病毒行为,立即报警。
这些做为监测病毒的行为特征如下: A.占有INT 13H 所有的引导型病毒,都攻击Boot扇区或主引导扇区。
系统启动时,当Boot扇区或主引导扇区获得执行权时,系统刚刚开工。
一般引导型病毒都会占用INT 13H功能,因为其他系...
电脑病毒的原理
计算机病毒的定义 计算机病毒是一个程序,一段可执行码 ,对计算机的正常使用进行破坏,使得电脑无法正常使用甚至整个操作系统或者电脑硬盘损坏。
就像生物病毒一样,计算机病毒有独特的复制能力。
计算机病毒可以很快地蔓延,又常常难以根除。
它们能把自身附着在各种类型的文件上。
当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。
这种程序不是独立存在的,它隐蔽在其他可执行的程序之中,既有破坏性,又有传染性和潜伏性。
轻则影响机器运行速度,使机器不能正常运行;重则使机器处于瘫痪,会给用户带来不可估量的损失。
通常就把这种具有破坏作用的程序称为计算机病毒。
除复制能力外,某些计算机病毒还有其它一些共同特性:一个被污染的程序能够传送病毒载体。
当你看到病毒载体似乎仅仅表现在文字和图象上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。
若是病毒并不寄生于一个污染程序,它仍然能通过占据存贮空间给你带来麻烦,并降低你的计算机的全部性能。
1.计算机病毒的特点 计算机病毒具有以下几个特点: (1) 寄生性 计算机病毒寄生在其他程序之中,当执行这个程序时,病毒就起破坏作用,而在未启动这个程序之前,它是不易被人发觉的。
(2) 传染性 计算机病毒不但本身具有破坏性,更有害的是具有传染性,一旦病毒被复制或产生变种,其速度之快令人难以预防。
(3) 潜伏性 有些病毒像定时炸弹一样,让它什么时间发作是预先设计好的。
比如黑色星期五病毒,不到预定时间一点都觉察不出来,等到条件具备的时候一下子就爆炸开来,对系统进行破坏。
(4) 隐蔽性 计算机病毒具有很强的隐蔽性,有的可以通过病毒软件检查出来,有的根本就查不出来,有的时隐时现、变化无常,这类病毒处理起来通常很困难。
2.计算机病毒的表现形式 计算机受到病毒感染后,会表现出不同的症状,下边把一些经常碰到的现象列出来,供用户参考。
(1) 机器不能正常启动 加电后机器根本不能启动,或者可以启动,但所需要的时间比原来的启动时间变长了。
有时会突然出现黑屏现象。
(2) 运行速度降低 如果发现在运行某个程序时,读取数据的时间比原来长,存文件或调文件的时间都增加了,那就可能是由于病毒造成的。
(3) 磁盘空间迅速变小 由于病毒程序要进驻内存,而且又能繁殖,因此使内存空间变小甚至变为“0”,用户什么信息也进不去。
(4) 文件内容和长度有所改变 一个文件存入磁盘后,本来它的长度和其内容都不会改变,可是由于病毒的干扰,文件长度可能改变,文件内容也可能出现乱码。
有时文件内容无法显示或显示后又消失了。
(5) 经常出现“死机”现象 正常的操作是不会造成死机现象的,即使是初学者,命令输入不对也不会死机。
如果机器经常死机,那可能是由于系统被病毒感染了。
(6) 外部设备工作异常 因为外部设备受系统的控制,如果机器中有病毒,外部设备在工作时可能会出现一些异常情况,出现一些用理论或经验说不清道不明的现象。
以上仅列出一些比较常见的病毒表现形式,肯定还会遇到一些其他的特殊现象,这就需要由用户自己判断了。
3.计算机病毒的预防 前面介绍了计算机病毒,现在讲一下怎样预防病毒的问题。
首先,在思想上重视,加强管理,止病毒的入侵。
凡是从外来的软盘往机器中拷信息,都应该先对软盘进行查毒,若有病毒必须清除,这样可以保证计算机不被新的病毒传染。
此外,由于病毒具有潜伏性,可能机器中还隐蔽着某些旧病毒,一旦时机成熟还将发作,所以,要经常对磁盘进行检查,若发现病毒就及时杀除。
思想重视是基础,采取有效的查毒与消毒方法是技术保证。
检查病毒与消除病毒目前通常有两种手段,一种是在计算机中加一块防病毒卡,另一种是使用防病毒软件工作原理基本一样,一般用防病毒软件的用户更多一些。
切记要注意一点,预防与消除病毒是一项长期的工作任务,不是一劳永逸的,应坚持不懈。
计算机病毒是在什么情况下出现的? 计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。
它产生的背景是: (1)计算机病毒是计算机犯罪的一种新的衍化形式 计算机病毒是高技术犯罪, 具有瞬时性、动态性和随机性。
不易取证, 风险小破坏大, 从而刺激了犯罪意识和犯罪活动。
是某些人恶作剧和报复心态在计算机应用领域的表现。
(2)计算机软硬件产品的危弱性是根本的技术原因 计算机是电子产品。
数据从输入、存储、处理、输出等环节, 易误入、篡改、丢失、作假和破坏;程序易被删除、改写;计算机软件设计的手工方式, 效率低下且生产周期长;人们至今没有办法事先了解一个程序有没有错误, 只能在运行中发现、修改错误, 并不知道还有多少错误和缺陷隐藏在其中。
这些脆弱性就为病毒的侵入提供了方便。
(3)微机的普及应用是计算机病毒产生的必要环境 1983年11月3日美国计算机专家首次提出了计算机病毒的概念并进行了验证。
几年前计算机病毒就迅速蔓延, 到我国才是近年来的事。
而这几年正是我国微型计算机普及应用热潮。
微机的广泛普及, 操作系...
杀毒软件提示发现病毒,却杀不掉也删不掉,怎么办?我家杀毒软件用...
1. 我的电脑——工具——文件夹选项——勾选“显示所有文件和文件夹”,取消“隐藏受保护的操作系统文件(推荐)” 2.打开任务管理器后会看到一个RavMonE.exe的进程在运行,灭掉它! 3.在C:\Windows\RavMonE.exe,结果掉它吧(最好在安全模式下) 4.删掉U盘里那几个病毒文件(注意不要又双击U盘盘符了,否则会继续染毒,正确作法为:对着U盘盘符单击鼠标右键选择“打开”) 5.最后就是注册表中的启动项了方法如下:.在开始菜单——运行——输入egedit,删除一下注册表的键值 [HKEY_LOCAL_MACHINE\SOFTWARE\Micosoft\Windows\CuentVesion\Run] C:\WINDOWS\RavMonE.exe
杀毒软件是如何定义病毒的
-- EICAR标准反病毒测试文件欧洲反病毒发展研究所(EICAR)提供了一个文件:EICAR标准反病毒测试文件,它是反病毒软件厂商在全世界范围内提供的用来检查反病毒软件安装的一个测试标准。
你可以轻易地建立这个文件: 请打开“记事本”,将下面一行文本拷贝进去,保存文件,文件类型选择“所有文件”,文件名为“EICAR.COM”。
X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* 拷贝成功后,产生的文件应该有69或70个字节长。
现在你可以用你的杀毒软件来查这个文件,如果报告发现病毒(实际上这个文件只是测试用的,不是病毒),则表示你的反病毒软件已经成功地安装到你的电脑上,并且已经有效地维护着你的计算机。
再强调一次:这个文件不是病毒! 在检测完毕后请您删除这个文件,以免以后给您造成误解。
诺顿主页对这个的解释: The Eicar Test String is not a real virus. It is a text file that is used to test antivirus software. By default, the file name is Eicar.com, but it could be renamed to any other name
- 上一篇:软件事务内存 事务内存
- 下一篇:word如何替换空行 设置页码