病毒的检测与查杀-口鸟人

特征码就是从病毒体内不同位置提取的一系列字节，杀毒软件就是通过这些字节及位置信息来检验某个文件是否病毒。

优点：检测准确；可识别病毒的名称；误报率低依据检测结果可做杀毒处理

缺点：速度慢；不能检查多形性病毒；不能对付隐蔽性病毒；不能检查未知病毒，变种病毒，隐蔽病毒，需定期更新病毒库，具有滞后性。

将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染，这种方法叫校验和法，它既可发现已知病毒又可发现未知病毒。

①在检测病毒工具中纳入校验和法，对被查的对象文件计算其正常状态的校验和，将校验和值写入被查文件中或检测工具中，而后进行比较。

②在应用程序中，放入校验和法自我检查功能，将文件正常状态的校验和写入文件本身中，每当应用程序启动时，比较现行校验和与原校验和值。实现应用程序的自检测。

③将校验和检查程序常驻内存，每当应用程序开始运行时，自动比较检查应用程序内部或别的文件中预先保存的校验和。

优点：方法简单能发现未知病毒、被查文件的细微变化也能发现

缺点：发布通行记录正常态的校验和、会误报警、不能识别病毒名称、不能对付隐蔽型病毒

行为监测法是将病毒中比较特殊的共同行为归纳起来。当程序运行时监视其行为,若发现类似病毒的行为，立即报警。

优点：既能发现已知病毒，以能预报未知病毒。

缺点：可能虚假报警，不能识别病毒名称，实现较难。

CPU执行，在虚拟机下执行疑似病毒的变体引擎解码程序，再用特征代码法。

多态性病毒每次感染都变化其病毒密码，对付这种病毒，特征代码法失效。因为多态性病毒代码实施密码化，而且每次所用密钥不同，把染毒的病毒代码相互比较，也无法找出相同的可能做为特征的稳定代码。虽然行为检测法可以检测多态性病毒，但是在检测出病毒后，因为不知病毒的种类，难于做消毒处理。

优点：对付特征代码法不能就对的变种病毒

缺点：误报率低，实现难度大。

病毒的检测与查杀