第16讲(病毒检测)

1、1、静态病毒的传播只能通过文件下载、静态病毒的传播只能通过文件下载(拷贝拷贝)实现实现。2、静态病毒和动态病毒是绝对的，不会出现转变、静态病毒和动态病毒是绝对的，不会出现转变。X3、病毒的启动过程就是病毒的首次激活过程。、病毒的启动过程就是病毒的首次激活过程。4、当内存中的病毒代码能够被系统的正常运、当内存中的病毒代码能够被系统的正常运行机制所执行时，动态病毒就处于激活态。行机制所执行时，动态病毒就处于激活态。X5、Trojan.LMir.PSW.60是属于什么类型的病毒？是属于什么类型的病毒？其主要作用是什么？其主要作用是什么？A.Exe B.bat C.com D. docA. CA.使用

2、软盘使用软盘 B.软盘表面受损软盘表面受损C.机房电源不稳定机房电源不稳定 D. 上网上网A. DA.传播性传播性 B.潜伏性潜伏性 C.破坏性破坏性 D. 易读性易读性A. B.C1.能正确使用工具检测病毒能正确使用工具检测病毒2.能采用合适的方法和技术检测病毒能采用合适的方法和技术检测病毒1.了解了解检测方法、检测技术检测方法、检测技术2.知道知道检测技术的工作原理检测技术的工作原理 3.熟悉检测技术的发展熟悉检测技术的发展Where在哪儿检测与查杀病毒？传播途径主要有两种：一种是通过传播途径主要有两种：一种是通过网络传播网络传播， 一种是通过一种是通过移动硬件设备移动硬件设备传播。传播。

3、（1 1）本地计算机本地计算机 首先在计算机本地进行查杀，切断病毒发源地，彻底首先在计算机本地进行查杀，切断病毒发源地，彻底解决病毒带来的安全威胁。解决病毒带来的安全威胁。（2 2）网络网络 网民们在收发电子邮件、浏览网页、下载软件、使用网民们在收发电子邮件、浏览网页、下载软件、使用即时通讯软件聊天、进行网络游戏时，都有可能感染并传即时通讯软件聊天、进行网络游戏时，都有可能感染并传播病毒。网络连接的频繁性与广泛性，已被病毒充分利用播病毒。网络连接的频繁性与广泛性，已被病毒充分利用，使其成为病毒防治的重要区域。，使其成为病毒防治的重要区域。（3 3）移动硬件设备移动硬件设备1借助简单工具检测借助

4、简单工具检测指指DEBUG等常规软件工具等常规软件工具要求检测者必须具备的知识：要求检测者必须具备的知识：分析工具的性能分析工具的性能磁盘内部结构（如磁盘内部结构（如BOOT区、主引导区、区、主引导区、FAT表和文件目录等有表和文件目录等有关知识）关知识）磁盘文件结构（磁盘文件结构（EXE文件头部结构，重定位方法、文件头部结构，重定位方法、EXE和和COM文件加载文件的不同等）文件加载文件的不同等）中断矢量表中断矢量表内存管理（内存控制块、环境参数和文件的内存管理（内存控制块、环境参数和文件的PSP结构等）结构等）阅读汇编程序的能力阅读汇编程序的能力有关病毒的信息有关病毒的信息 2借助专用工具

5、检测借助专用工具检测指专门的计算机病毒检测工具，如指专门的计算机病毒检测工具，如Norton等等 一般来说，专用工具具备自动扫描磁盘的功能，可检测磁盘一般来说，专用工具具备自动扫描磁盘的功能，可检测磁盘的染毒情况。的染毒情况。 病毒检测工具只能识别已知计算机病毒，其发展总是滞后于病毒检测工具只能识别已知计算机病毒，其发展总是滞后于计算机病毒的发展，从而对相当数量的未知计算机病毒无法识计算机病毒的发展，从而对相当数量的未知计算机病毒无法识别。别。A. CA.硬件硬件 B.软件软件 C.数据数据 D. 程序程序A.B. C.DD第一代反病毒技术：第一代反病毒技术：采取单纯的计算机病毒特征判断采取单

6、纯的计算机病毒特征判断u可以准确地清除计算机病毒，可靠性很高可以准确地清除计算机病毒，可靠性很高u随着病毒技术的发展，特别是加密和变形技术的应用，这随着病毒技术的发展，特别是加密和变形技术的应用，这种简单的静态扫描方式逐渐失去了作用种简单的静态扫描方式逐渐失去了作用第二代反病毒技术：第二代反病毒技术：采用静态广谱特征扫描方法检测病毒采用静态广谱特征扫描方法检测病毒u可更多地检测出变形病毒，但是误报率也有所提高可更多地检测出变形病毒，但是误报率也有所提高u容易造成文件和数据的破坏容易造成文件和数据的破坏第三代反病毒技术：第三代反病毒技术：静态扫描技术和动态仿真技术相结合静态扫描技术和动态仿真技术

7、相结合查找病毒和清除病毒合二为一，形成一个整体解决方案查找病毒和清除病毒合二为一，形成一个整体解决方案能全面实现预防、检测和清除等反病毒所必备的各种手段能全面实现预防、检测和清除等反病毒所必备的各种手段以驻留内存方式防止病毒的入侵，凡是检测到的计算机病以驻留内存方式防止病毒的入侵，凡是检测到的计算机病毒都能清除，不会破坏文件和数据毒都能清除，不会破坏文件和数据第四代反计算机病毒技术：第四代反计算机病毒技术： 基于计算机病毒家族体系的命名规则、基于多位基于计算机病毒家族体系的命名规则、基于多位CRC校验和校验和扫描机理、启发式智能代码分析模块、动态数据还原模块、内扫描机理、启发式智能代码分析模块

8、、动态数据还原模块、内存解毒模块和自身免疫模块等先进的解毒技术存解毒模块和自身免疫模块等先进的解毒技术计算机病毒检测技术：计算机病毒检测技术：通过一定的技术手段判定出病毒的技术通过一定的技术手段判定出病毒的技术计算机病毒检测技术种类：计算机病毒检测技术种类：根据病毒在特征分类基础上的检测技术根据病毒在特征分类基础上的检测技术 根据病毒程序中的关键字、特征程序段内容、病毒特征及感根据病毒程序中的关键字、特征程序段内容、病毒特征及感染方式、危机程度的变化染方式、危机程度的变化对文件或数据段的检验和进行检测对文件或数据段的检验和进行检测 不针对具体病毒程序自身检验技术，即对某个文件或数据段不针对具体

9、病毒程序自身检验技术，即对某个文件或数据段进行检验和计算并保存其结果，以后定期或不定期地根据保存进行检验和计算并保存其结果，以后定期或不定期地根据保存的结果对该文件或数据段进行检验，若出现差异，即表示该文的结果对该文件或数据段进行检验，若出现差异，即表示该文件或数据段的完整性已遭到破坏，从而检测到病毒的存在件或数据段的完整性已遭到破坏，从而检测到病毒的存在反病毒程序计算各个可执行程序的校验和反病毒程序计算各个可执行程序的校验和某些反病毒程序是常驻内存程序某些反病毒程序是常驻内存程序 反病毒程序常驻内存中，搜索可能进入系统的计算机病毒，反病毒程序常驻内存中，搜索可能进入系统的计算机病毒，其目的是

10、阻止任何病毒感染系统。其目的是阻止任何病毒感染系统。少数工具可以从感染病毒的程序中清除病毒少数工具可以从感染病毒的程序中清除病毒 少数工具反病毒工具虽可将染毒程序修复好，但有些修复效少数工具反病毒工具虽可将染毒程序修复好，但有些修复效果不能保证。某些反病毒工具还可能产生虚假报警。果不能保证。某些反病毒工具还可能产生虚假报警。反病毒技术的主要分类：反病毒技术的主要分类：病毒诊断技术、病毒治疗技术、病毒预防技术病毒诊断技术、病毒治疗技术、病毒预防技术 1. 外观检测法外观检测法2. 系统数据对比法系统数据对比法3. 病毒签名检测法病毒签名检测法4. 特征代码法特征代码法5. 检查常规内存数检查常规

11、内存数6. 校验和法校验和法7. 行为监测法（实时监控法）行为监测法（实时监控法）8. 软件模拟法软件模拟法9. 启发式代码扫描技术启发式代码扫描技术10. 主动内核技术主动内核技术11. 病毒分析法病毒分析法12. 病毒感染法病毒感染法 虽不能准确判断系统感染了何种病毒，但可通过异常现象虽不能准确判断系统感染了何种病毒，但可通过异常现象来判断病毒的存在来判断病毒的存在 外观检测法是计算机病毒防治阶段起重要作用的一个环节外观检测法是计算机病毒防治阶段起重要作用的一个环节1屏幕显示异常屏幕显示异常2声音异常声音异常3文件系统异常文件系统异常4程序异常程序异常5系统异常系统异常6打印机、软驱等外部

12、设备异常打印机、软驱等外部设备异常计算机系统的重要数据：计算机系统的重要数据：主引导扇区、主引导扇区、DOS分区引导扇区、软盘的引分区引导扇区、软盘的引导扇区、导扇区、FAT表、中断向量表和设备驱动程序头等表、中断向量表和设备驱动程序头等长度比较法及内容比较法长度比较法及内容比较法依据：计算机病毒感染系统或文件，必然引起系统或文件的依据：计算机病毒感染系统或文件，必然引起系统或文件的变化（长度的变化和内容的变化）变化（长度的变化和内容的变化）注意：只靠检测长度和内容是不充分的，只能将其作为检测注意：只靠检测长度和内容是不充分的，只能将其作为检测病毒的手段之一病毒的手段之一内存比较法内存比较法

13、依据：通常病毒要驻留内存，造成可用内存空间的减少依据：通常病毒要驻留内存，造成可用内存空间的减少 内存比较法是针对内存驻留计算机病毒进行检测的方法内存比较法是针对内存驻留计算机病毒进行检测的方法中断比较法中断比较法 依据：计算机病毒为实现其隐藏和传染破坏的目的，常采依据：计算机病毒为实现其隐藏和传染破坏的目的，常采用用“截留盗用截留盗用”技术，更改、接管中断向量，使系统中断向技术，更改、接管中断向量，使系统中断向量转向执行计算机病毒控制部分。量转向执行计算机病毒控制部分。 方法：将正常系统的中断向量与染毒系统的中断向量进行方法：将正常系统的中断向量与染毒系统的中断向量进行比较，可发现是否有计算

14、机病毒修改或盗用中断向量比较，可发现是否有计算机病毒修改或盗用中断向量计算机病毒签名：计算机病毒签名：即计算机病毒感染标记即计算机病毒感染标记不同计算机病毒的签名内容不同，位置也不同。不同计算机病毒的签名内容不同，位置也不同。并非所有计算机病毒都具备计算机病毒签名。并非所有计算机病毒都具备计算机病毒签名。计算机病毒签名检测法的特点：计算机病毒签名检测法的特点：必须预先知道计算机病毒签名的内容和位置必须预先知道计算机病毒签名的内容和位置 每一种计算机病毒签名的获得都要耗费大量劳力，因此用每一种计算机病毒签名的获得都要耗费大量劳力，因此用计算机病毒签名的方法检测计算机病毒，常常是低效、不适计算机病

15、毒签名的方法检测计算机病毒，常常是低效、不适用的方法用的方法可能造成虚假报警可能造成虚假报警原理：原理：计算机病毒程序通常具有明显的特征代码计算机病毒程序通常具有明显的特征代码u特征代码可能是病毒的感染标记，由字母和数字组成串特征代码可能是病毒的感染标记，由字母和数字组成串u可能是一小段程序由若干指令组成，特征代码不一定连续可能是一小段程序由若干指令组成，特征代码不一定连续方法：方法：通过搜索、比较计算机系统中是否含有与特征代码数通过搜索、比较计算机系统中是否含有与特征代码数据库中特征代码匹配的特征代码，从而确定系统是否染毒，据库中特征代码匹配的特征代码，从而确定系统是否染毒，感染了何种病毒。

16、感染了何种病毒。特点：特点：u依赖于对病毒精确特征的了解，必须事先对病毒样本做大量剖析依赖于对病毒精确特征的了解，必须事先对病毒样本做大量剖析u分析计算机病毒需要很多时间，有时间滞后分析计算机病毒需要很多时间，有时间滞后u若病毒特殊代码段的位置或代码改动，则原检测方法失败若病毒特殊代码段的位置或代码改动，则原检测方法失败选择代码串规则选择代码串规则u不能随意选择病毒体内的一段作为特征代码串不能随意选择病毒体内的一段作为特征代码串u代码串不应含有病毒的数据区代码串不应含有病毒的数据区u保持唯一性的前提下，代码串应尽量短保持唯一性的前提下，代码串应尽量短u特征代码串应最具代表性，足以区别于其他病毒

17、程序特征代码串应最具代表性，足以区别于其他病毒程序u特征代码串应能区别于其他正常的非病毒程序特征代码串应能区别于其他正常的非病毒程序实现步骤实现步骤u采集已知计算机病毒样本采集已知计算机病毒样本u从计算机病毒样本中，抽取计算机病毒特征代码从计算机病毒样本中，抽取计算机病毒特征代码u将特征代码纳入计算机病毒数据库将特征代码纳入计算机病毒数据库u检测文件检测文件优缺点优缺点特征代码法的优点：特征代码法的优点：u检测准确，快速检测准确，快速u可识别计算机病毒的具体类型可识别计算机病毒的具体类型u误报率低误报率低u依据检测结果，针对病毒类型可做杀毒处理依据检测结果，针对病毒类型可做杀毒处理特征代码法的

18、缺点：特征代码法的缺点：u对于新计算机病毒，发现特征代码的时间滞后对于新计算机病毒，发现特征代码的时间滞后u搜集已知计算机病毒的特征代码的研发开销大搜集已知计算机病毒的特征代码的研发开销大u在网络上效率低，影响整个网络性能在网络上效率低，影响整个网络性能高品质计算机病毒检测工具应具有的属性高品质计算机病毒检测工具应具有的属性u高速性：高速性：随着计算机病毒数量的不断增加，检测计算机随着计算机病毒数量的不断增加，检测计算机病毒的时间开销就不断增加病毒的时间开销就不断增加u误报率低：误报率低：u具有检测多态性计算机病毒的能力：具有检测多态性计算机病毒的能力：多态形计算机病毒多态形计算机病毒能够变换

19、自己的外观，如插入一些无害的指令随机分散到能够变换自己的外观，如插入一些无害的指令随机分散到代码中，也可通过使用不同的密钥进行加密来产生变种代码中，也可通过使用不同的密钥进行加密来产生变种u能对付隐蔽性计算机病毒：能对付隐蔽性计算机病毒：隐蔽性计算机病毒若先于病隐蔽性计算机病毒若先于病毒检测工具进入内存，事先剥去病毒代码，从而躲避检测毒检测工具进入内存，事先剥去病毒代码，从而躲避检测工具的检测工具的检测原理：原理：病毒在发作、执行时必将占用一定的系统资源。大多数病毒在发作、执行时必将占用一定的系统资源。大多数病毒都常驻内存，并修改系统数据区记录的系统内存数或内存病毒都常驻内存，并修改系统数据区

20、记录的系统内存数或内存控制块中的数据控制块中的数据方法：方法：利用一些工具软件，通过检查内存的大小和内存使用情利用一些工具软件，通过检查内存的大小和内存使用情况来判断系统是否染毒：况来判断系统是否染毒：查阅有无可疑的驻留文件查阅有无可疑的驻留文件查看驻留文件有无可疑的中断向量值查看驻留文件有无可疑的中断向量值通过内存信息查看驻留文件的大小是否合适通过内存信息查看驻留文件的大小是否合适检查常规内存数的方法：检查常规内存数的方法：查看系统内存总数，与正常情况进行比较查看系统内存总数，与正常情况进行比较检查系统内存高端的内容，判断其中的代码是否可疑检查系统内存高端的内容，判断其中的代码是否可疑原理：

21、原理：针对正常程序内容计算其校验和，将其写入该程序或其针对正常程序内容计算其校验和，将其写入该程序或其他程序中保存。在程序应用中，定期或每次使用前，计算程序他程序中保存。在程序应用中，定期或每次使用前，计算程序当前内容校验和与原校验和是否一致，从而发现病毒的存在当前内容校验和与原校验和是否一致，从而发现病毒的存在特点：特点：u可发现已知病毒，也可发现未知病毒可发现已知病毒，也可发现未知病毒u校验和法不能识别病毒的种类，不能报出病毒具体名称校验和法不能识别病毒的种类，不能报出病毒具体名称u校验和法误报率很高校验和法误报率很高方法：方法：u在计算机病毒工具中纳入校验和在计算机病毒工具中纳入校验和u

22、在应用程序中放入校验和和自我检查功能在应用程序中放入校验和和自我检查功能u将校验和检查程序常驻内存将校验和检查程序常驻内存优缺点：优缺点：校验和法的优点：校验和法的优点：u方法简单方法简单u能发现未知计算机病毒能发现未知计算机病毒u能发现被检查程序的细微变化能发现被检查程序的细微变化校验和法的缺点：校验和法的缺点：u必须预先记录程序正常状态的校验和必须预先记录程序正常状态的校验和u误报率高误报率高u不能识别计算机病毒的种类不能识别计算机病毒的种类u不能对付隐蔽性计算机病毒不能对付隐蔽性计算机病毒原理：原理：病毒有些行为是病毒的共同行为，且比较特殊，甚至罕病毒有些行为是病毒的共同行为，且比较特殊

23、，甚至罕见。程序运行时，监视其行为，若发现病毒行为，立即报警见。程序运行时，监视其行为，若发现病毒行为，立即报警检测病毒的行为特征检测病毒的行为特征u占用占用INT 13Hu修改修改DOS系统数据区的内存总量系统数据区的内存总量u对对.COM和和.EXE文件做写入操作文件做写入操作u计算机病毒与宿主程序的邦定和切换计算机病毒与宿主程序的邦定和切换u格式化磁盘或某些磁道等破坏行为格式化磁盘或某些磁道等破坏行为u扫描、试探特定网络端口扫描、试探特定网络端口u发送网络广播发送网络广播u修改文件、文件夹属性，添加共享等修改文件、文件夹属性，添加共享等病毒防火墙病毒防火墙计算机病毒防火墙：计算机病毒防火

24、墙：基于实时反计算机病毒技术之上提出的，基于实时反计算机病毒技术之上提出的，其宗旨是对系统实施实时监控，对流入、流出系统的数据中可其宗旨是对系统实施实时监控，对流入、流出系统的数据中可能含有的计算机病毒代码进行过滤。能含有的计算机病毒代码进行过滤。u对计算机病毒的过滤有良好的实时性对计算机病毒的过滤有良好的实时性u病毒防火墙的病毒防火墙的“双向过滤双向过滤”功能保证本地系统不会外传播病毒功能保证本地系统不会外传播病毒u病毒防火墙操作更简单、更透明病毒防火墙操作更简单、更透明优缺点优缺点u优点：可可发现已知病毒，也可较准确地预报未知多数病毒优点：可可发现已知病毒，也可较准确地预报未知多数病毒u缺

25、点：可能误报警；不能识别病毒的名称；实现有一定难度缺点：可能误报警；不能识别病毒的名称；实现有一定难度软件模拟法：软件模拟法：专门用来检测变形病毒，即多态性病毒专门用来检测变形病毒，即多态性病毒变形病毒特征：变形病毒特征：病毒传播到目标后，病毒自身代码和结构在空病毒传播到目标后，病毒自身代码和结构在空间上、时间上具有不同的变化。间上、时间上具有不同的变化。变形病毒类型：变形病毒类型：第一类：一维变形计算机病毒第一类：一维变形计算机病毒 当病毒传播到一个目标后，其自身代码与前一目标中的病毒代码几当病毒传播到一个目标后，其自身代码与前一目标中的病毒代码几乎没有乎没有3个连续字节是相同的，但其相对空

26、间的排列位置是不变的个连续字节是相同的，但其相对空间的排列位置是不变的 个别病毒遇到检测时能进行自我加密或解密，或自我消失个别病毒遇到检测时能进行自我加密或解密，或自我消失 有的病毒能在列目录时能消失增加的字节数，或在加载跟踪时能破有的病毒能在列目录时能消失增加的字节数，或在加载跟踪时能破坏跟踪或逃之夭夭坏跟踪或逃之夭夭变形病毒类型：变形病毒类型：第二类：二维变形计算机病毒第二类：二维变形计算机病毒 除了具备一维变形病毒的特征外，而且变化的代码相互间的排列除了具备一维变形病毒的特征外，而且变化的代码相互间的排列距离（相对空间位置）也是变化的距离（相对空间位置）也是变化的第三类：三维变形计算机病

27、毒第三类：三维变形计算机病毒 除了具备二维变形病毒的特征外，而且能分裂后分别潜藏几处，当除了具备二维变形病毒的特征外，而且能分裂后分别潜藏几处，当病毒引擎激活后能自我恢复成一个完整的计算机病毒病毒引擎激活后能自我恢复成一个完整的计算机病毒 计算机病毒在附着体上的空间位置是变化的，即潜藏位置不定计算机病毒在附着体上的空间位置是变化的，即潜藏位置不定第四类：四维变形计算机病毒第四类：四维变形计算机病毒 具备三维变形病毒的特征，而且这些特性随时间动态变化具备三维变形病毒的特征，而且这些特性随时间动态变化 四维变形病毒大部分具备网络自动传播功能，能在网络的不同角落四维变形病毒大部分具备网络自动传播功能

28、，能在网络的不同角落到处隐藏到处隐藏检测：检测：一般而言，多态计算机病毒的变换方式：一般而言，多态计算机病毒的变换方式：采用等价代码对原有代码进行替换；采用等价代码对原有代码进行替换；改变与执行次序无关的指令的次序；改变与执行次序无关的指令的次序；增加许多垃圾指令；增加许多垃圾指令；对原有病毒代码进行压缩或加密。对原有病毒代码进行压缩或加密。软件模拟技术：软件模拟技术：又称为解密引擎、虚拟机技术、虚拟执行技术或软又称为解密引擎、虚拟机技术、虚拟执行技术或软件仿真技术件仿真技术 软件模拟技术是一种软件分析器，用软件方法模拟一个程序运行软件模拟技术是一种软件分析器，用软件方法模拟一个程序运行环境，

29、将可疑程序载入其中运行，在执行过程中，待计算机病毒对环境，将可疑程序载入其中运行，在执行过程中，待计算机病毒对自身进行解码后，再运用特征代码法来识别病毒的种类，并进行清自身进行解码后，再运用特征代码法来识别病毒的种类，并进行清除，从而实现对各类多态病毒的查杀。除，从而实现对各类多态病毒的查杀。1. 计算机病毒扫描技术：计算机病毒扫描技术：当前最主要的查杀方式当前最主要的查杀方式 主要通过检查文件、扇区和系统内存来搜索计算机病毒，用主要通过检查文件、扇区和系统内存来搜索计算机病毒，用“标记标记”查找已知病毒。病毒标记就是病毒常用代码的特征查找已知病毒。病毒标记就是病毒常用代码的特征按杀毒方式分类

30、：按杀毒方式分类：u通用扫描：通用扫描：不依赖操作系统，可查找各种病毒不依赖操作系统，可查找各种病毒u专用扫描：专用扫描：专查某种计算机病毒专查某种计算机病毒按用户操作方式分类：按用户操作方式分类：u实时扫描：实时扫描：若出现计算机病毒，能够立即发现若出现计算机病毒，能够立即发现u请求扫描：请求扫描：只在运行时才能检测计算机病毒只在运行时才能检测计算机病毒检测病毒的主要依据：检测病毒的主要依据：病毒和正常程序之间存在很多区别病毒和正常程序之间存在很多区别2启发式代码扫描：又称启发式职能代码分析启发式代码扫描：又称启发式职能代码分析 将人工智能的知识和原理运用到计算机病毒检测中将人工智能的知识和

31、原理运用到计算机病毒检测中 运用启发式扫描技术的计算机病毒检测软件，实际上就是以运用启发式扫描技术的计算机病毒检测软件，实际上就是以人工智能的方式实现的动态反编译代码分析、比较器，通过对人工智能的方式实现的动态反编译代码分析、比较器，通过对程序有关指令序列进行反编译，逐步分析、比较，根据其动机程序有关指令序列进行反编译，逐步分析、比较，根据其动机判断是否为计算机病毒。判断是否为计算机病毒。3启发式扫描通常应设立的标志：启发式扫描通常应设立的标志： 为了对程序可能的操作进行加权统计和描述，计算机病毒检为了对程序可能的操作进行加权统计和描述，计算机病毒检测程序会对被检测程序作疑似计算机病毒的标记。

32、测程序会对被检测程序作疑似计算机病毒的标记。 如：如：TBScan定义的常用标志定义的常用标志4误报误报/漏报漏报误报：将一个本无计算机病毒的程序指证为染毒程序误报：将一个本无计算机病毒的程序指证为染毒程序漏报：将一个计算机病毒程序作为正常程序处理漏报：将一个计算机病毒程序作为正常程序处理产生原因：产生原因：被检测程序中含有病毒所使用或含有的可疑功能被检测程序中含有病毒所使用或含有的可疑功能减少或避免误报减少或避免误报/漏报：漏报：准确把握病毒的行为和可疑功能调用集合的精确定义；准确把握病毒的行为和可疑功能调用集合的精确定义；对于常规程序代码的识别能力；对于常规程序代码的识别能力；对于特定程序

33、代码的识别能力；对于特定程序代码的识别能力；类似类似“无罪假定无罪假定”的功能。的功能。5其他扫描技术其他扫描技术CRC扫描：扫描：磁盘中的实际文件或系统扇区的磁盘中的实际文件或系统扇区的CRC值（检验和）值（检验和），这些，这些CRC值被杀毒软件保存在自己的数据库中，在运行杀毒值被杀毒软件保存在自己的数据库中，在运行杀毒软件时，用备份的软件时，用备份的CRC值与当前计算的值比较，可知文件是否值与当前计算的值比较，可知文件是否已被修改或被计算机病毒感染。已被修改或被计算机病毒感染。 Active K（主动内核）技术的要点在于能够在计算机病毒突（主动内核）技术的要点在于能够在计算机病毒突破计算机系统软、硬件的瞬间发生作用。一方面不会伤及计算破计算机系统软、硬件的瞬间发生作用。一方面不会伤及计算机系统本身；另一方面对企图入侵系统的计算机病毒具有彻底机系统本身；另一方面对企图入侵系统的计算机病毒具有彻底拦截并杀除的作用。拦截并杀除的作用。 主动内核技术：从操作系统内核的深度，给操作系统和网络主动内核技术：从操作系统内核的深度，给操作系统和网络系统打一系统打一“主动主动”的补丁，从安全角度对系统进行管理和检查的补丁，从安全角度对系统进行管理和检查，对系统的漏洞进行修补，任何文件在进入系统之前，作为主，对系