软件安全病毒检测技术

以根据这些异常现象来判断病毒的存在,（1）（2）（3）（4）（5）（6）（（1）一种样本，如果一种病毒既感染.COM文件，又感染.EXE文件以及引导区，就要同时采集.COM型、.EXE型和引导区型3种病毒样本；特殊，不大可能与普通正常程序代码吻合；抽取的代码要有适当长度间的开销；在既感染.COM文件又感染.EXE文件的病毒样本中，要抽（4）含有病毒数据库中的病毒特征代码。如果发现病毒特征代码，由于特①它依赖于对己知病毒的精确了解，需要花费很多的时间来确定各种病毒③随着病毒种类的增多，检索时间变长，如果检索5000种病毒，必须对5000检查TEST.COM文件是否有FRIDAYC>DEBUGAX=0000BX=0000CX=0000DX=0000SP=FFFEBP=0000SI=0000检查TEST.COM文件是否有FRIDAYC>DEBUGAX=0000BX=0000CX=0000DX=0000SP=FFFEBP=0000SI=0000DI=0000DS=0DB6EX=0DB6SS=0DB6CS=0DB6IP=0100NVUPEIPLNZNAPONC0DB6:0100E99200JMP-S100FFFF“sUMsDos”-D01000DB6：0100-D0700071F0DB6：07004D0DB6：07100073557300010B00104C5346007355730001病毒驻留到内存后，为防止DOS病毒驻留到内存后，为防止DOS检查硬盘的主引导扇区、DOS检查硬盘的主引导扇区、DOS.COM、.EXE文件做写入动作，病毒要感染，必须写.COM④病毒程序与宿主程序的切换，染毒程序运行时，先运行病毒，实时监控法不能在DOS实时监控法不能在DOS为了检测多态病毒，反病毒专家研制了一种新的检测方法为了检测多态病毒，反病毒专家研制了一种新的检测方法软件模拟技术又称为软件模拟技术又称为“解密引擎”、“虚拟机技术”、“12.3.4.毒软件的具体程序中体现。因此，在这里，启发式指“自我发现的主动内核（主动内核（ActiveK）技术是将已经开发的各种网络防病毒技给操作系统和网络系统本身打了一个“主动”的补丁，这个补丁2.护。如对MS-Office、Outlook、IE、Winzip、NetAnt等应用软件3.3.4.世界上的压缩工具、打包工具、加“壳”工具多不胜数，病毒如果对于引导型病毒，根据它们传染硬盘的主引导扇区或DOS对于引导型病毒，根据它们传染硬盘的主引导扇区或DOS引导扇区、软盘的引导扇区，修改内存、FAT文件完整性对比法（1）文件完整性对比法（1）文件基本属性对比：文件的基本属性包括文件长度、文件（2）校验和对比：将正常文件的内容，计算其校验和，将该校运用校验和法查病毒采用3运用校验和法查病毒采用3文件中或检测工具中，而后进行比较；②在应用程序中，放入校验和法自我检查功能，将文件正常状态的校验和写入文件本身中，每（3）文件头部字节对比：感染实验法感染实验是一种简单实用的检测病毒方法感染实验法感染实验是一种简单实用的检测病