科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道病毒检测软件的作用原理

病毒检测软件的作用原理

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

如果软件检测到内存容量发生了某些异常变化,通常是容量被无端占用,大幅度缩容,则表明有病毒存在。由DOS的各种版本格式化后磁盘引导扇区的内容都是固定的,所以其代码和也是固定的。

作者:论坛整理 来源:zdnet网络安全 2008年3月11日

关键字: 病毒 防病毒 病毒防范 反病毒 木马 杀毒软件

  • 评论
  • 分享微博
  • 分享邮件

计算机病毒检测软件,通常从两个方面起作用,有效检测带毒文件。

1.严密监控内存RAM区

对RAM的监控主要包括三个方面:

(1)跟踪内存容量的异常变化

内存容量由内存0000:004BH处的一个字单元来表示。正常情况下,该处的一个字表示以K为单位的内存容量。例如,如果内存容量为512K,则该字的内存为0200H,如果内存容量为640K,则该字的内容为0280H。由于系统型病毒在侵入系统后,一般都要对内存容量进行修改,以便保护其放在内存高端的病毒程序不被其他程序或COMMAND.COM文件的暂驻部分所覆盖。

因此,如果软件检测到内存容量发生了某些异常变化,通常是容量被无端占用,大幅度缩容,则表明有病毒存在。

(2)对中断向量进行监控、检测

此原理与病毒报警软件有关部分相同。

(3)对RAM区进行扫描

利用检测软件中所储存的大量病毒特征值,对RAM区中的所有字符串进行扫描。如果发现RAM中的某些字符串与已知病毒的特征值字符串相同,则表明内存中已驻留了这种病毒,应立即采取措施。

2.监控磁盘引导扇区

系统型病毒主要维护引导扇区,对引导扇区的严格监控,可以有效检测出系统型病毒。

(1)代码和有变,则可能有病毒感染。

由DOS的各种版本格式化后磁盘引导扇区的内容都是固定的,所以其代码和也是固定的。检测软件在求出代码和后,如果发现其结果与DOS版本的正常代码不一致,就可以初步确定被检测的磁盘引导扇区被病毒所感染。

此方法有其局限性,通常它需结合其他方法才能做出最终判断。

(2)扫描引导扇区的所有字符串

若发现有病毒特征值字符串出现,则可以判定有病毒存在于引导扇区。

(3)全方位扫描磁盘文件

检测软件对系统中的所有文件进行扫描,查找病毒特征值字符串,以确定是否有病毒被检测出。

显然,它是针对文件型病毒的一种作用方式。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章