如果某些东西是病毒或木马,反病毒程序如何检测?
我来自土耳其,请尽可能保持英语简单,谢谢。
答案 0 :(得分:15)
查找病毒有三种基本方法。您可以扫描文件以查看它们是否包含来自已知病毒的病毒代码。您可以扫描文件以查看代码是否会执行类似病毒的操作。您可以等到程序执行不应执行的操作,并将程序标记为已感染。
您可以在首次创建文件时对其进行扫描,之后您也可以按计划进行扫描。您必须安装内核驱动程序才能观察程序执行的操作并阻止它们执行恶意操作。
许多反间谍软件程序的工作方式完全相同。例如,Spybot S& D可以监视可能是间谍软件安装的注册表更改。
答案 1 :(得分:14)
有不同类型的病毒检测。他们使用的一些不同技术是
1)查看已知病毒和木马数据库中匹配或部分匹配的文件二进制组合(最常见的技术)
2)观察程序的作用,看看它是否与病毒/木马有任何相似之处
3)分析程序代码(有时反汇编程序代码)并查找恶意内容。这通常非常困难,通常只有先进的检测程序才能这样做。
答案 2 :(得分:4)
基于签名的检测 - 通过将病毒签名(已知病毒的二进制模式)与正在扫描的文件进行比较来检测。
基于启发式的检测 - 检测可能存在病毒的行为和代码模式。可疑代码在运行时虚拟环境中运行,以进一步测试病毒行为。这可以找到不在病毒定义中的新病毒。
基于行为的检测 - 根据病毒表现的行为检测病毒
沙箱检测 - 与基于行为的方法类似,此方法在运行时环境中执行潜在病毒并监控行为
这里有更多complete reading
答案 3 :(得分:3)
他们使用签名或病毒的定义,并将其与扫描的文件进行比较。
请参阅SciAm的this article以获得更好的解释。
答案 4 :(得分:0)
Antiviruses通过观察注册表,查看程序代码,查看常见病毒列表,甚至在互联网上查看其他人/软件是否已将其归类为病毒来查找病毒病毒。