阅读: 180
答案 1:
以下摘自于:iask.sina.cn/b/7177792
杀毒软件大致上是根据以下几个方式辨别-:
1. 特征代码法
特征代码法被早期应用于SCAN、CP-等著名-检测工具中。国外专家认为特征代码法是检测已知-的最简单、开销最小的方法。
2. 校验和法
将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存。在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法叫校验和法,它既可发现已知-又可发现未知-。在SCAN和CP-工具的后期版本中除了-特征代码法之外,还纳入校验和法,以提高其检测能力。
这种方法既能发现已知-,也能发现未知-,但是,它不能识别-类,不能报出-名称。由于-感染并非文件内容改变的唯一的非他性原因,文件内容的改变有可能是正常程序引起的,所以校验和法常常误报警。而且此种方法也会影响文件的运行速度。
-感染的确会引起文件内容变化,但是校验和法对文件内容的变化太-,又不能区分正常程序引起的变动,而频繁报警。用监视文件的校验和来检测-,不是最好的方法。
这种方法遇到下述情况:已有软件版更新、变更口令、修改运行参数、校验和法都会误报警。
校验和法对隐蔽-毒无效。隐蔽-毒进驻内存后,会自动剥去染毒程序中的-代码,使校验和法受骗,对一个有毒文件算出正常校验和。
3.行为监测法
利用-的特有行为特征性来监测-的方法,称为行为监测法。通过对-多年的观察、研究,有一些行为是-的共同行为,而且比较特殊。在正常程序中,这些行为比较罕见。当程序运行时,监视其行为,如果发现了-行为,立即报警。
4.软件模拟法
多态-毒每次感染都变化其-密码,对付这种-,特征代码法失效。因为多态-毒代码实施密码化,而且每次所用密钥不同,把染毒的-代码相互比较,也无法找出相同的可能做为特征的稳定代码。虽然行为检测法可以检测多态-毒,但是在检测出-后,因为不知-的种类,难于做消毒处理。
分享常识给亲友.
下一篇:《名侦探柯南》遇到制作瓶颈了吗? 下一篇 【方向键 ( → )下一篇】
上一篇:如果想要了解心理学,有什么入门级的好书吗? 上一篇 【方向键 ( ← )上一篇】
快搜