作者
杨秀璋,责编
夕颜
头图
视觉中国
自全球第一个计算机病毒出现后,人们通过与病毒长期的斗争,积累了大量反病毒经验,掌握了大量实用的反病毒技术,并研制出一系列优秀的反病毒产品,主要用于病毒的防护、检测及其清除等。病毒的检测技术主要包括特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术、主动防御技术,以及新兴的云查杀技术等。个人用户也可以通过经验、安全检测工具和反病毒软件来检查计算机是否感染病毒,或是采用沙箱及相关静、动态分析手段来对病毒进行深入分析。
恶意代码检测的对象和策略
恶意代码的检测是将检测对象与恶意代码特征(检测标准)进行对比分析,定位病毒程序或代码,或检测恶意行为。
首先,我们介绍恶意代码检测对象。检测对象主要包括:
引导扇区文件系统中可能带毒的文件:安全公司的产品主要针对文件进行病毒检测内存空间主板BIOS:系统启动时涉及的代码网络流量:网络交互也是检测对象,如VPS、VDS系统行为…
接着我们主要介绍三类检测对象。
(1)检测对象——引导扇区
引导扇区之所以成为检测对象,是因为部分引导扇区是具有控制权的,它在系统启动、执行过程中会执行相应代码,并且这些代码可能会被恶意软件所篡改。主要包括:
硬盘主引导扇区硬盘操作系统引导扇区可移动磁盘引导扇区
检测目标:
引导区病毒、MBR木马等
(2)检测对象——可能带毒的文件
有些文件是正常被感染所致,有些文件是独立存在系统中的。
可执行程.exe;.dll;.