杀毒软件的三种反病毒技术
数码时尚
计算机感染病毒了,杀毒吧!时下杀毒软件一大堆,看中哪个就用哪个。不过,你知道它们都是凭什么“杀毒”吗?这就要追溯到反病毒技术的发展。从20世纪80年代开始出现具有危害性的计算机病毒以来,反病毒技术就随着病毒技术发展起来。就目前市场上的杀毒软件而言,它们所采用的反病毒技术其实不外乎以下三种。
1.特征代码法
这是早期反病毒技术所采用的主要方法,至今仍普遍应用于大多数反病毒软件的“静态扫描”过程中。它的工作原理为:先分析出若干已知病毒的特征病毒码(能体现某种病毒特色的一段程序编码),再将它们存入一个文件中,名为“病毒代码库”;扫描病毒时就把计算机系统的文件代码与该病毒代码库中的病毒代码进行比较、检验,如果有相同或相似的部分就下结论:已感染病毒!最后,将这一部分代码清除,即可完成查毒、杀毒过程。
特征代码法简单有效,但缺点也是显而易见的。如果病毒代码库中没有某种病毒的备案资料,就会眼睁睁地将病毒放过。所以,病毒代码库要及时地“升级”,不断地加入新病毒的代码,才能对付新出现的病毒。不过,病毒代码库会随着病毒数量的增加而扩充,造成体积庞大,检查病毒的效率就会大打折扣。
2.验和法
此方法是根据病毒的感染行为来工作的。因为90%以上的病毒会将目标文件的大小改变(一般是将自身代码加入其中,使之多出一些字节),或者是将目标文件的建立日期改变(因为要重写文件,所以一般情况下会将日期变成感染时的系统日期),所以验和法首先将计算机系统的某些易感染病毒的文件(一般为可执行文件.exe及命令文件.com)作一次汇总统计,并记录在案;过一段时间后再重复一次汇总统计,并与上次的记录进行查对,若一一对应没有变化则认为是正常的,反之就认为是已感染病毒。
验和法最大的优点是能查出新的未知病毒(除非这种新病毒不改变文件的大小或日期等),但缺点也很明显,如误报率较高、因没有病毒资料只能查毒而无法杀毒等等。
3.行为监视法
由于病毒感染文件的目的最终会表现出来,即对系统造成破坏,而行为监视法就是根据这一原理工作的。它通过引入一定的人工智能(AI)技术来分析计算机系统内文件的逻辑结构,并将它分为几个模块,再通过引入虚拟机中并执行的手段来监测,从而查出使用特定触发条件而表现的病毒模块,最后清除掉。
行为监视法的优点是能查杀未知病毒或已知病毒的各种变形,缺点是消耗内存较大,依赖于人工智能技术的发展。