病毒检测软件的作用原理

计算机病毒检测软件,通常从两个方面起作用,有效检测带毒文件。

1.严密监控内存RAM区

对RAM的监控主要包括三个方面:

(1)跟踪内存容量的异常变化

内存容量由内存0000:004BH处的一个字单元来表示。正常情况下,该处的一个字表示以K为单位的内存容量。例如,如果内存容量为512K,则该字的内存为0200H,如果内存容量为640K,则该字的内容为0280H。由于系统型病毒在侵入系统后,一般都要对内存容量进行修改,以便保护其放在内存高端的病毒程序不被其他程序或COMMAND.COM文件的暂驻部分所覆盖。

因此,如果软件检测到内存容量发生了某些异常变化,通常是容量被无端占用,大幅度缩容,则表明有病毒存在。

(2)对中断向量进行监控、检测

此原理与病毒报警软件有关部分相同。

(3)对RAM区进行扫描

利用检测软件中所储存的大量病毒特征值,对RAM区中的所有字符串进行扫描。如果发现RAM中的某些字符串与已知病毒的特征值字符串相同,则表明内存中已驻留了这种病毒,应立即采取措施。

2.监控磁盘引导扇区

系统型病毒主要维护引导扇区,对引导扇区的严格监控,可以有效检测出系统型病毒。

(1)代码和有变,则可能有病毒感染。

由DOS的各种版本格式化后磁盘引导扇区的内容都是固定的,所以其代码和也是固定的。检测软件在求出代码和后,如果发现其结果与DOS版本的正常代码不一致,就可以初步确定被检测的磁盘引导扇区被病毒所感染。

此方法有其局限性,通常它需结合其他方法才能做出最终判断。

(2)扫描引导扇区的所有字符串

若发现有病毒特征值字符串出现,则可以判定有病毒存在于引导扇区。

(3)全方位扫描磁盘文件

检测软件对系统中的所有文件进行扫描,查找病毒特征值字符串,以确定是否有病毒被检测出。

显然,它是针对文件型病毒的一种作用方式。

时间: 2024-10-31 04:28:55

病毒检测软件的作用原理的相关文章

如何对硬盘进行病毒检测的四种方法

要进行传染,必然会留下痕迹.生物医学病毒如此,电脑病毒也是一样.检测电脑病毒,就要到病毒寄生场所去检查,发现异常情况,并进而验明"正身",确认电脑病毒的存在.电脑病毒静态时存储于硬盘中,被激活时驻留在内存中,因此对电脑病毒的检测可以分为对硬盘的检测和对内存的检测. 一般对硬盘进行病毒检测时,要求内存中不带病毒,因为某些电脑病毒会向检测者报告假情况.例如"4096"病毒在内存中时,查看被它感染的文件,不会发现该文件的长度已发生变化,而当在内存中没有病毒时,才会发现文件

卡巴斯基(AVP)内存驻留型病毒检测方法_漏洞研究

author:killer  <killer②uid0.net>     卡巴斯基反病毒软件(Kaspersky Antivirus),以前叫AntiViral Toolkit Pro(AVP),出于习惯和简单,这里一律称为AVP或KAV.     学习AVP的检测办法的意义一方面在于AVP的检测方法是经过理论验证和实践考验的科学合理的方法,另外DOS年代过来的朋友对于反病毒有过这样的经验:"机子感染病毒了?好,请用干净无毒的系统盘启动,然后全盘查杀.",我记得CIH横行那

汇编源代码之CIH文件型病毒检测消除程序

;本程序在Tasm下编译通过;CIH文件型病毒检测消除程序GOFIRST MACROXOR CX,CXXOR DX,DXMOV AX,4200HINT 21H ;文件指针指到文件首ENDMALTERLINE MACROMOV DL,0DHMOV AH,02HINT 21H ;回车MOV DL,0AHMOV AH,02HINT 21H ;换行ENDMCOPYHANDLE MACROPUSH BXMOV AH,45HINT 21H ;复制文件把柄MOV BX,AXMOV AH,3EHINT 21H

小心受骗,CPU检测软件也出错

AMD CPU因为其优良的超频性能.合理的价格和良好的可修改性成为很多DIYer的选择.正因如此,给了JS们很大的造假余地.面对目前白板AthlonXP 横行的局面,众多DIYer都在总结经验来判断自己的"龙"是否属于被ReMark的"龙".其中一位朋友告诉笔者,目前有一个叫做Central Brain Identifier(以下简称CBI)的软件,可以检测出AMD CPU的编号,只要和CPU表面印的编号相比较,就能判断出CPU是否存在问题.如果通过检测软件得到AM

教你检测软件在Win8.1兼容性

近日不少Windows 8用户已经升级到Windows 8.1操作系统,据很多用户反映Windows 8.1系统对于部分软件出现不兼容情况.更有国内不少lol游戏玩家无法进入游戏,这当然不能全怪微软的操作系统,毕竟软件厂商的优化工作没有这么快跟上微软新系统的脚步. 想升级微软Windows 8.1操作系统,又担心会出现软件不兼容情况?小编介绍一个简单检测软件在Windows 8.1系统中的兼容情况,大家只需要登陆微软的官方兼容中心进行软件检测即可了解对应软件是否已经对Windows 8.1做出优

HD Tune硬盘检测软件如何使用

  在电脑硬件中,相比显卡.CPU.主板,硬盘是最容易出故障的硬件之一.然后硬盘中存储着我们重要的数据,因此通常我们需要使用一些专业的硬盘工具检测下硬盘健康状况如何,以便及时备份数据.对于硬盘检测工具,目前使用最多的还是HD Tune硬盘检测工具.接下来本文与电脑小白朋友分享下HD Tune怎么用,教你如何使用HD Tune检测硬盘健康程度与硬盘问题. HD Tune怎么用 教你如何用HD Tune检测硬盘 HD Tune硬盘检测工具简介: HD Tune是一款集成了专业的硬盘检测软件.它可以测

更新软件-做个小工具,检测软件版本

问题描述 做个小工具,检测软件版本 我想做个小工具检测官网软件最新版本的版本号.比如tomcat最新的版本号.怎么样获取到官网最新的软件的版本号啊?

编程如何检测软件或应用有更新

问题描述 编程如何检测软件或应用有更新 这里有四个网络游戏,QQ飞车,QQ炫舞,QQ音速,QQ三国,怎么编程检测游戏有更新?用VBS,DOS命令实现最好了 解决方案 你需要定期爬这几个游戏的网站获取他们对应的最新版本. 然后获取本地的版本,比较获取是否更新.

我国研发出勒索病毒防御软件:能阻止其破坏文件

近日,"永恒之蓝"蠕虫勒索病毒肆虐全球,百余个国家上千家企业及公共组织遭到攻击,经济损失不可估量.我国也未能幸免,多个行业网络受到影响.面对来势汹汹的勒索病毒,我国自主研发出防御软件,能有效阻止已知和未知的勒索病毒破坏文件. 尽管目前勒索病毒的传播已经呈现下降趋势,但黑客组织近期声称或将从今年6月开始公布更多漏洞及漏洞利用工具,包括针对浏览器.路由器.手机操作系统和"视窗"操作系统等.面对可能发生的新一轮勒索病毒攻击,国内网络安全企业纷纷出招,利用多年来的反病毒经验