电脑病毒检测技术

　　一台计算机染上病毒之后，会有许多明显或不明显的特征。例如是文件的长度和日期忽然改变，系统执行速度下降或出现一些奇怪的信息或无故死机，或更为严重的硬盘已经被格式化。 　　我们常用的防毒软件是如何去发现它们的呢？他们就是利用所谓的病毒码(Viru attern)。病毒码其实可以想像成是犯人的指纹,当防毒软件公司收集到一只新的病毒时,他们就会从这个病毒程式中截取一小段独一无二而且足以表示这只病毒的二进制程序码(Binary Code),来当做扫毒程序辨认此病毒的依据,而这段独一无二的二进制程序码就是所谓的病毒码。在电脑中所有可以执行的程序(如*.EXE,*.COM)几乎都是由二进制程序码所组成,也就是电脑的最基本语言--机器码。就连宏病毒在内,虽然它只是包含在Word文件中的宏命令集,可是它也是以二进制代码的方式存在於Word文件中。 　　反病毒软件常用下列技术来查找病毒的： 　　1.病毒码扫描法
　　将新发现的病毒加以分析後,根据其特徵,编成病毒码,加入资料库中。以後每当执行扫毒程序时,便能立刻扫描目标文件,并作病毒码比对,即能侦测到是否有病毒。病毒码扫描法又快又有效率(例如趋势科技的PC-cillin及Server rotect,利用深层扫描技术,在即时扫瞄各个或大或小的档案时,平均只需1/20秒的时间),大多数防毒软件均采用这种方式,但其缺点是无法侦测到未知的新病毒及以变种病毒。 　　2.加总比对法(Check-sum)
　　根据每个程序的文件名称、大小、时间、日期及内容,加总为一个检查码,再将检查码附於程序的後面,或是将所有检查码放在同一个资料库中,再利用此Check-sum系统,追踪并记录每个程序的检查码是否遭更改,以判断是否中毒。这种技术可侦测到各式的病毒,但最大的缺点就是误判断高,且无法确认是哪种病毒感染的。 　　3.人工智能陷阱
　　人工智能陷阱是一种监测电脑行为的常驻式扫描技术。它将所有病毒所产生的行为归纳起来,一旦发现内存的程式有任何不当的行为,系统就会有所警觉,并告知使用。这种技术的优点是执行速度快、手续简便,且可以侦测到各式病毒；其缺点就是程序设计难,且不容易考虑周全。不过在这千变万化的病毒世界中,人工智能陷阱扫描技术是一个至少具有保全功能的新观点。 　　4.软件模拟扫描法
　　软件模拟扫描技术专门用来对付千面人病(Polymorphic /MutationVirus)。千面人病毒在每次传染时,都以不同的随机乱数加密於每个中毒的档案中,传统病毒码比对的方式根本就无法找到这种病毒。软件模拟技术则是成功地模拟CPU执行,在其设计的DOS虚拟机器(Virtual Machine)下假执行病毒的变体引擎解码程序,安全并确实地将多型体病毒解开,使其显露原本的面目,再加以扫描。 　　5.VICE(Viru I tructio Code Emulation) -先知扫描法
　　VICE先知扫描技术是继软件模拟後的一大技术上突破。既然软件模拟可以建立一个保护模式下的DOS虚拟机器,模拟CPU动作并假执行程序以解开变体引擎病毒,那麽应用类似的技术也可以用来分析一般程序检查可疑的病毒码。因此VICE将工程师用来判断程新是否有病毒码存在的方法,分析归纳成专家系统知识库,再利用软体工程的模拟技术(Software Emulation)假执行新的病毒,则可分析出新病毒码对付以後的病毒。 　　6.即时I/O扫描(Realtime I/O can)
　　Realtime I/O can的目的在於即时地对数据的输入/输出动作做病毒码比对的动作,希望能够在病毒尚未被执行之前,就能够防堵下来。理论上, 这样的即时扫描技术会影响到数据的输入输出速度。但是使用实时扫描技术，文件传送进来之后，就等于扫过一次毒了。从整体上来讲，是没有什么差别的。