防病毒程序如何检测病毒？ [关闭]

Question

防病毒程序如何检测是病毒还是木马？

我来自土耳其，请尽量保持英语简单，谢谢。

Answer 1

可以通过三种基本方法来查找病毒。您可以扫描文件以查看其中是否包含来自已知病毒的病毒代码。您可以扫描文件以查看代码是否会执行类似病毒的操作。您可以等到某个程序执行了不应该执行的操作，然后将该程序标记为受感染。

您可以在文件首次创建时对其进行扫描，之后也可以按计划进行。您必须安装内核驱动程序才能观察程序执行的操作并阻止它们执行恶意操作。

许多反间谍软件程序的工作方式完全相同。例如，Spybot S&D 可以监视可能是间谍软件安装的注册表更改。

Answer 2

有不同类型的病毒检测。他们使用的一些不同技术是

1) 在已知病毒和木马的数据库中查看文件的二进制组成是否匹配或部分匹配（最常用的技术）

2) 观察程序做了什么，看看它是否做过类似病毒/木马的事情

3) 分析程序代码（有时是反汇编程序代码）并寻找恶意的东西。这通常非常困难，通常只有高级检测程序才能做到这一点。

Answer 3

基于签名的检测 - 通过将病毒签名（已知病毒的二进制模式）与正在扫描的文件进行比较来检测。

启发式检测 - 检测表明可能存在病毒的代码行为和模式。可疑代码在运行时虚拟环境中运行，以进一步测试病毒行为。这可以找到不在病毒定义中的新病毒。

基于行为的检测 - 根据病毒表现出的行为在病毒运行时检测病毒

沙盒检测 - 类似于基于行为，此方法在运行时环境中执行潜在病毒并监控行为

这里有更多complete reading

Answer 4

他们使用签名或病毒外观的定义，并将它们与它扫描的文件进行比较。

请参阅来自 SciAm 的 this article 以获得很好的解释。

Answer 5

防病毒软件通过查看注册表、查看程序代码、查看常见病毒列表，甚至查看 Internet 以查看其他人/软件是否将其归类为病毒来发现病毒。