病毒檢測軟體的作用原理

來源:互聯網
上載者:User

電腦病毒檢測軟體,通常從兩個方面起作用,有效檢測帶毒檔案。

1.嚴密監控記憶體RAM區

對RAM的監控主要包括三個方面:

(1)跟蹤記憶體容量的異常變化

記憶體容量由記憶體0000:004BH處的一個字單元來表示。正常情況下,該處的一個字表示以K為單位的記憶體容量。例如,如果記憶體容量為512K,則該字的記憶體為0200H,如果記憶體容量為640K,則該字的內容為0280H。由於系統型病毒在侵入系統後,一般都要對記憶體容量進行修改,以便保護其放在記憶體高端的病毒程式不被其他程式或COMMAND.COM檔案的暫駐部分所覆蓋。

因此,如果軟體檢測到記憶體容量發生了某些異常變化,通常是容量被無端佔用,大幅度縮容,則表明有病毒存在。

(2)對中斷向量進行監控、檢測

此原理與病毒警示軟體有關部分相同。

(3)對RAM區進行掃描

利用檢測軟體中所儲存的大量病毒碼值,對RAM區中的所有字串進行掃描。如果發現RAM中的某些字串與已知病毒的特徵值字串相同,則表明記憶體中已駐留了這種病毒,應立即採取措施。

2.監控磁碟開機磁區

系統型病毒主要維護開機磁區,對開機磁區的嚴格監控,可以有效檢測出系統型病毒。

(1)代碼和有變,則可能有病毒感染。

由DOS的各種版本格式化後磁碟開機磁區的內容都是固定的,所以其代碼和也是固定的。檢測軟體在求出代碼和後,如果發現其結果與DOS版本的正常代碼不一致,就可以初步確定被檢測的磁碟開機磁區被病毒所感染。

此方法有其局限性,通常它需結合其他方法才能做出最終判斷。

(2)掃描開機磁區的所有字串

若發現有病毒碼值字串出現,則可以判定有病毒存在於開機磁區。

(3)全方位掃描磁碟檔案

檢測軟體對系統中的所有檔案進行掃描,尋找病毒碼值字串,以確定是否有病毒被檢測出。

顯然,它是針對檔案型病毒的一種作用方式。

相關文章

E-Commerce Solutions

Leverage the same tools powering the Alibaba Ecosystem

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。