根据病毒功能特征来检测的技术介绍

时间：2016-1-16

   病毒的特点是传染,传染就必须复制自己,还必须寄生在宿主文件上,因此就可以将此作为病毒的特征来检测病毒,多数病毒都有一些比较特殊的操作,如修改中断,常驻内在,修改引导区或修改文件等,如果有一个监控程序时刻监视系统是否进行上述操作,一旦发现,就可作为可能发现病毒的特征功能而报警,由于此方法必须等待病毒运行时才能发现,因此,也称作动态检测技术.
   这种检测方法只是根据多数病毒的功能特征来检测,因此并不需要分析每一个病毒,也不报出具体的病毒名称,编写检测程序的工作量较小,而且还有一个很大的优点,即如果今后再出现新的采用了类似功能的未知病毒,也照样可以实现.
   这种方法存在的最大问题是如何选择这些作为病毒牲的功能操作,病毒本身是段完全正常的应用程序,其所采用的指令都符合技术标准,我们无法从计算机指令集中划出一个病毒所独有的子集,因此,判断病毒的准确性就没有的保障,而且随着应用软件开发技术的提高,修改中断,常驻内存,修改文件等操作以及一些操作系统原来未公开的操作被逐步采用,甚至个别应用软件采用了病毒的编制技术,因此功能牲检测方法会产生误报警问题,
   由于引导型病毒仅对软硬盘的引导区进行破坏,而引导区有其较严格的格式,因此发现引导型病毒比较容易而且可靠.