计算正常文件的校验和,并将结果写入此文件或其他文件中保存。在文件使用过程中或使用之前,定期检查文件的校验和与原来保存的校验和是否一致,从而可以发现文件是否被感染,这种方法称为校验和。该方法优点是方法简单,能发现未知病毒,也能发现被检查文件的细微变化。缺点是会误报警,不能识别病毒名称,不能对付隐蔽型病毒。
行为监测法
行为监测法是利用病毒的特有行为特征性来监测病毒的方法。监测病毒的行为特征如下。
——占有INT 13H所有的引导型病毒,都攻击Boot扇区或主引导扇区。
——修改DOS系统数据区的内存总量。
——对.com、.exe文件进行写入操作。
——病毒程序与宿主程序进行切换。
行为监测法的优点是可发现未知病毒,能够相当准确地预报未知的多数病毒。行为监测法的缺点是会误报警,不能识别病毒
名称,实现时有一定难度。
软件仿真扫描法该技术专门用于对付多态性计算机病毒,能够仿真CPU执行,在DOS虚拟机下伪执行计算机病毒程序,安全地将其解密,然后再进行扫描。
先知扫描法先知扫描技术就是将专业人员用来判断程序是否存在计算机病毒代码的方法,分析归纳成专家系统和知识库,再利用软件仿
真技术伪执行新的计算机病毒,超前分析出新计算机病毒代码,用于对付以后的计算机病毒。
人工智能陷阱技术和宏病毒陷阱技术人工智能陷阱技术是一种监测计算机行为的常驻式扫描技术。其优点是执行速度快、操作简便,且可以检测到各种计算机病
毒;缺点是程序设计难度大,且不容易考虑周全。
宏病毒陷阱技术则是结合了特征代码法和人工智能陷阱技术,根据行为模式来检测已知及未知的宏病毒。
实时I/O扫描实时I/O扫描的目的在于即时对计算机上的输入/输出数据作病毒码比对,希望能够在病毒尚未被执行前,将病毒防御于门外。
网络病毒检测技术网络监测法是一种检查、发现网络病毒的方法。网络病毒的特点是通过网络进行传播,如果在服务器、网络接入端和网站设置病毒防火墙,可以起到大规模防止病毒扩散的目的。
*毒技术将染毒文件的病毒代码摘除,使之恢复为可正常运行的文件,称为病毒的清除。清除病毒所采用的技术称为*毒技术。
引导型病毒的清除引导型病毒感染时一般攻击硬盘主引导区以及硬盘或移动存储介质的Boot扇区。一般使用FDISK/MBR可以清除大多数引导型病毒。
宏病毒的清除为了恢复宏病毒,须用非文档格式保存足够的信息。RTF(Rich Text Format)适合保留原始文档的足够信息而不包含宏。然后退出文档编辑器,删除已感染的文档文件以及Normal.dot和start-up目录下的文件。
文件型病毒的清除一般文件型病毒的染毒文件可以修复。当恢复受感染文件需要考虑下列因素。
——不管文件的属性,测试和恢复所有目录下的可执行文件。
——希望确保文件的属性和最近修改时间不改变。
——一定考虑一个文件多重感染的情况。
清除内存中的病毒是指把RAM中的病毒进入非激活状态。这需要操作系统和汇编语言的知识。
使用*病毒软件清除病毒计算机一旦感染病毒,一般用户首选是使用*病毒软件来清除病毒。其优点是使用方便、技术要求不高,不需要具有太多的计算机知识。缺点是有时会删除带毒文件,可能导致系统不能正常运行,同时需要经常升级病毒代码库。
结语在因特网技术以及计算机技术不断发展的形势下,我国已经完全进入信息化时代,信息化时代的到来,使得人们的生活以及工作都得到了极大地方便,但是,在为人们提供录入巨大方便的同时,网络同样也存在着一定的安全隐患。
因此,我们对于一些开放型的信息必须要加大其控制的力度,严防黑客以及破坏分子的不法行为。这是一场无形的战斗,在这场斗争中,安全技术是最为关键的方面,提高安全防御技术,是提高我国计算机网络安全的根本所在。
