日期:2014-05-17  浏览次数:20734 次

请教大家一个问题,杀软一类的东西是靠什么识别病毒,木马,危险文件的
今天突然想到的
杀软一类的东西是靠什么识别病毒,木马,危险文件的?


------解决方案--------------------
方法很多,而且每个杀软自己有自己的一套方案。

比如特征码识别:文件什么位置是什么数据,如果符合条件就杀;

文件Hash:判断是否与病毒库里面的病毒MD5一样;

启发式杀毒:判断文件是否使用了一些特殊函数,是否对系统进行了特殊操作(如改注册表,写服务,键盘记录之类);

虚拟执行:现在很多杀软都有自己的虚拟机;

还有现在的所谓的云查杀等等,我只是列举了一些普通的方法。
------解决方案--------------------
基本上是本地+在线的病毒库特征(传说中的云端)+系统关键位置监控判断。
实际上就和医院医生监控病人一样,医生的工作行为来源于前人编纂的书本+大量临床病历+实际工作经验。
------解决方案--------------------
一般的判断标准就是:标识码,就是指病毒的特定的代码

牛逼一点点就是:看程序的行为,调用或者串改特殊的组件,视为病毒

第一个误杀率比较低,因为只要病毒一变种,根本查不到

第二种误杀率比较高,一些破解补丁,和一些破解软件调用到特定的组件,就被杀掉了

后者好于前者,但是这误杀率让人有点汗颜的 !!!