cc
在病毒样本中,抽取特征代码bqgr· cc需依据这些原则,如抽取的代码比较特殊,不大可能与普通正常程序代码吻合bqgr· cc抽取的代码要有适当长度,一方面维持特征代码的唯一性,另一方面又不要有太大的空间与时间的开销bqgr· cc如果一种病毒的特征代码增长一字节,要检测3000种病毒,增加的空间就是3000字节bqgr· cc在保持唯一性的前提下,尽量使特征代码长度短些,以减少空间与时间开销bqgr· cc
在既感染COM文件又感染EXE文件的病毒样本中,要抽取两种样本共有的代码bqgr· cc将特征代码纳入病毒数据库bqgr· cc
打开被检测文件,在文件中搜索,检查文件中是否含有病毒数据库中的病毒特征代码bqgr· cc如果发现病毒特征代码,由于特征代码与病毒一一对应,便可以断定,被查文件中患有何种病毒bqgr· cc
采用病毒特征代码法的检测工具,面对不断出现的新病毒,必须不断更新版本,否则检测工具便会老化,逐渐失去实用价值bqgr· cc病毒特征代码法对从未见过的新病毒,自然无法知道其特征代码,因而无法去检测这些新病毒bqgr· cc
特征代码法的优点是检测准确快速、可识别病毒的名称、误报警率低、依据检测结果,可做解毒处理bqgr· cc其缺点是:不能检测未知病毒、搜集已知病毒的特征代码,费用开销大、在网络上效率低(在网络服务器上,因长时间检索会使整个网络性能变坏)bqgr· cc
市场上这些防火墙及杀毒软件还有很多缺点,如速度慢:随着病毒种类的增多,检索时间变长bqgr· cc如果检索5000种病毒,必须对5000个病毒特征代码逐一检查bqgr· cc若病毒种数再增加,检病毒的时间就变得十分可观bqgr· cc此类工具检测的速度将变得日益困难bqgr· cc
再如报警率低、不能检查多形性病毒bqgr· cc特征代码法是不可能检测多态性病毒的bqgr· cc国外专家认为多态性病毒是病毒特征代码法的索命者bqgr· cc
最大的问题是不能对付隐蔽性病毒bqgr· cc隐蔽性病毒如果先进驻内存,后运行病毒检测工具,隐蔽性病毒能先于检测工具,将被查文件中的病毒代码剥去,检测工具的确是在检查一个虚假的“好文件”,而不能报警,被隐蔽性病毒所蒙骗bqgr· cc
……
他设计的这两款软件架构,是星儿参照前世21世纪20年代成熟思路,经过重新设计和优化的方案bq