防病毒程序如何检测病毒？

Question

反病毒程序如何检测某个东西是病毒还是特洛伊木马？

我来自土耳其，请尽量保持简单的英语，谢谢。

Answer 1

查找病毒的基本方法有三种。您可以扫描文件，查看其中是否包含来自已知病毒的病毒代码。您可以扫描文件以查看代码是否会执行类似病毒的操作。您可以等到程序做了一些它不应该做的事情，然后将该程序标记为已感染。

您将在第一次创建文件时扫描文件，之后还将按计划进行扫描。你必须安装一个内核驱动程序来监视程序做什么，并阻止它们做恶意的事情。

许多反间谍软件程序的工作方式完全相同。例如，Spybot S&D可以监视可能是间谍软件安装的注册表更改。

Answer 2

有不同类型的病毒检测。他们使用的一些不同的技术包括

1)在已知病毒和特洛伊木马程序数据库中查看文件的二进制组成以进行匹配或部分匹配(最常用的技术)

2)观察程序做了什么，看看它是否做过类似病毒/特洛伊木马的事情

3)分析程序代码(有时反汇编程序代码)，寻找恶意的东西。这通常是非常困难的，通常只有高级检测程序才能做到这一点。

Answer 3

基于特征码的检测-通过将病毒特征码(已知病毒的二进制模式)与正在扫描的文件进行比较来进行检测。

基于启发式的检测-检测可能存在病毒的行为和代码模式。可疑代码在运行时虚拟环境中运行，以进一步测试病毒行为。这可以发现病毒定义中没有的新病毒。

基于行为的检测-根据病毒表现出的行为在病毒运行时对其进行检测

沙盒检测-类似于基于行为的方法，此方法在运行时环境中执行潜在病毒并监视行为

这里有一个更多的complete reading