计算机安全基础知识[四]

病毒的检测：

1，两种误判 false positives 干净的文件被认为是病毒，误报。false negatives 没有检测出病毒，漏报。
2，低误报率意味着高漏报率，低漏报率意味着高误报率。要实现零漏报，可以报告所有的文件感染了病毒，那样的话，误报率就几乎是100%了。
3，防病毒产品都是在保证可以检测出相当数量的病毒的前提下争取将误报率降为零。

检测方式：
1，签名（Signature）扫描 通过扫描病毒体中的特征码如（B8 03 ?? 92 74 ?? ?? E8 00 00 5D B9）来发现病毒，病毒签名在病毒定义中，可以检测出90%以上的病毒，只适用于静态代码的病毒，如果签名选择得不好可能导致误报。
2，仿真（Emulation） 在虚拟环境中运行程序，尝试解密病毒并扫描签名，使用CPU仿真器和伪代码，可用于检测多态（polymorphic）病毒，但是不适用于变形（metamorphic）病毒。
3，启发式（Heuristics）通过仿真来发现文件执行恶意行为，如寻找文件，打开文件，在文件尾部添加信息，修改文件头，格式化驱动器等。不使用病毒定义。容易导致误报。
4，基于CRC（CRC-Based）的扫描，通过较验和来检查数据，需要应用程序厂商配置，提供较验和信息，对静态病毒的检测非常有效，但实现起来有难度，且不够灵活，文件中的任何一处变化都会导致较验和不匹配。
5，算法（Algorithmic）扫描，为特定的病毒设计扫描引擎，费时费力，对多态病毒非常有效，可能需要更新防病毒产品。

 

检测引擎：

1，通常来说，引擎在检测到病毒后可以修复受感染文件。
2，引擎会提供API供应用程序使用。
3，引擎通常包括基于签名的扫描引擎，基于算法的引擎，用于实现仿真的16和32位仿真器，基于CRC的检测引擎，宏引擎，用于实现启发式扫描的猎犬引擎，脚本扫描引擎。

 

病毒定义：

病毒定义包括病毒的签名，不同的检测引擎使用不同的病毒定义。
病毒定义通常采用自动的，智能的更新技术，快速地将最新的病毒定义传送给用户。通常有周更新，日更新，紧急更新等。用户可以在线更新，也可以下载离线安装包，还可以下载用于企业内部更新服务器的安装包。

 

病毒的命名：

不同的安全厂商对病毒采用不同的命名方法，但是通常包括以下一些部分：平台，名称，版本，种类，传播方式等信息。

本文出自 “西蒙[爱生活，爱学习]” 博客，谢绝转载！