目前病毒識別主要採用什麼技術

1. 病毒木馬識別用什麼比較好

手機中毒後一般的表現是手機自動下載其他推廣軟體、手機卡頓發熱、出現有遮擋的廣告等。甚至會攔截正常的銀行簡訊導致用戶的賬號被盜，銀行卡被盜刷等。若懷疑手機中存在木馬或者病毒，請嘗試按照以下步驟進行清除：

1. 請嘗試安裝一款安全軟體（例如：手機管家等）。以手機管家為例，打開手機管家，點擊主界面上的一鍵體檢即可自動檢測手機中存在的問題，並且給出處理建議，點擊一鍵清除即可刪除病毒程序。

2. 都無法進行解決請嘗試到手機品牌官網下載刷機包和工具對手機進行完整恢復，若無法自行處理請送到手機品牌官方售後進行維修。

2. 殺毒軟體是怎麼識別病毒的，它的原理是什麼

常用的反病毒軟體技術 特徵碼技術：基於對已知病毒分析、查解的反病毒技術 目前的大多數殺病毒軟體採用的方法主要是特徵碼查毒方案與人工解毒並行，亦即在查病毒時採用特徵碼查毒，在殺病毒時採用人工編制解毒代碼。 特徵碼查毒方案實際上是人工查毒經驗的簡單表述，它再現了人工辨識病毒的一般方法，採用了「同一病毒或同類病毒的某一部分代碼相同」的原理，也就是說，如果病毒及其變種、變形病毒具有同一性，則可以對這種同一性進行描述，並通過對程序體與描述結果（亦即「特徵碼」）進行比較來查找病毒。而並非所有病毒都可以描述其特徵碼，很多病毒都是難以描述甚至無法用特徵碼進行描述。使用特徵碼技術需要實現一些補充功能，例如近來的壓縮包、壓縮可執行文件自動查殺技術。 但是，特徵碼查毒方案也具有極大的局限性。特徵碼的描述取決於人的主觀因素，從長達數千位元組的病毒體中擷取十餘位元組的病毒特徵碼，需要對病毒進行跟蹤、反匯編以及其它分析，如果病毒本身具有反跟蹤技術和變形、解碼技術，那麼跟蹤和反匯編以獲取特徵碼的情況將變得極其復雜。此外，要擷取一個病毒的特徵碼，必然要獲取該病毒的樣本，再由於對特徵碼的描述各個不同，特徵碼方法在國際上很難得到廣域性支持。特徵碼查病毒主要的技術缺陷表現在較大的誤查和誤報上，而殺病毒技術又導致了反病毒軟體的技術遲滯。 虛擬機技術：啟發式探測未知病毒的反病毒技術 虛擬機技術的主要作用是能夠運行一定規則的描述語言。由於病毒的最終判定準則是其復制傳染性，而這個標準是不易被使用和實現的，如果病毒已經傳染了才判定是它是病毒，定會給病毒的清除帶來麻煩。 那麼檢查病毒用什麼方法呢？客觀地說，在各類病毒檢查方法中，特徵值方法是適用范圍最寬、速度最快、最簡單、最有效的方法。但由於其本身的缺陷問題，它只適用於已知病毒，對於未知病毒，如果能夠讓病毒在控制下先運行一段時間，讓其自己還原，那麼，問題就會相對明了。可以說，虛擬機是這種情況下的最佳選擇。 虛擬機在反病毒軟體中應用范圍廣，並成為目前反病毒軟體的一個趨勢。一個比較完整的虛擬機，不僅能夠識別新的未知病毒，而且能夠清除未知病毒，我們會發現這個反病毒工具不再是一個程序，而成為可以和卡斯帕羅夫抗衡的ibm深藍超級計算機。首先，虛擬機必須提供足夠的虛擬，以完成或將近完成病毒的「虛擬傳染」；其次，盡管根據病毒定義而確立的「傳染」標準是明確的，但是，這個標准假如能夠實施，它在判定病毒的標准上仍然會有問題；第三，假如上一步能夠通過，那麼，我們必須檢測並確認所謂「感染」的文件確實感染的就是這個病毒或其變形。 目前虛擬機的處理對象主要是文件型病毒。對於引導型病毒、word／excel宏病毒、木馬程序在理論上都是可以通過虛擬機來處理的，但目前的實現水平仍相距甚遠。就像病毒編碼變形使得傳統特徵值方法失效一樣，針對虛擬機的新病毒可以輕易使得虛擬機失效。雖然虛擬機也會在實踐中不斷得到發展。但是，pc的計算能力有限，反病毒軟體的製造成本也有限，而病毒的發展可以說是無限的。讓虛擬技術獲得更加實際的功效，甚至要以此為基礎來清除未知病毒，其難度相當大。 受病毒在理論上就是不可判定的這一根本前提的制約，事實上，無論是啟發式，亦或是虛擬機，都只能是一種工程學的努力，其成功的概率永遠不可達到100％。這是惟一的卻又是無可奈何的缺憾。 未來的反病毒技術： 虛擬現實 對於未來技術的展望可能只是一種近乎飄渺的幻想，但是就如同計算機病毒最初的描述出現在科幻小說里，雖然還有許許多多我們目前仍在實現卻仍未實現的技術，甚至還有許多我們根本未考慮到的因素。只要技術足夠成熟，網路世界中是完全有可能出現類似人工智慧的反病毒技術。 未來反病毒的疑難之一就是：我們永遠無法寫出一個合理的程序來辨識和查殺病毒。病毒掌握了人類所掌握的一切，它同樣能辨識和分析反毒程序，並對自身重新編程；而反毒程序要可能同樣地對病毒進行探測，再進行自編程。病毒與反毒程序的角逐就變成了自編程能力的實現，而這樣的結果只能導致網路空間緊張，甚至崩潰！ 我們還可以考慮用另一種方式：人工進入計算網路世界的方法來查殺病毒。人有足夠的智能和經驗積累來完成對病毒的辨識和殺除，而這就只剩下建立人與計算機之間的「橋」的問題了。 目前的虛擬現實技術重點放在了對人與人的自 查看原帖>>

3. 計算機病毒的檢測方法有哪兩種

計算機病毒的兩種檢測方法:

1、手工檢測

手工檢測是指通過一些軟體工具（DEBUG.COM、PCTOOLS.EXE、NU.COM、SYSINFO.EXE等提供的功能） 進行病毒的檢測。

這種方法比較復雜，需要檢測者熟悉機器指令和操作系統，因而無法普及。這種方法檢測病毒，費時費力，但可以剖析新病毒，檢測識別未知病毒，可以檢測一些自動檢測工具不認識的新病毒。

2、自動檢測

自動檢測是指通過一些診斷軟體來判讀一個系統或一個軟盤是否有毒的方法。自動檢測則比較簡單，一般用戶都可以進行，但需要較好的診斷軟體。

(3)目前病毒識別主要採用什麼技術擴展閱讀：

防止計算機中病毒：

經常更新操作系統補丁和應用軟體的版本。操作系統廠商會定期推出升級補丁，這些升級補丁除了提升操作系統性能外，很重要的任務是堵塞可能被惡意利用的操作系統漏洞。

同理，把軟體升級到最新版本，也會讓很多病毒望而卻步，因為新版本軟體會優化內部代碼，使病毒暫無可乘之機。

安裝防火牆和殺毒軟體。防火牆與殺毒軟體就像大門的警衛，會仔細甄別出入系統的文件程序，發現異常及時警告並處置。

比如在訪問惡意網站或運行可疑程序時，殺毒軟體都會進行警告；當下載或收到可疑文件時，殺毒軟體也會先行掃描；當操作系統需要更新或應用程序需要升級時，殺毒軟體也會提示。

4. 啟發式的什麼是啟發式

Heuristic(啟發式技術=啟發式掃描+啟發式監控)
重點在於特徵值識別技術上的更新、解決單一特徵碼比對的缺陷。目的不在於檢測所有的未知病毒，只是對特徵值掃描技術的補充。
啟發式技術是基於特徵值掃描技術上的升級，與傳統反病毒特徵值掃描技術相比，優點在於對未知病毒的防禦。是特徵值識別技術質的飛躍。 啟發式查毒技術屬於主動防禦的一種，是當前對付未知病毒的主要手段，從工作原理上可分為靜態啟發和動態啟發兩種。
啟發式指 「自我發現的能力」或「運用某種方式或方法去判定事物的知識和技能」， 是殺毒軟體能夠分析文件代碼的邏輯結構是否含有惡意程序特徵，或者通過在一個虛擬的安全環境中前攝性的執行代碼來判斷其是否有惡意行為。在業界前者被稱為靜態代碼分析，後者被成為動態虛擬機。靜態啟發技術指的是在靜止狀態下通過病毒的典型指令特徵識別病毒的方法，是對傳統特徵碼掃描的一種補充。由於病毒程序與正常的應用程序在啟動時有很多區別。通常一個應用程序在最初的指令，是檢查命令行輸入有無參數項、清屏和保存原來屏幕顯示等，而病毒程序則通常是最初的指令是直接寫盤操作、解碼指令，或搜索某路徑下的可執行程序等相關操作指令序列。靜態啟發式就是通過簡單的反編譯，在不運行病毒程序的情況下，核對病毒頭靜態指令從而確定病毒的一種技術。而相比靜態啟發技術，動態啟發技術要復雜和先進很多。動態啟發式通過殺軟內置的虛擬機技術，給病毒構建一個模擬的運行環境，誘使病毒在殺軟的模擬緩沖區中運行，如運行過程中檢測到可疑的動作，則判定為危險程序並進行攔截。這種方法更有助於識別未知病毒，對加殼病毒依然有效，但如果控製得不好，會出現較多誤報的情況。動態啟發因為考慮資源佔用的問題，因此只能使用比較保守的虛擬機。管如此，由於動態啟發式判斷技術具有許多不可替代的優勢，因此仍然是目前檢測未知病毒最有效、最可靠的方法之一，並在各大殺軟產品中得到了廣泛的應用。由於諸多傳統技術無法企及的強大優勢，必將得到普遍的應用和迅速的發展。純粹的啟發式代碼分析技術的應用(不藉助任何事先的對於被測目標病毒樣本的研究和了解)，已能達到80%以上的病毒檢出率，而其誤報率極易控制在0.1%之下，這對於僅僅使用傳統的基於對已知病毒的研究而抽取「特徵字串」的特徵掃描技術的查毒軟體來說，是不可想像的.啟發式殺毒技術代表著未來反病毒技術發展的必然趨勢，具備某種人工智慧特點的反病毒技術，向我們展示了一種通用的、不依賴於升級的病毒檢測技術和產品的可能性。

5. 殺毒軟體是怎麼識別木馬和病毒的

目前大部分是通過特徵碼識別
即在木馬樣本里找出幾段和待檢測的程序樣本進行匹配
匹配成功就說明它是XX木馬或病毒
現在還有一個技術叫行為檢測
監控系統的可疑行為來判斷
比如同一一個木馬
在運行時
它的行為是固定的流程
如果符合條件即為該木馬/病毒
另外如果檢測到和木馬病毒相似行為的可疑操作
就報告給用戶或殺軟公司
再進行詳細的判斷.
以上是主流的兩種方法
其它每個殺軟都有自己的特點和新技術
這在該殺軟的介紹中有詳細的說明

6. 殺毒軟體通過什麼形式來識別病毒的

病毒檢測的方法

在與病毒的對抗中，及早發現病毒很重要。早發現，早處置，可以減少損失。檢測病毒方法有：特徵代碼法、校驗和法、行為監測法、軟體模擬法

這些方法依據的原理不同，實現時所需開銷不同，檢測范圍不同，各有所長。

特徵代碼法

特徵代碼法被早期應用於SCAN、CPAV等著名病毒檢測工具中。國外專家認為特徵代碼法是檢測已知病毒的最簡單、開銷最小的方法。

特徵代碼法的實現步驟如下：

採集已知病毒樣本，病毒如果既感染COM文件，又感染EXE文件，對這種病毒要同時採集COM型病毒樣本和EXE型病毒樣本。

在病毒樣本中，抽取特徵代碼。依據如下原則：

抽取的代碼比較特殊，不大可能與普通正常程序代碼吻合。抽取的代碼要有適當長度，一方面維持特徵代碼的唯一性，另一方面又不要有太大的空間與時間的開銷。如果一種病毒的特徵代碼增長一位元組，要檢測3000種病毒，增加的空間就是3000位元組。在保持唯一性的前提下，盡量使特徵代碼長度短些，以減少空間與時間開銷。

在既感染COM文件又感染EXE文件的病毒樣本中，要抽取兩種樣本共有的代碼。將特徵代碼納入病毒資料庫。

打開被檢測文件，在文件中搜索，檢查文件中是否含有病毒資料庫中的病毒特徵代碼。如果發現病毒特徵代碼，由於特徵代碼與病毒一一對應，便可以斷定，被查文件中患有何種病毒。

採用病毒特徵代碼法的檢測工具，面對不斷出現的新病毒，必須不斷更新版本，否則檢測工具便會老化，逐漸失去實用價值。病毒特徵代碼法對從未見過的新病毒，自然無法知道其特徵代碼，因而無法去檢測這些新病毒。

特徵代碼法的優點是：檢測准確快速、可識別病毒的名稱、誤報警率低、依據檢測結果，可做解毒處理。其缺點是：不能檢測未知病毒、搜集已知病毒的特徵代碼，費用開銷大、在網路上效率低（在網路伺服器上，因長時間檢索會使整個網路性能變壞）。

其特點：

A.速度慢。隨著病毒種類的增多，檢索時間變長。如果檢索5000種病毒，必須對5000個病毒特徵代碼逐一檢查。如果病毒種數再增加，檢病毒的時間開銷就變得十分可觀。此類工具檢測的高速性，將變得日益困難。

B.誤報警率低。

非C.不能檢查多形性病毒。特徵代碼法是不可能檢測多態性病毒的。國外專家認為多態性病毒是病毒特徵代碼法的索命者。

D.不能對付隱蔽性病毒。隱蔽性病毒如果先進駐內存，後運行病毒檢測工具，隱蔽性病毒能先於檢測工具，將被查文件中的病毒代碼剝去，檢測工具的確是在檢查一個虛假的「好文件」，而不能報警，被隱蔽性病毒所蒙騙。

校驗和法

將正常文件的內容，計算其校驗和，將該校驗和寫入文件中或寫入別的文件中保存。在文件使用過程中，定期地或每次使用文件前，檢查文件現在內容算出的校驗和與原來保存的校驗和是否一致，因而可以發現文件是否感染，這種方法叫校驗和法，它既可發現已知病毒又可發現未知病毒。在SCAN和CPAV工具的後期版本中除了病毒特徵代碼法之外，還納入校驗和法，以提高其檢測能力。

這種方法既能發現已知病毒，也能發現未知病毒，但是，它不能識別病毒類，不能報出病毒名稱。由於病毒感染並非文件內容改變的唯一的非他性原因，文件內容的改變有可能是正常程序引起的，所以校驗和法常常誤報警。而且此種方法也會影響文件的運行速度。

病毒感染的確會引起文件內容變化，但是校驗和法對文件內容的變化太敏感，又不能區分正常程序引起的變動，而頻繁報警。用監視文件的校驗和來檢測病毒，不是最好的方法。

這種方法遇到下述情況：已有軟體版更新、變更口令、修改運行參數、校驗和法都會誤報警。

校驗和法對隱蔽性病毒無效。隱蔽性病毒進駐內存後，會自動剝去染毒程序中的病毒代碼，使校驗和法受騙，對一個有毒文件算出正常校驗和。

運用校驗和法查病毒採用三種方式：

①在檢測病毒工具中納入校驗和法，對被查的對象文件計算其正常狀態的校驗和，將校驗和值寫入被查文件中或檢測工具中，而後進行比較。

②在應用程序中，放入校驗和法自我檢查功能，將文件正常狀態的校驗和寫入文件本身中，每當應用程序啟動時，比較現行校驗和與原校驗和值。實現應用程序的自檢測。

③將校驗和檢查程序常駐內存，每當應用程序開始運行時，自動比較檢查應用程序內部或別的文件中預先保存的校驗和。

校驗和法的優點是：方法簡單能發現未知病毒、被查文件的細微變化也能發現。其缺點是：發布通行記錄正常態的校驗和、會誤報警、不能識別病毒名稱、不能對付隱蔽型病毒。

行為監測法

利用病毒的特有行為特徵性來監測病毒的方法，稱為行為監測法。通過對病毒多年的觀察、研究，有一些行為是病毒的共同行為，而且比較特殊。在正常程序中，這些行為比較罕見。當程序運行時，監視其行為，如果發現了病毒行為，立即報警。

這些做為監測病毒的行為特徵如下：

A.佔有INT 13H

所有的引導型病毒，都攻擊Boot扇區或主引導扇區。系統啟動時，當Boot扇區或主引導扇區獲得執行權時，系統剛剛開工。一般引導型病毒都會佔用INT 13H功能，因為其他系統功能未設置好，無法利用。引導型病毒占據INT 13H功能，在其中放置病毒所需的代碼。

B.改DOS系統為數據區的內存總量

病毒常駐內存後，為了防止DOS系統將其覆蓋，必須修改系統內存總量。

C.對COM、EXE文件做寫入動作

病毒要感染，必須寫COM、EXE文件。

D.病毒程序與宿主程序的切換

染毒程序運行中，先運行病毒，而後執行宿主程序。在兩者切換時，有許多特徵行為。

行為監測法的長處：可發現未知病毒、可相當准確地預報未知的多數病毒。行為監測法的短處：可能誤報警、不能識別病毒名稱、實現時有一定難度。

軟體模擬法

多態性病毒每次感染都變化其病毒密碼，對付這種病毒，特徵代碼法失效。因為多態性病毒代碼實施密碼化，而且每次所用密鑰不同，把染毒的病毒代碼相互比較，也無法找出相同的可能做為特徵的穩定代碼。雖然行為檢測法可以檢測多態性病毒，但是在檢測出病毒後，因為不知病毒的種類，難於做消毒處理。

計算機病毒的防治策略

計算機病毒的防治要從防毒、查毒、解毒三方面來進行；系統對於計算機病毒的實際防治能力和效果也要從防毒能力、查毒能力和解毒能力三方面來評判。

「防毒」是指根據系統特性，採取相應的系統安全措施預防病毒侵入計算機。「查毒」是指對於確定的環境，能夠准確地報出病毒名稱，該環境包括，內存、文件、引導區（含主導區）、網路等。「解毒」是指根據不同類型病毒對感染對象的修改，並按照病毒的感染特性所進行的恢復。該恢復過程不能破壞未被病毒修改的內容。感染對象包括：內存、引導區（含主引導區）、可執行文件、文檔文件、網路等。

防毒能力是指預防病毒侵入計算機系統的能力。通過採取防毒措施，應可以准確地、實時地監測預警經由光碟、軟盤、硬碟不同目錄之間、區域網、網際網路（包括FTP方式、E-MAIL、HTTP方式）或其它形式的文件下載等多種方式進行的傳輸；能夠在病毒侵入系統是發出警報，記錄攜帶病毒的文件，即時清除其中的病毒；對網路而言，能夠向網路管理員發送關於病毒入侵的信息，記錄病毒入侵的工作站，必要時還要能夠注銷工作站，隔離病毒源。

查毒能力是指發現和追蹤病毒來源的能力。通過查毒應該能准確地發現計算機系統是否感染有病毒，並准確查找出病毒的來源，並能給出統計報告；查解病毒的能力應由查毒率和誤報率來評判。

解毒能力是指從感染對象中清除病毒，恢復被病毒感染前的原始信息的能力；解毒能力應用解毒率來評判。

7. 計算機病毒的檢測方法有哪些簡述其原理

計算機病毒檢測方法：
1．手工檢測
手工檢測是指通過一些軟體工具（DEBUG.COM、PCTOOLS.EXE、NU.COM、SYSINFO.EXE等提供的功能） 進行病毒的檢測。這種方法比較復雜，需要檢測者熟悉機器指令和操作系統，因而無法普及。它的基本過程是利用一些工具軟體，對易遭病毒攻擊和修改的內存及磁碟的有關部分進行檢查，通過和正常情況下的狀態進行對比分析，來判斷是否被病毒感染。這種方法檢測病毒，費時費力，但可以剖析新病毒，檢測識別未知病毒，可以檢測一些自動檢測工具不認識的新病毒。
2．自動檢測
自動檢測是指通過一些診斷軟體來判讀一個系統或一個軟盤是否有毒的方法。自動檢測則比較簡單，一般用戶都可以進行，但需要較好的診斷軟體。這種方法可方便地檢測大量的病毒，但是，自動檢測工具只能識別已知病毒，而且自動檢測工具的發展總是滯後於病毒的發展，所以檢測工具總是對相對數量的未知病毒不能識別。
3、廣泛使用的主要檢測病毒方法有：比較法、搜索法、分析法、感染實驗法、軟體模擬法、行為檢測法。