Un experto en informática vino a comprobar si mi disco duro estaba infectado con algún virus.
Actualice su software antivirus a la base de datos de virus más reciente y realice un análisis completo en modo seguro. Si hubiera un virus troyano, lo sabrías. ¡Esta es la forma más fácil!
Existen muchas formas de detectar virus. ¡Hoy te enseñaré cuatro formas de detectar el disco duro y la memoria!
Método de búsqueda
Este método busca principalmente cadenas específicas contenidas en cada virus. Si se encuentra una cadena específica de caracteres en el objeto detectado, indica que se ha encontrado el virus representado por la cadena. En el extranjero, este tipo de software de detección de virus que funciona según el método de búsqueda se denomina "escáner".
Este software de detección de virus consta de dos partes: una es una biblioteca de códigos de virus, que contiene cadenas de códigos especialmente seleccionadas para varios virus informáticos; la otra parte es un escáner que utiliza la biblioteca de códigos para escanear. La cantidad de virus informáticos que un escáner de virus puede identificar depende completamente de la cantidad de virus contenidos en la base del código de virus.
La elección de la cadena del código del virus es muy importante. El código de virus corto tiene solo más de 100 bytes y el código de virus largo tiene solo 10 KB. Asegúrese de seleccionar la cadena de código más representativa después de un análisis cuidadoso del programa, que es suficiente para distinguir este virus de otros virus y otras variantes de este virus.
En términos generales, una cadena de código consta de varios bytes consecutivos, pero algunos programas de escaneo utilizan una cadena de longitud variable, es decir, la cadena contiene de uno a varios bytes "difusos". Cuando el software de escaneo encuentra una cadena de este tipo, puede identificar el virus siempre que todo, excepto los bytes "borrosos" de la cadena, coincidan perfectamente. Además, la cadena de firma también debe poder distinguir los virus de las áreas normales del programa que no son virus; de lo contrario, se producirán "falsos positivos y falsos positivos".
Método de reconocimiento de palabras características
Este es un método desarrollado en base al método de escaneo de cadenas características, que se ejecuta más rápido y tiene una menor frecuencia de falsas alarmas. El método de reconocimiento de palabras características solo necesita extraer algunas palabras clave del virus para formar un léxico de características. Dado que hay muy pocos bytes para procesar y no se requiere coincidencia de cadenas, la velocidad de reconocimiento se acelera enormemente. Este método es más adecuado cuando el programa que se está procesando es grande.
Debido a que el método característico de reconocimiento de palabras presta más atención a la "actividad del programa" de los virus informáticos, reduce la posibilidad de falsos positivos. El método del software de detección de virus basado en el método de escaneo de cadenas características es el mismo que el método basado en el método de reconocimiento de palabras características. Simplemente ejecute un programa de detección de virus y detectará los virus conocidos. El uso de estos dos métodos requiere una expansión continua de la base de datos de virus. Una vez que se captura el virus, se extraen las características y se agregan a la base de datos de virus, el programa de búsqueda de virus puede detectar un nuevo virus. No inicie el análisis sin las condiciones necesarias. Muchos virus informáticos utilizan autocifrado, antiseguimiento y otras tecnologías, lo que hace que el análisis de virus sea a menudo engorroso. En particular, el código fuente de algunos virus de archivos puede alcanzar más de 10 KB, lo que afecta profundamente al sistema y complica mucho el análisis detallado. El método de análisis de detección de virus es una tecnología indispensable e importante en el trabajo antivirus. El desarrollo de cualquier sistema antivirus con excelente rendimiento no puede separarse del análisis detallado y cuidadoso de diversos virus por parte de personal especializado.
Los métodos de análisis se pueden dividir en métodos estáticos y métodos dinámicos. El análisis estático se refiere al uso de un desensamblador como Debug para imprimir el código del virus en una lista de desensamblador para analizarlo y ver en qué módulos está dividido el virus, qué llamadas al sistema se utilizan, qué habilidades se utilizan y cómo activar el proceso de infección del virus. en limpieza de virus y el proceso de reparación de archivos, qué códigos se pueden utilizar como firmas, cómo protegerse contra dichos virus, etc.
Cuanto mayor sea la calidad del analista, más rápido será el proceso de análisis y más profunda será la comprensión. El análisis dinámico se refiere al uso de herramientas de depuración como Debug para rastrear dinámicamente el virus y observar el proceso de trabajo específico del virus; cuando se infecta en la memoria, con lo que aprende más sobre cómo funcionan los virus basándose en el análisis estático. Cuando la codificación viral es relativamente simple, no es necesario el análisis dinámico.
Cuando el virus utiliza medios más técnicos, es necesario utilizar métodos de análisis dinámicos y estáticos para completar todo el proceso de análisis.
En resumen, el método de comparar la copia de seguridad original con el programa detectado es adecuado para situaciones en las que se pueden encontrar situaciones anormales sin un software especial. Es un método de detección de virus simple y básico. identificar cadenas de características y palabras de características es más adecuado para usuarios de PC y es conveniente y rápido. Sin embargo, los nuevos virus pasarán desapercibidos y deberán utilizarse en combinación con análisis y comparación.
Los virus informáticos son completamente prevenibles tomando medidas técnicas y administrativas.
Si el virus se propaga, inevitablemente dejará rastros. Esto es válido para los virus biomédicos y también para los virus informáticos. Para detectar virus informáticos, debe verificar el lugar donde reside el virus, encontrar anomalías y luego verificar su "identidad" para confirmar la existencia del virus informático. Los virus informáticos se almacenan en el disco duro cuando están estáticos y permanecen en la memoria cuando se activan. Por lo tanto, la detección de virus informáticos se puede dividir en detección del disco duro y detección de memoria.
Generalmente, cuando se realiza la detección de virus en el disco duro, se requiere que no haya virus en la memoria, porque algunos virus informáticos reportarán información falsa al detector.
Por ejemplo, cuando el virus "4096" está en la memoria, si observa los archivos infectados por él, no encontrará que la longitud de los archivos haya cambiado, pero cuando no hay ningún virus en la memoria, encontrará que la longitud de los archivos ha aumentado 4096 bytes. Para otro ejemplo, cuando el virus "DIR2" está en la memoria, el depurador no puede ver el código del virus "DIR2" en absoluto; el archivo infectado, por lo que muchos programas de detección no han detectado el archivo infectado, también existe el virus "Pakistani Think Tank". Cuando está activo en la memoria, el programa de virus no se puede ver en el sector de arranque, sólo en el sector de arranque normal.
Por lo tanto, el trabajo de detección sólo se puede realizar cuando hay un virus en la memoria cuando es necesario confirmar el tipo de virus y analizarlo y estudiarlo. Arrancar desde el disquete original del sistema DOS libre de virus puede garantizar que no haya virus en la memoria. La computadora debe estar encendida y no arrancada en caliente presionando "Alt Ctrl Del" en el teclado, porque algunos virus pueden residir en la memoria al interceptar las interrupciones del teclado.
Para detectar virus en el disco duro, el número de versión de DOS del disquete del sistema de arranque debe ser igual o superior al número de versión del sistema DOS en el disco duro. Como el software de administración de disco duro DM, ADM, el software de administración de almacenamiento de compresión del disco duro Stacker, DoubleSpace, etc. Todos se utilizan en el disco duro. Los controladores de este software deben incluirse en el disquete al iniciar el disquete del sistema y deben escribirse en el archivo config.sys. De lo contrario, después de iniciar con el disquete del sistema, todos. No se accederá a las particiones del disco duro, de modo que los virus ocultos en su interior puedan escapar a la inspección.
La detección de virus en el disco duro se puede dividir en detección de virus de arranque y detección de virus de archivos. Los dos métodos de detección tienen el mismo principio, pero debido a los diferentes métodos de almacenamiento del virus, los métodos de detección también son diferentes. Se basa principalmente en los siguientes cuatro métodos: el método de comparación, que compara el objeto detectado con la copia de seguridad original; el método de búsqueda, que utiliza cadenas de firmas de virus para buscar; el método de identificación de palabras de firma, que busca ubicaciones específicas en el virus; de la tecnología de desmontaje a Un método de análisis que analiza el objeto detectado para confirmar si es un virus.