概述杀毒,是保证人类生命和财产安全不可缺少的一项必备工作。
1.动:杀死病毒;消毒 (例:紫外线能杀毒。)
2.动:用特殊软件检查并清除电子计算机中的病毒。(例:杀毒软件)
杀灭生物病毒原理主要是抑制病毒DNARNA的复制,转录,合成,抑制病毒蛋白质的表达,合成。
主要方法有物理杀毒法以及化学杀毒法以及生物杀毒法。
其中物理杀毒法按其作用大小大致可分为:
1、具有良好灭菌作用的
如热力、电离辐射、微波、红外线与激光等。热力、电离辐射与微波消毒效果比较好、应用也较为广泛。
2、具有一定消毒作用的
如紫外线与超声波等消毒法。利用这些方法,一般可杀灭大量微生物,但难以达到彻底灭菌的要求。
3、具有自然净化作用的方法
如冷却、冷冻、干燥等。物理消毒法杀灭微生物能力有限,多在自然净化当中发挥作用。这其中的冷却与冷冻是两个概念。冷却是降低温度,但不一定形成冷冻。微生物在冷却时,可大量死去,冷却越快,死亡越快,温度缓慢,很少有死亡发生,一旦温度稳定后,死亡即减少以至停止。在低温存留下来的微生物,新陈代谢降低、存活时间延长。
4、具有除菌作用的
如机械消除、通风与过滤除菌等。物理消毒法虽不能彻底杀灭微生物,但可把它们从传播媒介上去除,同样可起到消毒作用。机械消毒法有一定的除菌作用。常用的有冲洗、擦抹、刷除等。为加强除菌效果,常在清除操作中使用表面活性剂。机械清除物体表面微生物,可结合日常卫生清扫工作进行。清扫时,为防止微生物随尘土飞扬,以湿性清扫法更为合适。 通风是对空气中微生物进行稀释、消除。自然通风是一种最为简便、经济的空气消毒方法。室内空气受到污染,打开门窗通风,即使在无风时,1-2 小时也可达到无害化。
5、具有辅助作用的物理消毒法
如真空、压力等,虽然其本身不能杀灭微生物,但可为清除或抑制微生物创造有利条件。例如,真空可去除容器中的氧气,抑制微生物的生长繁殖。真空可提高水蒸气的温度,增强其杀菌作用。
化学杀毒法利用化学药物杀灭病原微生物。用于消毒的化学药物称为化学消毒剂。化学消毒剂从状态上可分为液体消毒剂、固体消毒剂和气体消毒剂三大类,从杀菌作用可分为三种:
1、高效消毒剂是指能杀灭各种细菌、真菌及病毒,包括细菌芽孢的消毒剂,故称灭菌剂。常用的高效消毒剂有过氧化物类(过氧乙酸、过氧化氢、臭氧等)、醛类(甲醛、戊二醛)、环氧乙烷、含氯消毒剂(有机氯类、无机氯类)等。
2、中效消毒剂是指能杀灭细菌繁殖体、真菌和病毒,但不能杀灭细菌芽孢的消毒剂,如乙醇、酚类等。
3、低效消毒剂指只能杀灭部分细菌繁殖体、真菌和病毒,不能杀灭结核杆菌、细菌芽孢和抗力较强的真菌和病毒的消毒剂,如新洁尔灭、洗必泰等。
生物消毒法。利用某种生物来杀灭或清除病原微生物的方法称为生物消毒法。如粪便和垃圾的发酵,利用嗜热细菌繁殖产生的热量杀灭病原微生物
杀灭计算机病毒杀毒原理
杀毒软件的任务是实时监控和扫描磁盘。部分杀毒软件通过在系统添加驱动程序的方式,进驻系统,并且随操作系统启动。大部分的杀毒软件还具有防火墙功能。
杀毒软件的实时监控方式因软件而异。有的杀毒软件,是通过在内存里划分一部分空间,将电脑里流过内存的数据与杀毒软件自身所带的病毒库(包含病毒定义)的特征码相比较,以判断是否为病毒。另一些杀毒软件则在所划分到的内存空间里面,虚拟执行系统或用户提交的程序,根据其行为或结果作出判断。
而扫描磁盘的方式,则和上面提到的实时监控的第一种工作方式一样,只是在这里,杀毒软件将会将磁盘上所有的文件(或者用户自定义的扫描范围内的文件)做一次检查。
另外,杀毒软件的设计还涉及很多其他方面的技术。
脱壳技术,即是对压缩文件和封装好的文件作分析检查的技术。
自身保护技术,避免病毒程序杀死自身进程。
修复技术,对被病毒损坏的文件进行修复的技术。
杀毒软件有待改进的方面有:
更加智能识别未知病毒查到病毒后,能够彻底清除病毒保护自身。目前有些病毒,能够杀死杀毒软件的进程,再继续破坏防盗版技术(部分免费杀毒软件不存在此问题)虚拟机技术。
世界顶级杀毒软件著名的toptenreviews发布了2009版最新世界杀毒软件排名,2009世界杀毒软件排名网址如下(该排名是性价比排名,仅供参考):
http://internet-security-suite-review.toptenreviews.com/
评比结果前十名如下:
金 奖:BitDefender Internet Security
银 奖:ZoneAlarm Internet Security
铜 奖:Kaspersky Internet Security
第 四 名:BullGuard Internet Security
第 五 名:Trend Micro Internet Security Pro
第 六 名:McAfee Internet Security
第 七 名:AVG Internet Security
第 八 名:Norton Internet Security
第 九 名:Norman Security Suite
第 十 名:Panda Internet Security
下面详细介绍2009版各杀毒软件:
金 奖:BitDefender Internet Security
Bitdefender(中文名:比特梵德,简称BD)是来自罗马尼亚的老牌杀毒软件,拥有260多万的超大病毒库,并且以每天1万以上的病毒库扩充;杀毒引擎被业界公认全球第一,连续九年世界杀毒软件排名第一,用户遍及100多个国家和地区,包括超过300万个企业用户和4100万个单机用户;同时,该杀毒软件以小于1小时的新病毒响应速度在防病毒软件中独占鳌头。 2008年7月Bitdefender重磅登陆中国,中国老百姓将逐渐认识这个杀毒软件,并喜爱这个杀毒软件爱你,必将掀起中国杀毒软件市场革命! 产品优势:
1、连续九年世界杀毒排名第一,杀毒效果独一无二;
2、占用系统资源少,绝不拖慢电脑;
3、扫描速度快,扫描速度是同行业的佼佼者;
4、病毒库大,260万的超大病毒库,且以每天1万以上的速度扩充病毒库,保证电脑安全无忧;
5、独有的游戏模式,是游戏玩家的福音;
银 奖:ZoneAlarm Internet Security
屡获殊荣的防病毒和防间谍软件,国内寻求到的信息很少:
我们并不只是简单地扫描并移除病毒和间谍软件,而且能够防止系统遭受最新,最厉害的病毒攻击;
内置了世界上最强大的防火墙:
ZoneAlarm开发的个人电脑防火墙有超过60万人在使用,用户遍及世界各地,财富100强企业使用了我们母公司研发的企业防火墙和Check Point软件,我们知道如何避免您的电脑遭受病毒的入侵;
个人信息全面防护
只有ZoneAlarm的结合了离线身份保护服务与在线技术,以阻止黑客窃取您的个人信息。
防范对系统的攻击和控制:
木马病毒可以绕过系统防护并且控制您的电脑。我们的leading Root & Boot Protection技术,可以阻止黑客对您系统的控制 。
其它安全保护包括:
反垃圾邮件,家长控制,以及隐私权,提供全面的计算机安全保护。
简洁易于使用,新用户可以方便快捷地自定义自己喜欢的界面。
完全兼容与Windows Vista和XP系统。
铜 奖:Kaspersky Internet Security
卡巴斯基反病毒软件2009是一套全新的安全解决方案,可以保护您的计算机免受病毒、蠕虫、木马和其它恶意程序的危害,它将实时监控文件,网页,邮件,ICQ/MSN协议中的恶意对象;扫描操作系统和已安装程序的漏洞,阻止指向恶意网站的链接,强大的主动防御功能将阻止未知威胁。目前该杀毒软件病毒库136万,虽然落后于bitdefender 近90万病毒库,但是其杀毒效果已经是杀毒软件中的佼佼者了,虽然存在误杀及占用资源大等缺点,但是以其卓越的杀毒效果,在中国还是已经深入人心,成为中国所熟知的杀毒软件!
基本保护
防御病毒,木马和蠕虫
防御间谍软件和恶意程序
实时扫描(访问时)和按需扫描文件
扫描邮件信息(不论哪种邮件客户端)
扫描互联网流量 (无论哪种浏览器)
保护即时消息程序(ICQ,MSN)
主动防御未知威胁
扫描Java和VB脚本
前摄保护
扫描操作系统和已安装程序中的漏洞
分析和修复Internet Explorer中的漏洞
阻止链接恶意网站
基于使用压缩代码的压缩工具扫描病毒
监控全球威胁(卡巴斯基安全网络)
高级保护&恢复
程序可以安装到已感染的计算机上
自我保护可以防御程序被禁用或停止
在删除恶意软件后可以将系统恢复到正确设置
用来创建应急磁盘工具
防御盗窃数据和个人信息
阻止链接到假冒网站(网络钓鱼)
阻止所有类型键盘记录器
适用性
安装时自动配置程序规则
常规任务向导
具有图表格式的直观报告
使用弹出警报提供所有必要的信息以便用户更好判断
自动模式或交互式模式
24×365小时技术支持
自动更新数据库
http://www.kaspersky.com.cn/KL-Products/HomeUsers/kis2009.htm
这是下载地址
第 四 名:BullGuard Internet Security
软件简介:
来自英国杀毒软件套装,使用BitDefender引擎和Sygate防火墙技术
What’s new in BullGuard Internet Security 8.0?
* Remote access for BullGuard Support
* 5 Gigabyte Online Backup Drive
* Improved Firewall and Spamfilter engines
提供客户服务的远程支持,5G的在线备份空间,防火墙和反垃圾邮件引擎也得到了改进了。
第 五 名:Trend Micro Internet Security Pro
Trend Micro Internet Security是一套功能完善及容易使用的个人电脑安全方案,能够对抗各类病毒、蠕虫、木马、黑客、隐私威胁及垃圾邮件等互联网问题,专为现今的家庭、小型和家居办公室(SOHO)用户而设。提供一个完善而且操作简单的方案,能够对抗各种互联网威胁,帮助用户尽量发挥其电脑系统的效益,而毋须为控制安全威胁而忧心忡忡。主要特点有:完全病毒安全防护;增强间谍软件检测和清除功能;新增防护phishing(互联网诈骗)功能;新增家庭网络控制功能;Wi -Fi 入侵检测功能;垃圾邮件过滤功能;个人防火墙等
Trend Micro Internet Security Pro 2008 v16.05.1015含注册机
下载地址:http://www.kz300.cn/soft/sort021/sort0161/down-3687.html
参考资料:http://www.kz300.cn
第 六 名:McAfee Internet Security
迈克菲(McAfee)近日发布了 McAfee 2009安全套装,主要针对于家庭以及个人用户。其中包括 McAfee Total Protection、McAfee Internet Security和 McAfee VirusScan Plus套装。2009版简体中文版产品由全国各地的零售商发售,并且可以在www.mcafee.com/cn 网站下载,个人用户可以进行免费试用。AVG Internet Security
在威胁频出的今天,迈克菲的新产品可以完美地满足用户的安全保护需求,同时提供高速计算体验,改变人们对计算机安全的常规认识。
2009版独特的创新与亮点包括:
· 革命性的Active Protection技术,提供世界上最快速的恶意软件检测。
· 与去年的产品相比,PC性能得到了提升,对系统启动速度的影响进一步降低,扫描时间大幅缩短,而且常规应用软件启动速度更快。
· 新型强大的企业级垃圾邮件防护,可以拦截99%的垃圾邮件。
· 为家庭环境提供更好的保护,网络监控可以在入侵者试图进入网络时向用户报警。
· 2009版提供更全面的防护,包括针对敏感财务文档的“文件保护”,以及在网上购物中避免身份信息被盗和信用卡欺诈的“安全商店”。
第 七 名:
AVG Internet Security,在收购ewido后Grisoft终于发布了包含反木马和反间谍组件.在电脑上已经安装的其它安全软件基础上,补充为一个完整的安全系统.plus版本能实时监测整个系统运行,监测内存,内核自保护,在线升级等.程序可识别并清除63,449种不同的黑客程序,木马程序,蠕虫程序,Dialers程序等! 全面保护你的网络安全!
第 八 名:Norton Internet Security
智能全防护极速新体验
诺顿网络安全特警2009是令人叹为观止的安全套装产品,1分钟安装、每5-15分钟防护更新、智能高速扫描、实时SONAR主动防护,主动高启发防护等超过300项的产品改进及60多项创新设计,实现了性能和防护的完美统一,同时实现了对系统资源“0”消耗。智能主动全防护系统自动检测及删除木马、僵尸网络、病毒、蠕虫、黑客、Rootkit及间谍软件等各种恶意威胁,不需要您的决策就能全方位的保护您的个人信息、密码、银行帐户及电脑的安全
第 九 名:Norman Security Suite
Norman Virus Control 是欧洲名牌杀毒软件!操作简单,功能强大!新病毒每天尽出不穷,而您的企业可能就是下一个受害者.您需要一个专业的数据安全专家协助您防范这些风险.当发现文件受病毒感染,NVC会在破坏代码生效前立即将它隔离或删除.著名的Norman病毒扫描引擎取得重大的技术突破,在新版本中加入了革命性的SandBox诱捕技术.更有效查杀新型未知病毒,包括特洛伊木马和蠕虫.
本版说明
*基于Norman Security Suite v7 简体中文版本制作
*实现任意位置注册
*全面支持2000/xp/vista系统
*支持添加右键扫描/支持可选择添加右键
*无服务加载 完全绿色 无监控
使用说明
*第一次使用先运行!GAV-Norman Antivirus.exe进行注册使用,vista用户请以 管理员身份运行!
*如何升级病毒库
方法一:(不推荐 速度很慢)
运行!GAV-Norman Antivirus.exe 点击"升级Norman Antivirus病毒库和引擎" 可利用官方的程序升级
如果程序无反应,请自行运行 NseBin!)update.bat
方法二:(推荐)
利用下载工具更新
可以用下载工具 每次更新病毒库 下载http://download.aec.cz/update/nvc5oem.zip 下载完成后解压到NormanNormanNseBin下
(下载地址唯一,每次下载更新病毒库是同一个地址)
*扫描病毒时候对话框出现一个乱码是怎么搞的?
Norman的中国代理好像在香港,他们那边是从繁体转换到简体版本,这里出了点小bug,我在图上已经标注了,是"应用的所有"那选项
*你有什么好的建议欢迎回帖与我交流 :)
*请不要拿本人做的绿色杀软做任何测试,因为绿色杀软不代表杀软的真实水平,本人只提倡用来辅助杀毒!!
*已经装有Norman版本的用户,请卸载干净后再使用此版本!
本站提供Norman Security Suite (杀毒软件),版权归该下载资源的合法拥有者所有。
第 十 名:Panda Internet Security
Panda Internet Security 2009 Beta 3 软件介绍Panda软件公司是欧洲第一位的计算机安全产品公司,也是唯一最大的杀病毒软件公司内拥有100%自有技术,且足以同美国相抗衡的公司,同时Panda 也是世界上在该领域成长最快的公司。 使用Panda Internet Security来享受确切的整体安全防护。所有用计算机进行的活动都会被完全充分的防护着以对抗身分窃贼并且能够让您忘掉病毒、间谍程序、黑客、垃圾邮件、在线诈欺和其它的因特网威胁。您也同样能够去自动备份您的重要文件以及微调您的计算机。
病毒预防首先,在思想上重视,加强管理,止病毒的入侵。凡是从外来的软盘往机器中拷信息,都应该先对软盘进行查毒,若有病毒必须清除,这样可以保证计算机不被新的病毒传染。此外,由于病毒具有潜伏性,可能机器中还隐蔽着某些旧病毒,一旦时机成熟还将发作,所以,要经常对磁盘进行检查,若发现病毒就及时杀除。思想重视是基础,采取有效的查毒与消毒方法是技术保证。检查病毒与消除病毒目前通常有两种手段,一种是在计算机中加一块防病毒卡,另一种是使用防病毒软件工作原理基本一样,一般用防病毒软件的用户更多一些。切记要注意一点,预防与消除病毒是一项长期的工作任务,不是一劳永逸的,应坚持不懈。
计算机病毒是在什么情况下出现的?
计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。它产生的背景是:
(1)计算机病毒是计算机犯罪的一种新的衍化形式
计算机病毒是高技术犯罪, 具有瞬时性、动态性和随机性。不易取证, 风险小破坏大, 从而刺激了犯罪意识和犯罪活动。是某些人恶作剧和报复心态在计算机应用领域的表现;
(2)计算机软硬件产品的脆弱性是根本的技术原因
计算机是电子产品。数据从输入、存储、处理、输出等环节, 易误入、篡改、丢失、作假和破坏;程序易被删除、改写;计算机软件设计的手工方式, 效率低下且生产周期长;人们至今没有办法事先了解一个程序有没有错误, 只能在运行中发现、修改错误, 并不知道还有多少错误和缺陷隐藏在其中。这些脆弱性就为病毒的侵入提供了方便;
(3)微机的普及应用是计算机病毒产生的必要环境。
1983年11月3日美国计算机专家首次提出了计算机病毒的概念并进行了验证。几年前计算机病毒就迅速蔓延,到我国才是近年来的事。而这几年正是我国微型计算机普及应用热潮。微机的广泛普及,操作系统简单明了,软、硬件透明度高,基本上没有什么安全措施, 能够透彻了解它内部结构的用户日益增多,对其存在的缺点和易攻击处也了解的越来越清楚,不同的目的可以做出截然不同的选择。目前,在IBM PC系统及其兼容机上广泛流行着各种病毒就很说明这个问题。
预防病毒的八点注意事项:
1、备好启动软盘,并贴上写保护。 检查电脑的问题,最好应在没有病毒干扰的环境下进行,才能测出真正的原因,或解决病毒的侵入。因此,在安装系统之后,应该及时做一张启动盘,以备不时之需。
2、重要资料,必须备份。资料是最重要的,程序损坏了可重新拷贝或再买一份,但是自己键入的资料,可能是三年的会计资料或画了三个月的图纸,结果某一天,硬盘坏了或者因为病毒而损坏了资料,会让人欲哭无泪,所以对于重要资料经常备份是绝对必要的。
3、尽量避免在无防毒软件的机器上使用可移动储存介质。一般人都以为不要使用别人的磁盘,即可防毒,但是不要随便用别人的电脑也是非常重要的,否则有可能带一大堆病毒回家。
4、使用新软件时,先用扫毒程序检查,可减少中毒机会。
5、准备一份具有杀毒及保护功能的软件,将有助于杜绝病毒。
6、重建硬盘是有可能的,救回的机率相当高。若硬盘资料已遭破坏,不必急着格式化,因病毒不可能在短时间内将全部硬盘资料破坏,故可利用杀毒软件加以分析,恢复至受损前状态。
7、不要在互联网上随意下载软件。病毒的一大传播途径,就是Internet。潜伏在网络上的各种可下载程序中,如果你随意下载、随意打开,对于制造病毒者来说,可真是再好不过了。因此,不要贪图免费软件,如果实在需要,请在下载后执行杀毒软件彻底检查。
8、不要轻易打开电子邮件的附件。近年来造成大规模破坏的许多病毒,都是通过电子邮件传播的。不要以为只打开熟人发送的附件就一定保险,有的病毒会自动检查受害人电脑上的通讯录并向其中的所有地址自动发送带毒文件。最妥当的做法,是先将附件保存下来,不要打开,先用查毒软件彻底检查。
相关常见病毒Backdoor,危害级别:1,
说明: 中文名称—“后门”, 是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行可以对被感染的系统进行远程控制,而且用户无法通过正常的方法禁止其运行。“后门”其实是木马的一种特例,它们之间的区别在于“后门”可以对被感染的系统进行远程控制(如:文件管理、进程控制等)。
Worm,危害级别:2,
说明: 中文名称—“蠕虫”,是指利用系统的漏洞、外发邮件、共享目录、可传输文件的软件(如:MSN、OICQ、IRC等)、可移动存储介质(如:U盘、软盘),这些方式传播自己的病毒。这种类型的病毒其子型行为类型用于表示病毒所使用的传播方式。
Mail,危害级别:1说明:通过邮件传播
IM,危害级别:2,说明:通过某个不明确的载体或多个明确的载体传播自己
MSN,危害级别:3,说明:通过MSN传播
QQ,危害级别:4,说明:通过OICQ传播
ICQ危害级别:5,说明:通过ICQ传播
P2P,危害级别:6,说明:通过P2P软件传播
IRC,危害级别:7,说明:通过ICR传播
其他,说明:不依赖其他软件进行传播的传播方式,如:利用系统漏洞、共享目录、可移动存储介质。
Trojan,危害级别:3,说明: 中文名称—“木马”,是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行,而且用户无法通过正常的方法禁止其运行。这种病毒通常都有利益目的,它的利益目的也就是这种病毒的子行为。
Spy,危害级别:1,说明:窃取用户信息(如文件等)
PSW,危害级别:2,说明:具有窃取密码的行为
DL,危害级别:3,说明:下载病毒并运行,判定条款:没有可调出的任何界面,逻辑功能为:从某网站上下载文件加载或运行.
逻辑条件引发的事件:
事件1、.不能正常下载或下载的文件不能判定为病毒 ,操作准则:该文件不能符合正常软件功能组件标识条款的,确定为:Trojan.DL
事件2.下载的文件是病毒,操作准则: 下载的文件是病毒,确定为: Trojan.DL
IMMSG,危害级别:4,说明:通过某个不明确的载体或多个明确的载体传播即时消息(这一行为与蠕虫的传播行为不同,蠕虫是传播病毒自己,木马仅仅是传播消息)
MSNMSG,危害级别:5,说明:通过MSN传播即时消息
QQMSG,危害级别:6,说明:通过OICQ传播即时消息
ICQMSG,危害级别:7,说明:通过ICQ传播即时消息
UCMSG,危害级别:8,说明:通过UC传播即时消息
Proxy,危害级别:9,说明:将被感染的计算机作为代理服务器
Clicker,危害级别:10,说明:点击指定的网页 ,判定条款:没有可调出的任何界面,逻辑功能为:点击某网页。
操作准则:该文件不符合正常软件功能组件标识条款的,确定为:Trojan.Clicker。
(该文件符合正常软件功能组件标识条款,就参考流氓软件判定规则进行流氓软件判定)
Dialer,危害级别:12,说明:通过拨号来骗取Money的程序 ,注意:无法描述其利益目的但又符合木马病毒的基本特征,则不用具体的子行为进行描述
AOL、Notifier ,按照原来病毒名命名保留。
Virus,危害级别:4,说明:中文名称—“感染型病毒”,是指将病毒代码附加到被感染的宿主文件(如:PE文件、DOS下的COM文件、VBS文件、具有可运行宏的文件)中,使病毒代码在被感染宿主文件运行时取得运行权的病毒。
Harm,危害级别:5,说明:中文名称—“破坏性程序”,是指那些不会传播也不感染,运行后直接破坏本地计算机(如:格式化硬盘、大量删除文件等)导致本地计算机无法正常使用的程序。
Dropper,危害级别:6,说明:中文名称—“释放病毒的程序”,是指不属于正常的安装或自解压程序,并且运行后释放病毒并将它们运行。
判定条款:没有可调出的任何界面,逻辑功能为:自释放文件加载或运行。
逻辑条件引发的事件:
事件1:.释放的文件不是病毒。 操作准则: 释放的文件和释放者本身没逻辑关系并该文件不符合正常软件功能组件标识条款的,确定为:Droper
事件2:释放的文件是病毒。 操作准则: 释放的文件是病毒,确定该文件为:Droper
Hack,危害级别:无 ,说明:中文名称—“黑客工具”,是指可以在本地计算机通过网络攻击其他计算机的工具。
Exploit,漏洞探测攻击工具
DDoser,拒绝服务攻击工具
Flooder,洪水攻击工具 ,注意:不能明确攻击方式并与黑客相关的软件,则不用具体的子行为进行描述
Spam,垃圾邮件
Nuker、Sniffer、Spoofer、Anti,说明:免杀的黑客工具
Binder,危害级别:无 ,说明:捆绑病毒的工具
正常软件功能组件标识条款:被检查的文件体内有以下信息能标识出该文件是正常软件的功能组件:文件版本信息,软件信息(注册表键值、安装目录)等。
宿主文件
宿主文件是指病毒所使用的文件类型,有是否显示的属性。目前的宿主文件有以下几种。
JS 说明:JavaScript脚本文件
VBS 说明:VBScript脚本文件
HTML 说明:HTML文件
Java 说明:Java的Class文件
COM 说明:Dos下的Com文件
EXE 说明:Dos下的Exe文件
Boot 说明:硬盘或软盘引导区
Word 说明:MS公司的Word文件
Excel 说明:MS公司的Excel文件
PE 说明:PE文件
WinREG 说明:注册表文件
Ruby 说明:一种脚本
Python 说明:一种脚本
BAT 说明:BAT脚本文件
IRC 说明:IRC脚本
主名称
病毒的主名称是由分析员根据病毒体的特征字符串、特定行为或者所使用的编译平台来定的,如果无法确定则可以用字符串”Agent”来代替主名称,小于10k大小的文件可以命名为“Samll”。
版本信息
版本信息只允许为数字,对于版本信息不明确的不加版本信息。
主名称变种号
如果病毒的主行为类型、行为类型、宿主文件类型、主名称均相同,则认为是同一家族的病毒,这时需要变种号来区分不同的病毒记录。如果一位版本号不够用则最多可以扩展3位,并且都均为小写字母a—z,如:aa、ab、aaa、aab以此类推。由系统自动计算,不需要人工输入或选择。
附属名称
病毒所使用的有辅助功能的可运行的文件,通常也作为病毒添加到病毒库中,这种类型的病毒记录需要附属名称来与病毒主体的病毒记录进行区分。附属名称目前有以下几种:
Client 说明:后门程序的控制端
KEY_HOOK 说明:用于挂接键盘的模块
API_HOOK 说明:用于挂接API的模块
Install 说明:用于安装病毒的模块
Dll 说明:文件为动态库,并且包含多种功能
(空) 说明:没有附属名称,这条记录是病毒主体记录
附属名称变种号
如果病毒的主行为类型、行为类型、宿主文件类型、主名称、主名称变种号、附属名称均相同,则认为是同一家族的病毒,这时需要变种号来区分不同的病毒记录。变种号为不写字母a—z,如果一位版本号不够用则最多可以扩展3位,如:aa、ab、aaa、aab以此类推。由系统自动计算,不需要人工输入或选择。
病毒长度
病毒长度字段只用于主行为类型为感染型(Virus)的病毒,字段的值为数字。字段值为0,表示病毒长度可变。
