查杀病毒程序是应用软件（查杀）

你们好，最近小时发现有诸多的小伙伴们对于查杀病毒程序是应用软件，查杀这个问题都颇为感兴趣的，今天小活为大家梳理了下，一起往下看看吧。

1、 一般在对硬盘进行病毒检测时，要求内存中没有病毒，因为有些电脑病毒会向检测器报假信息。比如“4096”病毒在内存的时候，如果你看被它感染的文件，你不会发现文件的长度发生了变化。

2、 当内存中没有病毒时，会发现文件长度增加了4096字节；再比如，“DIR2”病毒在内存中，用调试程序查看感染文件时根本看不到“DIR2”病毒的代码。

3、 因此，许多检测程序错过了受感染的文件；开机区还有“巴基斯坦智库”病毒。当它在内存中活动时，在引导区看不到病毒程序，只能看到正常的引导扇区。因此，

4、 只有当需要确认病毒的类型，并对其进行分析和研究时，才能在内存中有病毒的情况下进行检测工作。

5、 从原装无病毒DOS系统软盘引导，可以保证内存中没有病毒。启动一定是加电启动而不是按键盘上的“Alt Ctrl Del”热启动，因为有些病毒可以通过拦截键盘来中断。

6、 把自己留在记忆里。要检测硬盘中的病毒，启动系统软盘的DOS版本号应等于或高于硬盘中DOS系统的版本号。如果使用硬盘管理软件DM和ADM，

7、 硬盘压缩存储管理软件Stacker，DoubleSpace等。在启动系统软盘时，应该将这些软件的驱动程序包含在软盘中，并写入config.sys文件中，否则用系统软盘启动后，

8、 将无法访问硬盘上的所有分区，这样隐藏在其中的病毒就可以逃过检查。

9、 检测硬盘中的病毒可以分为检测引导病毒和检测文件病毒。两种检测方法原理相同，但由于病毒的保存方式不同，检测方法也不同。

10、 主要基于以下四种方法：将检测到的对象与原始备份进行比较的比较法；利用病毒特征码串进行搜索的搜索方法；用于搜索病毒中特定位置的特征词识别方法；利用反汇编技术对被检测对象进行分析，确认是否为病毒的分析方法。比较法

11、 这是一种将原始备份与检测到的引导扇区或检测到的文件进行比较的方法，可以与打印的代码列表(如Debug的D命令输出格式)进行比较。

12、 也可以通过程序(如DOS的DISKCOMP、COMP或PCTOOLS)进行比较。比较法不需要专门的病毒检测程序，只需使用常规的DOS软件和PCTOOLS等工具即可进行。

13、 还能发现现有杀毒软件无法发现的计算机病毒。因为病毒传播速度快，新病毒层出不穷，所以没有一个通用的程序可以检测所有的病毒，也没有一个病毒检测程序可以通过代码分析来确定一个程序是否含有病毒。

14、 所以只有通过对比分析，或者这两种方法的结合，才能发现新的病毒。

15、 检查硬盘的主引导区或DOS的引导扇区，通过对比找出程序源代码是否有改动。因为比较，所以保留原始备份非常重要。备份时，必须在计算机无病毒的环境中进行。

16、 所做的备份必须妥善保管、标记和写保护。比较法的优点是简单方便，不需要专门的软件；缺点是你无法确认病毒的名称。此外，检测到的程序与原始备份存在差异的原因需要进一步核实。

17、 为了搞清楚是电脑病毒导致的还是DOS数据被意外原因破坏的，比如突然断电，程序失控，恶意程序。这些都需要用后面提到的分析方法来检查被改代码的性质，从而确认是否有病毒。搜索方法

18、 这种方法主要扫描每个病毒中包含的特定字符串。如果在被检测对象中发现了特定的字符串，则表明发现了该字符串所代表的病毒。国外把这种按照搜索方式工作的病毒扫描软件称为“扫描器”。

19、 这款病毒扫描软件由两部分组成：一部分是病毒代码库，包含专门挑选的各种计算机病毒的代码串；另一部分是使用代码库进行扫描的扫描程序。

20、 病毒扫描程序可以识别的计算机病毒的数量完全取决于病毒代码库中包含的病毒类型的数量。病毒代码串的选择非常重要。短病毒代码只有100多字节，长病毒代码只有10千字节。

21、 一定要在仔细分析程序后选择最有代表性的代码串，这足以将该病毒与其他病毒和该病毒的其他变种区分开来。一般来说，代码串由几个连续的字节组成，但一些扫描软件使用可变长度的字符串。

22、 也就是说，字符串包含一到几个“模糊”字节。当扫描软件遇到这种字符串时，只要除了“模糊”字节以外的字符串都能完美匹配，也能识别出病毒。此外，签名串还必须能够区分病毒和正常的非病毒程序区，否则会出现“误报、误报”。

23、 分析

24、 该方法一方面可以确认观察到的磁盘引导区和程序是否含有病毒，另一方面可以识别病毒的种类和类型，确定是否为新病毒，此外还可以明确病毒体的大致结构，提取字节串或特征词进行特征识别。

25、 添加到病毒扫描和识别程序的病毒代码库。同时，对病毒代码的详细分析也有助于制定相应的反病毒方案。与前三种病毒检测方法不同，使用分析方法检测病毒不仅需要相关知识，

26、 还需要使用Debug、Proview等分析工具，以及专门的实验电脑。因为即使是非常精通病毒的技术人员也使用复杂的分析软件，

27、 也不能完全保证在短时间内分析清楚病毒代码；病毒可能在分析阶段继续感染甚至攻击，彻底破坏软盘和硬盘中的数据，所以分析工作必须在专门的实验PC上进行，不怕数据被破坏。

28、 没有必要的条件不要轻易开始分析。很多计算机病毒采用自加密、反跟踪等技术，使得对病毒的分析往往很繁琐。特别是一些文件病毒的源代码可以达到10KB以上，与系统牵连很深。

29、 使得详细分析工作非常复杂。病毒检测的分析方法是反病毒工作中不可缺少的重要技术。任何性能优异的反病毒系统的研发，都离不开专门人员对各种病毒进行细致认真的分析。

30、 分析方法可分为静态方法和动态方法。静态分析是指利用Debug等反汇编程序，将病毒代码打印成反汇编程序列表进行分析，看病毒分在哪些模块中，使用了哪些系统调用，采用了哪些技巧。

31、 如何把病毒感染文件的过程变成清理病毒和修复文件的过程，哪些代码可以作为特征码，如何防御这种病毒等等。分析师素质越高，分析过程越快。

32、 了解的越深；动态分析是指利用Debug等调试工具对病毒进行动态跟踪，观察病毒在内存被感染时的具体工作过程，从而在静态分析的基础上进一步了解病毒的工作原理。在简单病毒编码的情况下，

33、 动态分析不是必须的。但是，当病毒采用了较多的技术手段时，就必须使用动、静相结合的分析方法才能完成整个分析过程。

34、 综上所述，利用原始备份和被检测程序相比较的方法适合于不用专用软件，可以发现异常情况的场合，是一种简单、基本的病毒检测方法；扫描特征串和识别特性字的方法更适用于广大PC机用户使用，

35、 方便而又迅速；但对新出现的病毒会出现漏检的情况，须要与分析和比较法结合使用。

以上就是查杀这篇文章的一些介绍，希望对大家有所帮助。