这个问题答案可大可大了....
早期呢...杀软是通过特征码杀毒,就是分析已经认定是病毒的程序,在反汇编里找出做坏事的代码段...如果以后扫描到其他文件这样代码,就认定为病毒,杀之.(当然特征代码不止一小段,多重判断)
后来呢,杀软发现不对劲了...这样杀软的工作人员鸭梨很大,他们整天分析病毒可累可累了...然后就出现了启发式杀毒,能对一些未知的病毒做出判断,原理还是对已有的病毒关键代码分析,判断其类型可能会出现的变种,杀之.
再后来呢,杀软的技术人员不爽,他们要求减负,所以想出了行为查杀,在瘟都死里,任何程序的执行是靠API函数实现的,病毒的运行也不例外,杀软在系统的最底层HOOK这些关键函数,比如执行函数..当一个程序运行时,它的所有操作会被杀软截获,比如一个木马同时运行下载和运行的操作...即使这个木马之前未出现过(即不会被特征码方式查杀),但是行为查杀依然会发现它的可疑行径,杀之.
现在呢,有了云查杀.....不打了...累死偶了...打这么多字...更多知识你感兴趣自个上搜去吧....
一般情况下就是在已知的情况下查寻的,举个例子。
A君是是平民,可是有一天他杀人了,那A君就是罪犯了。公安就要去抓他。而公安就是杀毒软件,而A君没有犯法前是一般软件,犯法后就是病毒。当A君危害社会时,也就是说当当一般软件变为病毒时,那么杀毒软件就会去识别了。现在的杀毒软件基本就是这个情况。
像当年熊猫这样,开始没有人意识这个软件会危害到社会,所以很多人的杀毒软件都杀不了它,后来杀毒软件加了其它的功能才杀了熊猫的。
把病毒源码存在病毒库里面
如果扫描到的文件含有病毒源码
就视为病毒
或者文件的操作行为疑是非法行为 都能检测出来的
杀软有自己的病毒库 进行扫描比对
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024