病毒知识培训PPT专业课件.ppt

反病毒知识培训教程,1,.,第一部分病毒知识,（一）病毒基础知识一、病毒的概念和特点1.病毒的定义计算机病毒从广义上讲，凡能够引起计算机故障，破坏计算机数据、影响计算机的正常运行的指令或代码统称为计算机病毒。在计算机发展过程中，专家和研究者对计算机病毒也做过不尽相同的定义，但一直没有公认的明确定义。在我国，1994年2月18日颁布实施的中华人民共和国计算机信息系统安全保护条例对计算机病毒作出了明确的定义，条例第二十八条中规定：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”,2,第一部分病毒知识,2.病毒的特征破坏性隐藏性传染性潜伏性,3,第一部分病毒知识,破坏性破坏性是计算机病毒的首要特征，不具有破坏行为的指令或代码不能称为计算机病毒。任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响,轻者占用系统资源，降低计算机工作效率，重者窃取数据、破坏数据和程序，甚至导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。良性病度可能只显示些画面或出点音乐、无聊的语句，或者根本没有任何破坏动作，但会占用系统资源，如无法关闭的玩笑程序等。恶性病毒则有明确得目的，或窃取重要信息如银行帐号和密码，或打开后门接受远程控制等。隐蔽性计算机病毒虽然是采用同正常程序一样的技术编写而成，但因为其破坏的目的，因此会千方百计地隐藏自己的蛛丝马迹，以防止用户发现、删除它。病毒通常没有任何可见的界面，并采用隐藏进程、文件等手段来隐藏自己。大部分的病毒的代码之所以设计得非常短小，也是为了隐藏。,4,第一部分病毒知识,传染性计算机病毒同自然界的生物病毒一样也具有传染性。病毒作者为了最大地达到其目的，总会尽力使病毒传播到更多的计算机系统上。病毒通常会通过网络、移动存储介质等各种渠道从已被感染的计算机扩散到未被感染的计算机中，感染型病毒会通过直接将自己植入正常程序的方法来传播。潜伏性许多病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其表现（破坏）模块，如有些病毒会在特定的时间发作。,5,第一部分病毒知识,3.病毒的通用命名规则病毒名是由以下6字段组成的：主行为类型.子行为类型.宿主文件类型.主名称.版本信息.主名称变种号#内部信息其中字段之间使用“.”或“-”分隔，#号以后属于内部信息，为推举结构。主行为类型与病毒子行为类型病毒可能包含多个主行为类型，这种情况可以通过每种主行为类型的危害级别确定危害级别最高的作为病毒的主行为类型。同样的，病毒也可能包含多个子行为类型，这种情况可以通过每种主行为类型的危害级别确定危害级别最高的作为病毒的子行为类型。其中危害级别是指对病毒所在计算机的危害。病毒主行为类型与病毒子行为类型存在对应关系，下表将描述这一对应关系：,6,第一部分病毒知识,7,第一部分病毒知识,8,第一部分病毒知识,9,第一部分病毒知识,10,第一部分病毒知识,11,第一部分病毒知识,宿主文件宿主文件是指病毒所使用的文件类型，目前的宿主文件有以下几种。JS说明：JavaScript脚本文件VBS说明：VBScript脚本文件HTML说明：HTML文件Java说明：Java的Class文件COM说明：Dos下的Com文件EXE说明：Dos下的Exe文件Boot说明：硬盘或软盘引导区Word说明：MS公司的Word文件Excel说明：MS公司的Excel文件PE说明：PE文件WinREG说明：注册表文件Ruby说明：一种脚本Python说明：一种脚本.BAT说明：BAT脚本文件IRC说明：IRC脚本Lisp说明：一种解释语言,12,第一部分病毒知识,主名称病毒的主名称是由分析员根据病毒体的特征字符串、特定行为或者所使用的编译平台来定的，如果无法确定病毒的特征字符串、特定行为或者所使用的编译平台则可以用字符串”Agent”来代替主名称，小于10k大小的文件可以命名为“Samll”。内部信息#号后为内部信息，通常不在杀毒软件上显示，用于杀毒软件厂商标识内部信息。版本信息（只允许为数字）对于版本信息不明确的不加版本信息。主名称变种号如果病毒的主行为类型、行为类型、宿主文件类型、主名称均相同，则认为是同一家族的病毒，这时需要变种号来区分不同的病毒记录。变种号为不写字母az，如果一位版本号不够用则最多可以扩展3位，如：aa、ab、aaa、aab以此类推。由系统自动计算，不需要人工输入或选择。,13,第一部分病毒知识,病毒长度病毒长度字段只用于主行为类型为感染型（Virus）的病毒，字段的值为数字。当字段值为0时，表示病毒长度是可变的。病毒命名举例：Trojan.PSW.Win32.QQPass.aBackdoor.Win32.Gpigeon.bWorm.Win32.Nimaya.bz,14,第一部分病毒知识,三、病毒技术的发展历史和现状1.病毒的产生计算机病毒不是来源于突发或偶然的原因，一次突发的停电和偶然的错误，会在计算机的磁盘和内存中产生一些乱码和随机指令，但这些代码是无序和混乱的，而计算机病毒则是一种比较完美的，精巧严谨的代码，按照严格的秩序组织起来，与所在的系统网络环境相适应和配合。计算机病毒不会通过偶然形成，并且需要有一定的长度，这个基本的长度从概率上来讲是不可能通过随机代码产生的。计算机病毒是人为的特制程序，是由人为故意编写的，多数计算机病毒可以找到作者信息和产地信息，通过大量的资料分析统计来看，病毒作者主要的情况和目的是：表现和炫耀自己的能力一些天才的程序员为了表现自己和证明自己的能力,15,第一部分病毒知识,为了经济或其它利益如盗取网络银行密码窃取钱财等其它原因因政治，军事，宗教，民族等方面的原因而专门编写的病毒,16,第一部分病毒知识,2.病毒的发展历史电脑病毒的起源：电脑病毒的概念其实源起相当早，在第一部商用电脑出现之前好几年时，电脑的先驱者冯诺伊曼（JohnVonNeumann）在他的一篇论文复杂自动装置的理论及组识的进行里，已经勾勒出病毒程序的蓝图。不过在当时，绝大部分的电脑专家都无法想像会有这种能自我繁殖的程序。1975年，美国科普作家约翰布鲁勒尔（JohnBrunner）写了一本名为震荡波骑士（ShockWaveRider）的书，该书第一次描写了在信息社会中，计算机作为正义和邪恶双方斗争的工具的故事，成为当年最佳畅销书之一。,17,第一部分病毒知识,1977年夏天，托马斯捷瑞安（Thomas.J.Ryan）的科幻小说P-1的春天（TheAdolescenceofP-1）成为美国的畅销书，作者在这本书中描写了一种可以在计算机中互相传染的病毒，病毒最后控制了7,000台计算机，造成了一场灾难。虚拟科幻小说世界中的东西，在几年后终于逐渐开始成为电脑使用者的噩梦。而差不多在同一时间，美国著名的AT&T贝尔实验室中，三个年轻人在工作之余，很无聊的玩起一种游戏:彼此撰写出能够吃掉别人程序的程序来互相作战。这个叫做“磁芯大战”（corewar）的游戏，进一步将电脑病毒“感染性”的概念体现出来。1983年11月3日，一位南加州大学的学生弗雷德科恩（FredCohen）在UNIX系统下，写了一个会引起系统死机的程序，但是这个程序并未引起一些教授的注意与认同。科恩为了证明其理论而将这些程序以论文发表，在当时引起了不小的震撼。科恩的程序，让电脑病毒具备破坏性的概念具体成形。不过，这种具备感染与破坏性的程序被真正称之为病毒，则是在两年后的一本科学美国人的月刊中。一位叫作杜特尼（A.K.Dewdney）的专栏作家在讨论磁芯大战与苹果二型电脑（别怀疑，当时流行的正是苹果二型电脑，在那个时侯，我们熟悉的PC根本还不见踪影）时，开始把这种程序称之为病毒。从此以后我们对于这种具备感染或破坏性的程序，终于有一个病毒的名字可以称呼了。,18,第一部分病毒知识,第一个计算机病毒:到了1987年，第一个电脑病毒C-BRAIN终于诞生了（这似乎不是一件值得庆贺的事）。一般而言，业界都公认这是真正具备完整特征的电脑病毒始祖。这个病毒程序是由一对巴基斯坦兄弟：巴斯特（Basit）和阿姆捷特（Amjad）所写的，他们在当地经营一家贩卖个人电脑的商店，由于当地盗拷软件的风气非常盛行，因此他们的目的主要是为了防止他们的软件被任意盗拷。只要有人盗拷他们的软件，C-BRAIN就会发作，将盗拷者的硬盘剩余空间给吃掉。这个病毒在当时并没有太大的杀伤力，但后来一些有心人士以C-BRAIN为蓝图，制作出一些变形的病毒。而其他新的病毒创作，也纷纷出笼，不仅有个人创作，甚至出现不少创作集团（如NuKE,Phalcon/Skism,VDV）。各类扫毒、防毒与杀毒软件以及专业公司也纷纷出现。一时间，各种病毒创作与反病毒程序，不断推陈出新，如同百家争鸣。,19,第一部分病毒知识,病毒发展发展阶段在病毒的发展史上，病毒的出现是有规律的，一般情况下一种新的病毒技术出现后，病毒迅速发展，接着反病毒技术的发展会抑制其流传。同时，操作系统进行升级时，病毒也会调整为新的方式，产生新的病毒技术。总的说来，病毒可以分为以下几个发展阶段：DOS引导阶段1987年，电脑病毒主要是引导型病毒，具有代表性的是“小球”和“石头”病毒。由于，那时的电脑硬件较少，功能简单，一般需要通过软盘启动后使用。而引导型病毒正是利用了软盘的启动原理工作，修改系统启动扇区，在电脑启动时首先取得控制权，减少系统内存，修改磁盘读写中断，影响系统工作效率，在系统存取磁盘时进行传播。DOS可执行阶段1989年，可执行文件型病毒出现，它们利用DOS系统加载执行文件的机制工作，如“耶路撒冷”，“星期天”等病毒。可执行型病毒的病毒代码在系统执行文件时取得控制权，修改DOS中断，在系统调用时进行传染，并将自己附加在可执行文件中，使文件长度增加。1990年，发展为复合型病毒，可感染COM和EXE文件。,20,第一部分病毒知识,伴随体型阶段1992年，伴随型病毒出现，它们利用DOS加载文件的优先顺序进行工作。具有代表性的是“金蝉”病毒，它感染EXE文件的同时会生成一个和EXE同名的扩展名为COM伴随体；它感染COM文件时，改为原来的COM文件为同名的EXE文件，在产生一个原名的伴随体，文件扩展名为COM。这样，在DOS加载文件时，病毒会取得控制权，优先执行自己的代码。该类病毒并不改变原来的文件内容，日期及属性，解除病毒时只要将其伴随体删除即可，非常容易。其典型代表的是“海盗旗”病毒，它在得到执行时，询问用户名称和口令，然后返回一个出错信息，将自身删除。变形阶段1994年，汇编语言得到了长足的发展。要实现同一功能，通过汇编语言可以用不同的方式进行完成，这些方式的组合使一段看似随机的代码产生相同的运算结果。而典型的多形病毒幽灵病毒就是利用这个特点，每感染一次就产生不同的代码。例如“一半”病毒就是产生一段有上亿种可能的解码运算程序，病毒体被隐藏在解码前的数据中，查解这类病毒就必须能对这段数据进行解码，加大了查毒的难度。多形型病毒是一种综合性病毒，它既能感染引导区又能感染程序区，多数具有解码算法，一种病毒往往要两段以上的子程序方能解除。变种阶段1995年，在汇编语言中，一些数据的运算放在不同的通用寄存器中，可运算出同样的结果，随机的插入一些空操作和无关命令，也不影响运算的结果。这样，某些解码算法可以由生成器生成不同的变种。其代表作品“病毒制造机”VCL，它可以在瞬间制造出成千上万种不同的病毒，查解时不能使用传统的特征识别法，而需要在宏观上分析命令，解码后查解病毒，大大提高了复杂程度。,21,第一部分病毒知识,网络、蠕虫阶段随着网络的普及，病毒开始利用网络进行传播，它们只是以上几代病毒的改进。在Windows操作系统中，“蠕虫”是典型的代表，它不占用除内存以外的任何资源，不修改磁盘文件，利用网络功能搜索网络地址，将自身向下一地址进行传播，有时也在网络服务器和启动文件中存在。Windows视窗阶段1996年，随着Windows的日益普及，利用Windows进行工作的病毒开始发展，它们修改（NE，PE）文件，典型的代表是DS.3873，这类病毒的急智更为复杂，它们利用保护模式和API调用接口工作，解除方法也比较复杂。宏病毒阶段1996年，随着MSOffice功能的增强及盛行，使用Word宏语言也可以编制病毒，这种病毒使用类Basic语言，编写容易，感染Word文件文件。由于Word文件格式没有公开，这类病毒查解比较困难。互联网阶段1997年，随着因特网的发展，各种病毒也开始利用因特网进行传播和破坏，利用邮件、网络即时聊天软件等进行传播的蠕虫病毒开始大量出现。随着网上购物、网上银行等电子商务的发展以及网络游戏的发展，盗取网银帐号、网游帐号等用户敏感信息的木马程序逐渐开始流行泛滥。近两几年来利用网络去下载其它病毒的“下载者”病毒开始大量出现。,22,第一部分病毒知识,3.病毒的当前发展趋势具有较强的目的性目前流行的病毒作者编写计算机病毒绝大多数都具有较强的目的性，如盗取敏感信息、远程控制用户等，只是为了炫耀能力或开玩笑的计算机病毒只占很小的一部分。在这些目的中，经济利益成为病毒作者主要的驱动力，以窃取钱财或网络虚拟财产（如网游装备）为目的盗号病毒的在流行病毒中占有极大的比例。加壳和免杀等反杀毒技术的广泛使用面对杀毒软件的发展和普及，对抗杀毒软件已经成为计算机病毒生存的关键，因此病毒也开始利用各种技术来避免被杀毒软件查杀，甚至主动破坏杀毒软件。通过使用加壳软件加壳、使用免杀技术(手动或自动地修改程序代码)来逃避杀毒软件的特征码扫描的方法已经被广泛使用，通过破坏杀毒软件、使用Rootkit技术来防止被杀毒软件杀毒的方法也开始越来越多地被应用。,23,第一部分病毒知识,病毒下载行为成为主流互联网的发展使信息的传播更加方便迅速，计算机病毒也同样紧跟技术的发展，用于下载病毒的病毒(下载者)广泛流行并呈上升趋势，而且这种病毒行为已经逐渐成为病毒必备的一种能力。病毒作者通过更新病毒网址的内容，使一个下载型病毒可以不断下载不同的病毒或更新自己。多种病毒技术和病毒行为相结合同时使用多种病毒技术、具有多种病毒行为成为当前计算机病毒的趋势之一。下载、漏洞利用、反杀毒软件等病毒技术常常被结合使用，病毒的复杂程度大大提高。Rootkit技术的应用Rootkit一词最早来自于Unix系统，是Root和kit合成出的一个词。在Unix下，Root指根权限，即Unix系统最高的权限，Kit是工具包的意思，因此最早在Unix系统中出现的Rootkit概念是指获取、拥有根权限的工具包。随着发展，这个概念的意义也更广泛了，指那些常驻于系统中、可以为其它程序提供隐藏行为或现象的服务的一组程序或代码。现在，病毒也越来越多的使用Rootkit来隐藏自己的进程、文件和注册表项等，由于Rootkit多使用系统比较核心的技术、拥有更高的系统权限，因此对由Rootkit保护的病毒的查杀也变得更加困难。,24,第一部分病毒知识,出现有组织地制造、传播、使用计算机病毒的产业链从熊猫烧香（Wrom.Nimaya）病毒发作的事件中，我们可以看到现在的计算机病毒的制造、传播和使用已经逐渐成为一个地下产业，病毒的制造者、传播者和使用者进行分工合作来达到他们的目的。病毒制造者制造病毒并出卖进行获利，病毒传播者通过帮助病毒使用者尽量更广泛的传播病毒来获利，而病毒使用者则为了盗取网络财产、增加点击量等目的购买并使用病毒。现在在互联网上可以看到许多兜售病毒制造机、免杀工具的信息，同时还有许多病毒制造和使用者同黑客合作的案例。种种迹象表明，计算机病毒的制造、传播和使用正在逐渐形成一个地下产业。,25,第一部分病毒知识,三、涉及病毒的一些计算机知识的介绍1.进程与线程(Process/Thread)2.动态链接库(DynamicLinkLibrary),26,第一部分病毒知识,3.窗口与消息4.PE文件简介PortableExecutable（可移植的执行体）5.服务与驱动（Services/Drivers）,27,第一部分病毒知识,6.WindowsAPI简介,28,第一部分病毒知识,（二）、病毒的基本结构和工作流程一、病毒的基本结构和工作流程1.病毒的基本功能模块计算机病毒同正常的程序一样，也是一种计算机程序，使用的是同样的编程方法，只是它们使用同样技术的目的与同正常程序不同。要了解病毒的机制和实现，我们要紧紧抓住病毒的特征和目的入手。病毒的特征是：破坏性、隐藏性、传染性、潜伏性，要实现这些特性，就必然有相应的结构和功能代码。除了为实现这些特性的功能代码，病毒一般还都会实现自启动和自我保护的功能。作为计算机病毒，一般都会有如下的功能代码和结构：隐藏性的实现因为为病毒要实现不可告人的目的，因此除了如病毒生成器、玩笑程序等，绝大多数病毒会想方设法地隐藏自己，尽量不被用户发现。为了没有用户可见的界面，病毒会采用不生成窗口或隐藏窗口的方法来达到目的。为了隐藏进程，病毒常常会使用注入等手段。除了隐藏界面和进程，病毒通常还会设法隐藏自己的文件和注册表项。除了上面介绍的方法外，感染可执行程序，隐藏自己于正常程序文件中，也是病毒实现隐藏的一种方法。,29,第一部分病毒知识,传染性的实现病毒总是希望最大限度的复制自己到更多的计算机，以便实现最大限度的破坏。病毒要传播到其它计算机离不开传播介质，可移动存储介质和网络就成为病毒传染的必备途径。对于软盘、U盘、可移动硬盘等，病毒通常采用写入病毒和autorun.inf的方法进行传染。随着网络的普及，利用网络进行传播已经成为病毒传播的主要手段，所采用的方法也相对较多。采用网络进行传播常见的方法有：利用网络共享进行传播、利用邮件系统进行传播、利用即时聊天软件进行传播等。破坏性的实现病毒的破坏性功能体现了病毒作者的最终目的，其种类也相对较多。盗取信息远程控制下载病毒弹出广告删除文件,30,第一部分病毒知识,自启动的实现计算机病毒也是程序，只有被执行起来才能实现其功能，因此病毒也会利用各种方法使自己在计算机每次启动后就能运行起来。实现自启动主要的方法是利用系统提供的机制，如Windows下注册表中的启动项、注册为服务程序等。另外，感染正常程序，尤其是系统程序，也可以达到病毒实现自启动的目的。自我保护的实现计算机病毒为了实现自己传染、破坏等目的，也会利用各种方法保护自己，使自己不被发现，不被清除。为了隐藏自己的行踪，病毒通常会设法隐藏自己的文件、进程和自启动的注册表项等。作为保护自己的另一种方法，病毒常常会主动破坏杀毒软件，通过破坏杀毒软件文件等手段使其丧失功能，以此来保护自己。,31,第一部分病毒知识,2.病毒常见结构文件结构功能结构,32,第一部分病毒知识,二、病毒的通用工作流程1.初始化2.对抗杀毒软件3.自我保护4.传染5.破坏工作,33,第一部分病毒知识,（三）、病毒的通用手段和技术一、病毒的自启动技术1.系统启动的流程2.利用系统的启动机制启动3.通过感染、修改其它文件启动,34,第一部分病毒知识,二、代码注入的技术与作用1.代码注入的概念和作用2.代码注入的常见方法3.病毒进行代码注入的目的,35,第一部分病毒知识,三、钩子技术的原理和作用1.钩子技术的原理和作用2.钩子的常见类型3.钩子的常见方法,36,第一部分病毒知识,四、文件感染1.文件感染的原理2.文件感染的常见类型3.被感染文件的发现和清理,37,第一部分病毒知识,五、病毒传播的常见方法1.可移动媒体传播2.文件感染传播3.网页挂马传播4.下载器传播5.邮件传播6.即时通信软件传播,38,第一部分病毒知识,六、下载文件常见方法1.下载的常见方法2.穿越防火墙的常见方法,39,第一部分病毒知识,七、密码的盗取常见技术手段1.密码盗取的常见方法2.发送盗取的信息的常见方法,40,第一部分病毒知识,八、rootkit技术1.rootkit的概念和原理Rootkit一词最早来自于Unix系统，是Root和kit合成出的一个词。在Unix下，Root指根权限，即Unix系统最高的权限，Kit是工具包的意思，因此最早在Unix系统中出现的Rootkit概念是指获取、拥有根权限的工具包。随着发展，这个概念的意义也更广泛了，指那些常驻于系统中、可以为其它程序提供隐藏行为或现象的服务的一组程序或代码。2.rootkit的作用3.内核钩子,41,第一部分病毒知识,(四)、病毒的自我保护一、加壳与免杀技术的原理和应用1.壳、免杀的概念和原理2.脱壳查杀和虚拟机技术,42,第一部分病毒知识,二、病毒自我保护的常见手段1.病毒进程的自我保护2.病毒文件的自我保护3.病毒的其它自我保护,43,第一部分病毒知识,三、病毒对抗反病毒软件和监控软件的常见方法1.破坏反病毒软件的运行2.对抗杀毒软件的查毒3.通过反病毒软件的限制,44,第一部分病毒知识,(五)、病毒实例演示与分析,45,第二部分反病毒的技术,（一）反病毒的技术一、反病毒技术的发展在80年代中期，计算机病毒开始流行，种类不多，但危害很大，往往一个简单的病毒就能在短时间内传播到世界的各个国家和地区。随着病毒的流行，对计算机病毒的研究、分析和查杀的也开始发展起来。最早期的反病毒程序都是针对某个病毒编写的专杀工具，只能一对一的查杀单个病毒，随着80年代末计算机病毒数量的急剧膨胀，这种一对一的杀毒程序显然已无法适用。这个时候，开始形成了通用反病毒技术，针对大量的病毒的处理，反病毒软件开始了模块化分工，具备扫描模块、清除模块、特征库等。同时，反病毒的各种外围技术也开始如火如荼的发展起来，如主动监控、完整性检查、免疫技术等等。到90年代中期，病毒数量、技术继续提高，随之出现了“查杀防合一”的集成化反病毒产品，把各种反病毒技术有机地组合到一起共同对计算机病毒作战。,46,第二部分反病毒的技术,在80年代中期，计算机病毒开始流行，种类不多，但危害很大，往往一个简单的病毒就能在短时间内传播到世界的各个国家和地区。随着病毒的流行，对计算机病毒的研究、分析和查杀的也开始发展起来。最早期的反病毒程序都是针对某个病毒编写的专杀工具，只能一对一的查杀单个病毒，随着80年代末计算机病毒数量的急剧膨胀，这种一对一的杀毒程序显然已无法适用。这个时候，开始形成了通用反病毒技术，针对大量的病毒的处理，反病毒软件开始了模块化分工，具备扫描模块、清除模块、特征库等。同时，反病毒的各种外围技术也开始如火如荼的发展起来，如主动监控、完整性检查、免疫技术等等。到90年代中期，病毒数量、技术继续提高，随之出现了“查杀防合一”的集成化反病毒产品，把各种反病毒技术有机地组合到一起共同对计算机病毒作战。,47,第二部分反病毒的技术,反病毒技术经过多年的发展，已经取得了很大的进步，其发展过程大致可划分如下：第一代反病毒技术采取单纯的病毒特征诊断，但是对加密、变形的新一代病毒无能为力；第二代反病毒技术采用静态广谱特征扫描技术，可以检测变形病毒，但是误报率高，杀毒风险大；第三代反病毒技术将静态扫描技术和动态仿真跟踪技术相结合；第四代反病毒技术基于病毒家族体系的命名规则，基于多位CRC校验和扫描机理、启发式智能代码分析模块、动态数据还原模块（能查出隐蔽性极强的压缩加密文件中的病毒）、内存解毒模块、自身免疫模块等先进解毒技术，采用多种技术结合的方法进行病毒查杀。,48,第二部分反病毒的技术,二、常见反病毒技术特征码扫描技术特征码扫描技术出现的很早，但至今依然是大多数反病毒软件采用的主要病毒扫描方法。特征码查毒技术实际上是人工查毒经验的简单表述，它再现了人工辨识病毒的一般方法，采用了“同一病毒或同类病毒的某一部分代码相同”的原理，也就是说，如果病毒及