杀毒软件如何识别病毒？它的原理是什么？

常用的反病毒软件技术签名技术:基于对已知病毒的分析和解决方案的反病毒技术。目前大多数杀毒软件主要采用特征码病毒检测方案和手动杀毒并行的方式，即搜索病毒时使用特征码病毒检测，查杀病毒时使用手动杀毒代码。事实上，签名病毒检测方案是手动病毒检测经验的简单表达。它再现了人工识别病毒的一般方法，采用“同一病毒或相似病毒的某一部分代码相同”的原则。也就是说，如果病毒、它的变种和变种是相同的，就可以描述这个身份，通过程序体和描述结果(也就是“特征码”)的比较就可以找到病毒。并不是所有的病毒都能描述其特征码，很多病毒很难甚至无法用特征码来描述。使用签名技术需要实现一些补充功能，比如最近压缩包和压缩可执行文件的自动查杀技术。然而，签名病毒检测方案也有很大的局限性。签名的描述取决于人的主观因素。要从几千字节的病毒中提取出十几个字节的病毒签名，就需要对病毒进行追踪、反汇编和分析。如果病毒本身有反追踪技术和变形解码技术，追踪反汇编获取特征码就会变得异常复杂。此外，为了提取病毒的签名，需要获得病毒的样本，并且由于对签名的描述不同，签名方法在国际上很难得到广域支持。特征码病毒检测的主要技术缺陷是较大的误检和误报，病毒查杀技术导致杀毒软件的技术滞后。虚拟机技术:启发式检测未知病毒的反病毒技术。虚拟机技术的主要功能是能够运行某种描述语言。因为一个病毒的最终判据是它的复制传染性，而这个判据是不容易被使用和实现的，如果病毒被感染了，肯定会给病毒的清除带来麻烦。那么如何查病毒呢？客观地说，在各种病毒检测方法中，特征值法是应用最广、速度最快、最简单、最有效的方法。但由于其自身的缺陷，只适用于已知的病毒。对于未知的病毒，如果能让病毒在控制下运行一段时间，让它自我恢复，那么问题就相对清楚了。可以说，虚拟机是这种情况下的最佳选择。虚拟机在反病毒软件中应用广泛，已经成为当前反病毒软件的一个趋势。一个相对完整的虚拟机不仅可以识别新的未知病毒，还可以清除未知病毒。我们会发现这个杀毒工具不再是一个程序，而是一台可以和卡斯帕罗夫抗衡的ibm深蓝超级计算机。首先，虚拟机必须提供足够的虚拟来完成或接近完成病毒的“虚拟感染”；其次，虽然根据病毒的定义建立的“感染”的标准是明确的，但是如果这个标准能够执行，在判断病毒的标准上还是会有问题；再次，如果最后一步可以通过，那么就必须检测并确认所谓的“被感染”文件是否真的感染了这种病毒或其变形。目前虚拟机主要对付文件病毒。可引导病毒、word/excel宏病毒、特洛伊木马理论上都可以用虚拟机来处理，但目前的实现水平还差得很远。就像病毒编码的扭曲会使传统的特征值方法失效一样，针对虚拟机的新病毒也很容易使虚拟机失效。虽然虚拟机会在实践中不断发展。而pc的计算能力是有限的，杀毒软件的制造成本也是有限的，病毒的发展可以说是无限的。要让虚拟技术获得更实际的效果，甚至在此基础上清除未知病毒都是非常困难的。受理论上病毒不可确定这一根本前提的制约，实际上无论是启发式还是虚拟机都只能是一种工程上的努力，成功的概率永远不可能达到100%。这是唯一无奈的遗憾。未来的反病毒技术:虚拟现实对于未来技术的前景可能只是一个近乎缥缈的幻想，但就像科幻小说中出现的计算机病毒的最初描述一样，虽然有很多我们还在实现但尚未实现的技术，甚至还有很多我们根本没有考虑到的因素。只要技术足够成熟，网络世界完全有可能出现类似人工智能的反病毒技术。未来反病毒的一个难点是，我们永远无法写出一个合理的程序来识别和查杀病毒。病毒掌握了人类掌握的一切。它还可以识别和分析反病毒程序，并对自身进行重新编程。反病毒程序应该以同样的方式检测病毒，然后自己编程。病毒和杀毒程序的竞争变成了自我编程能力的实现，这种结果只能导致网络空间的紧张甚至崩溃！还可以考虑另一种方式:手动进入计算网络世界查杀病毒。人们有足够的智慧和经验来识别和杀死病毒，而这只剩下在人和计算机之间建立桥梁的问题。目前，虚拟现实技术主要集中在人与人之间原创帖子的自我观看>:& gt