种特定字符串，就表明发现了该字符串所代表的病毒。•扫描器由两部分组成特征串和扫描算法•选择代码串的规则是代码串不应含有病毒的数据区，数据区是会经常变化的。在保持唯性的前提下，应尽量使特征代码长度短些，以减少时间和空间开销。代码串定要在仔细分析了程序之后才能选出最具代表性的，足以将该病毒区别于其他病毒和该病毒的其他变种的代码串。特征串必须能将病毒与正常的非病毒程序区分开。例如给定特征串为“，则“和“都能被识别出来•其优点包括当特征串选择得很好时，病毒检测软件让计算机用户使用起来方便快速，对文件做个记录。如果木马修改了其中项，就可以分析出来了。备份完成之后把它存为。在计算机上运行感染了“广外女生”病毒的文件，例如双击，然后等小会儿。如果此时发现正在运行着的“天网防火墙”或“金山毒霸”自动退出，就很可能木马已经驻留在系统中了。重新打开，从菜单选,然后单击按钮，把这次的结果存为。从的菜单选择，在中选择打开，在中选择打开，并在下面的单选框中选中，然后单击按钮。这样就开始比较两次记录有什么区别了，当比较完成时会自动打开分析结果文件。为找出木马的驻留位置以及在注册表中的启动项，看，若显示如下信息,年月日则表明两次记录中，没有删除注册表键，修改了处注册表，新增加了处注册表键值，在目录下面新增加了个文件。这个文件非常可疑，因为在比较两次系统信息之间只运行了“广外女生”这个木马，所以有理由相信就是木马留在系统中的后门程序。这时打开任务管理器，可以发现其中有个的进程，这就是木马的原身。但这个时候千万不要删除，否则系统就无法正常运行了。木马般都会在注册表中设置些键值以便以后在系统每次重新启动时能够自动运行。从中可以看到哪些注册表项发生了变化，此时若看到则说明这个键值由原来的被修改成了，这就使得以后每次运行任何可执行文件时都要先运行这个程序。找出木马监听的端口。使用可以轻松的实现这点。在命令行中运行，可以看到计算机病毒查杀本章学习目标•掌握计算机病毒诊断知识•掌握杀毒引擎扫描算法•了解病毒诊断实验•理解计算机病毒清除知识本章内容•计算机病毒的诊断原理方法源码分析•计算机病毒的清除•典型病毒的查杀计算机病毒的诊断内容•计算机病毒的诊断原理•计算机病毒的诊断方法•高速模式匹配•自动诊断的源码分析计算机病毒的诊断原理•用什么来判断染毒后的特征•常用方法比较法校验和扫描法行为监测法行为感染试验法虚拟执行法陷阱技术先知扫描分析法等等比较法•比较法是用原始或正常的对象与被检测的对象进行比较。•手工比较法是发现新病毒的必要方法。•比较法又包括注册表比较法•工具•弱点正常程序也操作注册表文件比较法•通常比较文件的长度和内容两个方面•工具•弱点长度和内容的变化有时是合法的病毒可以模糊这种变化•内存比较法主要针对驻留内存病毒判断驻留特征•中断比较法将正常系统的中断向量与有毒系统的中断向量进行比较•比较法的好处简单•比较法的缺点无法确认病毒，依赖备份校验和法•首先，计算正常文件内容的校验和并且将该校验和写入个位置保存。然后，在每次使用文件前或文件使用过程中，定期地检查文件现在内容算出的校验和与原来保存的校验和是否致，从而可以发现文件是否感染，这种方法叫校验和法，它既可发现已知病毒又可发现未知病毒。•优点方法简单能发现未知病毒被查文件的细微变化也能发现•缺点必须预先记录正常态的校验和会误报警不能识别病毒名称程序执行附加延迟不对付隐蔽性病毒。扫描法•扫描法是用每种病毒体含有的特定字符串对被检测的对象进行扫描。如果在被检测对象内部发现了种特定字符串，就表明发现了该字符串所代表的病毒。•扫描器由两部分组成特征串和扫描算法•选择代码串的规则是代码串不应含有病毒的数据区，数据区是会经常变化的。在保持唯性的前提下，应尽量使特征代码长度短些，以减少时间和空间开销。代码串定要在仔细分析了程序之后才能选出最具代表性的，足以将该病毒区别于其他病毒和该病毒的其他变种的代码串。特征串必须能将病毒与正常的非病毒程序区分开。例如给定特征串为“，则“和“都能被识别出来•其优点包括当特征串选择得很好时，病毒检测软件让计算机用户使用起来方便快速，对病毒了解不多的人也能用它来发现病毒。不用专门软件，用编辑软件也能用特征串扫描法去检测特定病毒。可识别病毒的名称。误报警率低。依据检测结果，可做杀毒处理。•缺点当被扫描的文件很长时，扫描所花时间也较多。不容易选出合适的特征串，有时会发出假警报。新病毒的特征串未加入病毒代码库时，老版本的扫毒程序无法识别出新病毒。怀有恶意的计算机病毒制造者得到代