病毒木马查杀的问与答

1 哪种类型病毒难以处理

感染性的病毒，因为这种病毒会破坏文件系统，而如果要恢复文件系统就需要对病毒进行逆向分析。如果是普通的病毒感染，不需要进行逆向分析，就可以编写出来专杀软件。

2 对病毒进行分析的主要方法有哪些

对病毒查杀的主要思路是：
（1）终止病毒进程 （2）删除自启动项目 （3）删除病毒文件 （4）修改注册表关联
（5）恢复感染文件

因此分析病毒的主要方法有两种

• 行为分析：在虚拟机上运行病毒文件，通过systeminternal提供的各类工具找到可疑行为，其中还可以通过系统比对工具完成上述工作。这种方式就是常见的手工杀毒方法。
• 逆向分析：如果病毒感染了可执行文件，它可以在正常文件的PE结构中嵌入可执行代码，因此无法通过进程监控的方法对病毒进行行为分析，所以此时需要借助于逆向分析工具了。

3 病毒查杀方法有哪些

基本原理：杀毒引擎+特征码匹配

查杀方法 时间 首创 方法 优点 缺点 采用此技术公司 特征码 1989—90年代中期 Mcafee 一串表明病毒自身特征的十六进制的字串，一般都选得很长，有时可达数十字节 简单快捷 对变形病毒容易产生错误判断 百度 腾讯 广谱特征 90年代中期—1998年 江民 广谱特征码是一类病毒程序中通用的特征字符串。比如，有10种病毒都使用了一段相同的破坏硬盘的程序，那么把这段程序代码提取出来作特征码，就能达到用一个特征码查10个病毒的功效。 早期使用 无法预判 容易错报 江民 启发式杀毒 1998—2007年 未知 重点在于特征值识别技术上的更新、解决单一特征码比对的缺陷。目的不在于检测所有的未知病毒，只是对特征值扫描技术的补充。 可部分预判未知病毒 有误判，误判率不高 现主流厂商 云查杀 2008—2010年 趋势科技 把原来放在客户端的分析计算能力转移到了服务器端，从而使得客户端变轻了，但要解决服务器计算能力问题 当前流行 无法进入压缩包检测 360 百度 腾讯 人工智能引擎 2010年—至今 360 先通过对病毒样本的分析和分类形成样本向量和向量机，然后建立一个机器学习的决策机模型，利用决策树和向量机对大量样本进行学习，从而识别恶意程序或非恶意程序。 当前 仍有误报 360 百度

近些年，随着去IOE化概念兴起（它是阿里巴巴造出的概念。其本意是，在阿里巴巴的IT架构中，去掉IBM的小型机、Oracle数据库、EMC存储设备，代之以自己在开源软件基础上开发的系统），各个厂商开始热衷于自己制作杀毒引擎。

1. 病毒与杀软的那些事：杀毒引擎的26年发展史， http://goo.gl/b1V9Pi
2. 揭秘杀毒软件20年潜规则：穷则思变，2009年10月， http://goo.gl/0L2UxU
3. 病毒木马查杀第001篇：基本查杀理论与实验环境配置，2014年12月，http://goo.gl/0L2UxU