如何自己制作杀毒软件？

杀毒软件杀毒的原理是什么杀毒软件杀毒的

病毒检测的方法 　　在与病毒的对抗中，及早发现病毒很重要。早发现，早处置，可以减少损失。检测病毒方法有：特征代码法、校验和法、行为监测法、软件模拟法 　　这些方法依据的原理不同，实现时所需开销不同，检测范围不同，各有所长。 　　特征代码法 　　特征代码法被早期应用于SCAN、CPAV等著名病毒检测工具中。国外专家认为特征代码法是检测已知病毒的最简单、开销最小的方法。 　　特征代码法的实现步骤如下： 　　采集已知病毒样本，病毒如果既感染COM文件，又感染EXE文件，对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。 　　在病毒样本中，抽取特征代码。依据如下原则： 　　抽取的代码...全部

  病毒检测的方法 　　在与病毒的对抗中，及早发现病毒很重要。早发现，早处置，可以减少损失。检测病毒方法有：特征代码法、校验和法、行为监测法、软件模拟法 　　这些方法依据的原理不同，实现时所需开销不同，检测范围不同，各有所长。
   　　特征代码法 　　特征代码法被早期应用于SCAN、CPAV等著名病毒检测工具中。国外专家认为特征代码法是检测已知病毒的最简单、开销最小的方法。 　　特征代码法的实现步骤如下： 　　采集已知病毒样本，病毒如果既感染COM文件，又感染EXE文件，对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。
   　　在病毒样本中，抽取特征代码。依据如下原则： 　　抽取的代码比较特殊，不大可能与普通正常程序代码吻合。抽取的代码要有适当长度，一方面维持特征代码的唯一性，另一方面又不要有太大的空间与时间的开销。
  如果一种病毒的特征代码增长一字节，要检测3000种病毒，增加的空间就是3000字节。在保持唯一性的前提下，尽量使特征代码长度短些，以减少空间与时间开销。 　　在既感染COM文件又感染EXE文件的病毒样本中，要抽取两种样本共有的代码。
  将特征代码纳入病毒数据库。 　　打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码，由于特征代码与病毒一一对应，便可以断定，被查文件中患有何种病毒。
   　　采用病毒特征代码法的检测工具，面对不断出现的新病毒，必须不断更新版本，否则检测工具便会老化，逐渐失去实用价值。病毒特征代码法对从未见过的新病毒，自然无法知道其特征代码，因而无法去检测这些新病毒。
   　　特征代码法的优点是：检测准确快速、可识别病毒的名称、误报警率低、依据检测结果，可做解毒处理。其缺点是：不能检测未知病毒、搜集已知病毒的特征代码，费用开销大、在网络上效率低（在网络服务器上，因长时间检索会使整个网络性能变坏）。
   　　其特点： 　　A。速度慢。随着病毒种类的增多，检索时间变长。如果检索5000种病毒，必须对5000个病毒特征代码逐一检查。如果病毒种数再增加，检病毒的时间开销就变得十分可观。
  此类工具检测的高速性，将变得日益困难。 　　B。误报警率低。 　　非C。不能检查多形性病毒。特征代码法是不可能检测多态性病毒的。国外专家认为多态性病毒是病毒特征代码法的索命者。
   　　D。不能对付隐蔽性病毒。隐蔽性病毒如果先进驻内存，后运行病毒检测工具，隐蔽性病毒能先于检测工具，将被查文件中的病毒代码剥去，检测工具的确是在检查一个虚假的“好文件”，而不能报警，被隐蔽性病毒所蒙骗。
   　　校验和法 　　将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染，这种方法叫校验和法，它既可发现已知病毒又可发现未知病毒。
  在SCAN和CPAV工具的后期版本中除了病毒特征代码法之外，还纳入校验和法，以提高其检测能力。 　　这种方法既能发现已知病毒，也能发现未知病毒，但是，它不能识别病毒类，不能报出病毒名称。
  由于病毒感染并非文件内容改变的唯一的非他性原因，文件内容的改变有可能是正常程序引起的，所以校验和法常常误报警。而且此种方法也会影响文件的运行速度。 　　病毒感染的确会引起文件内容变化，但是校验和法对文件内容的变化太敏感，又不能区分正常程序引起的变动，而频繁报警。
  用监视文件的校验和来检测病毒，不是最好的方法。 　　这种方法遇到下述情况：已有软件版更新、变更口令、修改运行参数、校验和法都会误报警。 　　校验和法对隐蔽性病毒无效。隐蔽性病毒进驻内存后，会自动剥去染毒程序中的病毒代码，使校验和法受骗，对一个有毒文件算出正常校验和。
   　　运用校验和法查病毒采用三种方式： 　　①在检测病毒工具中纳入校验和法，对被查的对象文件计算其正常状态的校验和，将校验和值写入被查文件中或检测工具中，而后进行比较。 　　②在应用程序中，放入校验和法自我检查功能，将文件正常状态的校验和写入文件本身中，每当应用程序启动时，比较现行校验和与原校验和值。
  实现应用程序的自检测。 　　③将校验和检查程序常驻内存，每当应用程序开始运行时，自动比较检查应用程序内部或别的文件中预先保存的校验和。 　　校验和法的优点是：方法简单能发现未知病毒、被查文件的细微变化也能发现。
  其缺点是：发布通行记录正常态的校验和、会误报警、不能识别病毒名称、不能对付隐蔽型病毒。 　　行为监测法 　　利用病毒的特有行为特征性来监测病毒的方法，称为行为监测法。通过对病毒多年的观察、研究，有一些行为是病毒的共同行为，而且比较特殊。
  在正常程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警。 　　这些做为监测病毒的行为特征如下： 　　A。占有INT 13H 　　所有的引导型病毒，都攻击Boot扇区或主引导扇区。
  系统启动时，当Boot扇区或主引导扇区获得执行权时，系统刚刚开工。一般引导型病毒都会占用INT 13H功能，因为其他系统功能未设置好，无法利用。引导型病毒占据INT 13H功能，在其中放置病毒所需的代码。
   　　B。改DOS系统为数据区的内存总量 　　病毒常驻内存后，为了防止DOS系统将其覆盖，必须修改系统内存总量。 　　C。对COM、EXE文件做写入动作 　　病毒要感染，必须写COM、EXE文件。
   　　D。病毒程序与宿主程序的切换 　　染毒程序运行中，先运行病毒，而后执行宿主程序。在两者切换时，有许多特征行为。 　　行为监测法的长处：可发现未知病毒、可相当准确地预报未知的多数病毒。
  行为监测法的短处：可能误报警、不能识别病毒名称、实现时有一定难度。 　　软件模拟法 　　多态性病毒每次感染都变化其病毒密码，对付这种病毒，特征代码法失效。因为多态性病毒代码实施密码化，而且每次所用密钥不同，把染毒的病毒代码相互比较，也无法找出相同的可能做为特征的稳定代码。
  虽然行为检测法可以检测多态性病毒，但是在检测出病毒后，因为不知病毒的种类，难于做消毒处理 ----这些做为监测病毒的行为特征如下： ----A。占有INT 13H ----所有的引导型病毒，都攻击Boot扇区或主引导扇区。
  系统启动时，当Boot扇区或主引导扇区获得执行权时，系统刚刚开工。一般引导型病毒都会占用INT 13H功能，因为其他系统功能未设置好，无法利用。引导型病毒占据INT 13H功能，在其中放置病毒所需的代码。
   ----B。改DOS系统为数据区的内存总量 ----病毒常驻内存后，为了防止DOS系统将其覆盖，必须修改系统内存总量。 ----C。对COM、EXE文件做写入动作 ----病毒要感染，必须写COM、EXE文件。
   ----D。病毒程序与宿主程序的切换 ----染毒程序运行中，先运行病毒，而后执行宿主程序。在两者切换时，有许多特征行为。 ----行为监测法的长处：可发现未知病毒、可相当准确地预报未知的多数病毒。
  行为监测法的短处：可能误报警、不能识别病毒名称、实现时有一定难度。 ----软件模拟法 ----多态性病毒每次感染都变化其病毒密码，对付这种病毒，特征代码法失效。因为多态性病毒代码实施密码化，而且每次所用密钥不同，把染毒的病毒代码相互比较，也无法找出相同的可能做为特征的稳定代码。
  虽然行为检测法可以检测多态性病毒，但是在检测出病毒后，因为不知病毒的种类，难于做消毒处理。 ----计算机病毒的防治策略 ----计算机病毒的防治要从防毒、查毒、解毒三方面来进行；系统对于计算机病毒的实际防治能力和效果也要从防毒能力、查毒能力和解毒能力三方面来评判。
   ----“防毒”是指根据系统特性，采取相应的系统安全措施预防病毒侵入计算机。“查毒”是指对于确定的环境，能够准确地报出病毒名称，该环境包括，内存、文件、引导区（含主导区）、网络等。“解毒”是指根据不同类型病毒对感染对象的修改，并按照病毒的感染特性所进行的恢复。
  该恢复过程不能破坏未被病毒修改的内容。感染对象包括：内存、引导区（含主引导区）、可执行文件、文档文件、网络等。 ----防毒能力是指预防病毒侵入计算机系统的能力。通过采取防毒措施，应可以准确地、实时地监测预警经由光盘、软盘、硬盘不同目录之间、局域网、因特网（包括FTP方式、E-MAIL、HTTP方式）或其它形式的文件下载等多种方式进行的传输；能够在病毒侵入系统是发出警报，记录携带病毒的文件，即时清除其中的病毒；对网络而言，能够向网络管理员发送关于病毒入侵的信息，记录病毒入侵的工作站，必要时还要能够注销工作站，隔离病毒源。
   ----查毒能力是指发现和追踪病毒来源的能力。通过查毒应该能准确地发现计算机系统是否感染有病毒，并准确查找出病毒的来源，并能给出统计报告；查解病毒的能力应由查毒率和误报率来评判。 ----解毒能力是指从感染对象中清除病毒，恢复被病毒感染前的原始信息的能力；解毒能力应用解毒率来评判。
   杀毒软件有3种工作方法 1、比对病毒库中的病毒特征，如果特征符合，即判断为病毒。这是绝大多数单机杀毒软件的杀毒方法，使用这种方法直接了当，缺点是必须定期升级病毒库，否则对新出现的病毒没有用，查毒的时候要一个一个文件的来，速度慢。
   2、记录文件的特征，比如大小、性质、创建修改时间等，一旦发现异常即开始检查是否有病毒。 3、对未知程序进行模拟运行，一旦发现其有危害就判定位病毒。这种方法是最好的，但是不用在单机上。 病毒扫描技术的发展历程 前言 病毒与反病毒从来就是魔与道的关系，在彼此角逐中交替占着上风。
  自1986年第一个广泛传播的电脑病毒“大脑”诞生以来，病毒已经走过了18年的历程，与此同时，反病毒技术也经历了从简单到复杂、从原始到成熟的一个过程。病毒扫描技术是反病毒技术的重要组成部分，是反病毒引擎的核心力量，从最早的检验法到特征码法，反病毒技术初次定型，未知病毒检测技术的崛起，则使反病毒真正进入了一个新时代，它代表着未来反病毒的主流力量。
   病毒扫描技术的“雏鹰”--检验法 世界第一个病毒--“大脑”的诞生，不但揭开了病毒编写的序幕，也同时引起了另一些技术人员的兴趣，他们开始研究对付病毒的方法，于是产生了最早的反病毒技术--检验法。
   检验法的目的是发现系统是否被病毒感染，它本身不具备清除能力，大脑病毒在系统中长时间的潜伏和大面积的爆发，使人们直接产生了找出病毒的动机。早期的病毒主要是通过感染可执行文件来进行传播，病毒感染后，文件的大小和生成日期都会发生变化，检验法就是预先储存一些系统可执行文件的大小和产生日期的记录，然后对整个系统的所有可执行文件进行扫描，当发现文件的大小或日期被改动时，则就判断该系统已经中毒，然后就可以采用重新安装系统的方法来恢复被感染的系统。
   这种方法有一个缺点，就是只能查出病毒，却不能清除，而且只能判断系统文件是否感染，对于一些第三方的程序就无能为力了。不过，该方法的诞生引起了病毒编写者的高度重视，以后的病毒在感染可执行文件时都会尽量保留文件的原始时间，以躲避该方法的追捕。
   病毒扫描技术的“霸主”--特征码技术 特征码技术是反病毒历史上最耀眼的名星，它不但开了可以清除病毒的先河，也为以后反病毒技术的发展打下了一个无比坚实的基础，时值今日，该技术仍然是反病毒软件的主要技术。
   特征码技术抛弃了检验法的那种预先存储文件信息的方法，而是真正以病毒为对象，通过分析病毒的独有的特征来鉴别病毒，是对付象“黑色星期五”这种系统病毒的利器。“黑色星期五”在病毒史上可以和“大脑”病毒比肩，会感染扩展名为。
  exe和。com的可执行文件，每逢星期五又恰逢13号时会发作，删除电脑中的所有可执行文件，使系统崩溃。 该病毒在感染的过程中会写文件，由于病毒本身的大小不同，病毒在写文件时的内容缓冲地址就是一个唯一的值，将病毒写文件的这段代码的二进制字符串保存下来，就形成了唯一的病毒特征码，只要用这个特征码对所有可执行文件进行匹配，就能很快发现病毒。
  由于病毒会寄生到正常程序体内然后修改程序文件的入口指针，因此只要了解了病毒的寄生规则和入口指针的存放地址，就象做手术一样，就可以将病毒从被感染的文件中摘除。 特征码技术一开始是采用全文检索的方式，速度很慢，但是反来被反病毒大师“所罗门”进行了改进，创出了“偏移量+特征码”的全新的特征码技术，奠定了特征码在整个病毒扫描技术的王者地位并沿用至今，即使是今天，它也是最优秀的病毒扫描技术。
   对付变形病毒的“屠刀”--广谱特征码法 曾几何时，变形技术得到了发展，变形病毒纷纷出笼，从最初的几十种变形、发展到上万种、甚至几十万种变形，“半条命”与“幽灵王”就是这一时期最具代表的病毒。
  这类病毒有一个共同的特征，就是病毒本身带一个变形引擎，每感染一次，就会根据当时情况将自己变形一次，这时传统的特征码法就会失效，但是，这些变形都是有限的变形，因为病毒无论如何变形，它的变形引擎部分和一些关键的代码指令都不会变，正是根据病毒的这一特性，产生了广谱特征码法。
   该方法就象是我们用通配符搜索文件一样，我们可以用搜索*。mp3的方法搜出所有的MP3文件，也可以用LOVE*。*搜出与LOVE相关的所有文件，广谱特征码正是这样一个技术，它将变形病毒不变的部分做为固有特征，将那些变形的部分做为模糊特征对整个文件进行模糊搜索，从而有效地找出变形病毒来。
   由于该技术只能发现变形病毒，而无法对这些变形病毒进行有效的清除，因此在病毒从DOS转向WINDOWS平台时，广谱特征码便消失在历史的轨迹中了。 病毒扫描技术的新发展—动态特征技术 以上提到的病毒扫描技术都属于过去的技术，在WINDOWS时代来临时，它们其中除了扩展的特征码扫描技术继续发展并成为WINDOWS平台的主流病毒扫描技术外，其它的都消失在反病毒的历史中了。
  而与之相适应的是，一种新型的病毒扫描技术—动态特征技术产生了。说的白一点，该技术就是已经成为反病毒软件标配的实时监控系统，工作原理依然是以传统的特征码为基础，将病毒的唯一特征记录在病毒库中，不同的是，监控系统是实时驻留在内存的，随时监控活动文件的动作，当发现有病毒出现时，就会实时进行拦截，将病毒清除。
   2001年的红色代码我们是否记忆犹新？传统的病毒是要形成先具体的文件，然后再激活该文件才能进行相应的破坏，而红色代码省略了这一过程，直接通过内存进行传播，只要不在硬盘中形成文件，传统的特征码法就会失效，这时实时监控系统的优势就显露出来了，因为它能在内存中扫描动态的文件，在红色代码从内存中出现的那一瞬间，实时监控系统便能发现，并轻易做出处理。
   未知病毒的开拓者--启发式扫描法 传统的特征码技术虽然准确率高，但是需要经过病毒截获、分析、入库三步曲，因此病毒的查杀总会落后于病毒的产生，为了解决这一问题，产生了启发式扫描技术。该技术不是通过病毒特征而是通过病毒破坏动作进行判断的，它将典型的破坏代码当作特征串记录下来，然后按照危险等级附以不同的权值，当一个文件的权值很大时就会被判定为病毒。
   举例说明，如果出现了一个新的类似CIH的病毒，启发式扫描技术是这样工作的，对该程序进行顺序扫描，当发现它有格式化硬盘的动作时就将该文件的病毒指数加1，因为普通程序不会有格式化硬盘的动作，只有象FORMAT这样的程序才会有。
  当发现它有清除主板芯片的动作再将病毒指数加1，如此类推，当该程序的病毒指数超过一个固定的数值时，就会被启发式扫描引擎判断为病毒，并进行相应的处理。 未来的病毒扫描技术--行为判断技术 以上两个是属于现在的病毒扫描技术，动态特征即实时监控技术如何还在进一步的发展中，而启发式扫描技术则为未知病毒的识别提供了一个很好的思路。
  但是它的那种通过搜索破坏动作然后再进行加权的办法略嫌机械，如果病毒出现变形或者压缩就会失去效用，由此产生了新的行为判断技术。 行为判断技术又叫完全虚拟技术，它是利用代码在内存中构建出一个模拟的计算机环境，叫做虚拟机，就象黑客帝国里的MATRIX一样，所有的程序都可以在这个虚拟机中执行，不过这种执行是被行为判断引擎控制的，它会边执行边分析程序的行为，当发现该程序有破坏的动作时，就鉴定出该病毒，并对该程序进行相应的处理，而这一点又有些象“未来报告”里的警察，先让嫌疑人在未来发生犯罪行为，以此做为证据来拘捕现在的嫌疑人，从而有效地避免了犯罪的发生。
   祝你好运哦！。收起