完整性核查时，防病毒

Share

|

当防病毒，我们正在处理的动物，即修改其主机节目，因为它们的扩散。 因此，检测方法存在的一种病毒，是要发现问题的文件，已经出人意料地修改。 完整性验证过程中，目的是为了实现这一目标通过以下步骤：

1. 而机是在一个原始状况，计算指纹（形式校验或密码哈希值）的文件，需要加以监测，并记录他们在一个基准数据库。

2. 当扫描到文件系统中有可疑的变通后，计算出指纹的监测档案，并比较值，以那些在基线。

3. 如果不明原因的分歧，目前的状态和基线都发现，问题的一个警示。

有几种商业和免费的应用软件是专门执行这种完整性验证程序。 最有名的，这些工具可能是绊（可在www.tripwire.com ） ，它已经能够探测擅自改动档案系统，因为它是第一个于1992年发布。 绊线和其它软件的这一类不是病毒跳棋每硒这种方案的目的是提醒管理员可疑的变化，提高了机器的状态，无论是否攻击是由病毒或已被枪决通过一些其他的渠道。 。

完整性验证方法，也可以使用杀毒软件，虽然厂商也很少对即将在何种程度上，他们推行了这种机制。 sophos的杀毒是众所周知的使用校验和，以帮助确定是否有文件需要被更仔细地审查通过其他检测方法。 当扫描一个文件， sophos的杀毒计算文件的校验和比较，它的价值计算。 如果校验和不匹配，则有机会在文件被感染，和杀毒软件，可能需要检查它得更加彻底。

一个防毒产品试图以最诚信的核查技术很可能会被选择性地对部分档案是捺指印为基准进行比较。 例如，它可以成为好为内容的一个微软word文件，以改变当用户编辑其文本;然而，这是不太常见，为宏嵌入在文件予以修改。 因此，杀毒软件可能会觉得比较可疑的变化，发现在宏科的文件。

主要限制的完整性验证方法是，它会检测感染后，才出现的。 但是，它是一个有益的补充工具箱构成的办法，寻找签名已知的恶意软件标本，以及那些使用启发式侦测有害代码。 不幸的是，即使杀毒软件可实现上述每检测