杀毒软件主要由扫描器、特征 信息库、消毒器三部分组成。扫描器是研制者事先编制好的一段程序。它能够对用户所要求检测的对象进行病毒特征串扫描,即将特征 信息库中的病毒特征串逐个与检查对象中的数据进行比较,如果相符,则认为有病毒,如果一条都不符,则认为无毒。特征 信息库中存放的是消毒软件研制者通过对具体病毒分析后所得到的该病毒最具代表性的特征串。消毒器的消毒过程是按事先约定好的过程将有关 信息恢复到原来位置,此过程是研制者通过对具体病毒分析后设计出来的。
病毒的消毒/杀毒过程是病毒传染的逆过程,它主要依赖于消毒/ 杀毒软件研制者对具体某个病毒剖析后选取的病毒特征串。特征串是病毒扫描、检测、消毒的基础。特征串的选取是一个关键因素,选取具有代表性的特征串,有可能覆盖一类病毒的许多变种病毒,而选取普通化的特征串,有可能造成“误报”现象,如:SCAN8会对2.13H汉字系统中的PRINTA.C()M误报有“FamR”病毒。 消毒是被动的,只有在发现病毒后,对其剖析、选取特征串,才能设计出该“已知”病毒的消毒软件。当发现新病毒或变种病毒时,又要对其剖析、选取特征串,才能设计出新的消毒软件。它不能检测和消除研制者未曾见过的“未知”病毒,甚至对已知病毒的特征串稍作改动,就可能无法检测出这种变种病毒或者在消毒时会出错。
发现病毒——剖析特征串——设计扫描、消毒软件——变种或新病毒
|