杀毒软件的原理是什么？

1. 杀毒软件的原理是什么？

      工作原理是部分杀毒软件是在内存里划分一部分空间，将计算机中流过内存的数据与杀毒软件自身所带的病毒库（包含病毒定义）的特征码相比较，以判断是否为病毒；另一部分杀毒软件在所划分到的内存空间里，虚拟执行系统或用户提交的程序，根据其行为或结果作出判断。 杀毒软件会生成现有主机操作系统的全新虚拟镜像，该镜像具有真实操作系统完全一致的功能。桌面虚拟化技术具有独立分挡操作系统压力，通过该技术实现运行过程中垃圾文件为零的目标，同时生成的虚拟环境与主机操作系统完全隔离，保护主机不被病毒感染，减少了系统被破坏的概率。



一个杀毒软件的构造的复杂程度要远远高于木马或病毒，所以其原理也比较复杂。而且鉴于现在木马病毒越来越向系统底层发展，杀毒软件的编译技术也在不断向系统底层靠近。例如现在的“主动防御”技术，就是应用RING0层的编译技巧。这里我简单为大家介绍一下基本构成。 一个杀毒软件一般由扫描器、病毒库与虚拟机组成，并由主程序将他们结为一体，如图1。 扫描器是杀毒软件的核心，用于发现病毒，一个杀毒软件的杀毒效果好坏就直接取决于它的扫描器编译技术与算法是否先进，而且杀毒软件不同的功能往往对应着不同的扫描器，也就是说，大多数杀毒软件都是由多个扫描器组成的。而病毒库存储的特征码形式则取决于扫描器采用哪种扫描技术。它里面存储着很多病毒所具有的独一无二的特征字符，我们称之为“特征码”。特征码总的分来只有两个，文件特征码与内存特征码。文件特征码存在于一些未执行的文件里，例如EXE文件、RMVB文件、jpg文件甚至是txt文件中都有可能存在文件特征码，也都有可能被查杀。而内存特征码仅仅存在于内存中已运行的应用程序。而虚拟机则是最近引进的概念，它可以使病毒在一个由杀毒软件构建的虚拟环境中执行，与现实的CPU、硬盘等完全隔离，从而可以更加深入的检测文件的安全性。 简单的说，杀毒软件的原理就是匹配特征码。当扫描得到一个文件时，杀毒软件会检测这个文件里是否包含病毒库里所包含的特征码，如果有，则报毒病查杀，如果没有，纵然这个文件确实是一个病毒，它也会把它当作正常文件来看待。 我觉得腾讯电脑管家就是最好的杀毒软件了二、基于文件扫描的杀毒技术 基于文件的杀毒技术可以分为“第一代扫描技术”、“第二代扫描技术”与“算法扫描”这三种方法，对于免杀爱好者来说，要对每一种方法烂熟于心，才能成为高手！但做为一个初学者来说了解一下即可。这里我们就简单介绍一下其中两种种方法，详细的技术原理如果各位得这有兴趣的话可以自己研究。

2. 杀毒软件的杀毒原理是什么

现在有很多各种类型的杀毒软件，从以前收费的，到现在大部分免费的，但是大部分人不了解其内部杀毒原理。下面对杀毒软件的工作原理作详细介绍。
一、杀毒软件原理基础 　　
一个杀毒软件的构造的复杂程度要远远高于木马或病毒，所以其原理也比较复杂。而且鉴于现在木马病毒越来越向系统底层发展，杀毒软件的编译技术也在不断向系统底层靠近。
例如现在的“主动防御”技术，就是应用RING0层的编译技巧。这里简单介绍一下基本构成。 　　
一个杀毒软件一般由扫描器、病毒库与虚拟机组成，并由主程序将其结为一体，如图1

扫描器是杀毒软件的核心，用于发现病毒，一个杀毒软件的杀毒效果好坏就直接取决于它的扫描器编译技术与算法是否先进，而且杀毒软件不同的功能往往对应着不同的扫描器，也就是说，大多数杀毒软件都是由多个扫描器组成的。
而病毒库存储的特征码形式则取决于扫描器采用哪种扫描技术。它里面存储着很多病毒所具有的独一无二的特征字符，称之为“特征码”。特征码总的分来只有两个，文件特征码与内存特征码。文件特征码存在于一些未执行的文件里，例如EXE文件、RMVB文件、jpg文件甚至是txt文件中都有可能存在文件特征码，也都有可能被查杀。而内存特征码仅仅存在于内存中已运行的应用程序。而虚拟机则是最近引进的概念，它可以使病毒在一个由杀毒软件构建的虚拟环境中执行，与现实的CPU、硬盘等完全隔离，从而可以更加深入的检测文件的安全性。 　　
简单的说，杀毒软件的原理就是匹配特征码。
当扫描得到一个文件时，杀毒软件会检测这个文件里是否包含病毒库里所包含的特征码，如果有，则报毒病查杀，如果没有，纵然这个文件确实是一个病毒，它也会把它当作正常文件来看待。 　　
二、基于文件扫描的杀毒技术 　　
基于文件的杀毒技术可以分为“第一代扫描技术”、“第二代扫描技术”与“算法扫描”这三种方法，对于免杀爱好者来说，要对每一种方法烂熟于心，才能成为高手!但做为一个初学者来说了解一下即可。
这里介绍一下其中两种种方法，详细的技术原理如果各位得这有兴趣的话可以自行研究。 　　
1、通配符扫描技术
通配符扫描技术属于是第一代扫描技术的一个分支，对于“通配符”，可以理解为具有一定意义的符号，例如DOS命令里的*号就是任意长度的任意字符的意思，而且通配符在不同的领域也里可以代表不同的意思。 　　
现在杀毒软件中简单的扫描器常常支持通配符，因为鉴于字符串扫描技术的执行速度与特征码长度限制等问题，使得其逐渐退出历史舞台，取而代之的是通配符扫描技术，通配符扫描技术以同样简单的原理与技术却实现了更为强大的功能。 　　
扫描器中的通配符一般用于跳过某些字节或字节范围，以至于现在有些扫描器还支持正则表达式! 　　
下面通过一个例子来讲解通配符扫描技术的原理。 　　
例如病毒库中有这样一段特征码：0400 B801 020E 07BB ??02 %3 33C9 8BD1 419C 上面的特征码可以解释为： 　　
1、尝试匹配04，如果找到则继续，否则跳出。 　　
2、尝试上一匹配目标后匹配00，如果找到则继续，否则跳出。 　　
3、尝试上一匹配目标后匹配B8，如果找到则继续，否则跳出。 　　
4、尝试上一匹配目标后匹配01，如果找到则继续，否则跳出。 　　
5、尝试上一匹配目标后匹配02，如果找到则继续，否则跳出。 　　
6、尝试上一匹配目标后匹配0E，如果找到则继续，否则跳出。 　　
7、尝试上一匹配目标后匹配07，如果找到则继续，否则跳出。 　　
8、尝试上一匹配目标后匹配BB，如果找到则继续，否则跳出。 　　
9、忽略此字节。 　　
10、尝试上一匹配目标后匹配02，如果找到则继续，否则跳出。 　　
11、在接下来的3个位置(字节)中尝试匹配33，如果找到则继续，否则跳出。 　　
12、尝试上一匹配目标后匹配C9，如果找到则继续，否则跳出。 　　
13、尝试上一匹配目标后匹配8B，如果找到则继续，否则跳出。 　　
14、尝试上一匹配目标后匹配D1，如果找到则继续，否则跳出。 　　
15、尝试上一匹配目标后匹配41，如果找到则继续，否则跳出。 　　
16、尝试上一匹配目标后匹配9C，如果找到则继续，否则跳出。 　　
这种扫描技术通常支持半字节匹配，这样可以更精确地匹配特征码，一些早期的加密病毒用这种方法都比较容易检测出来。 　　
其实现在的一些特征码仍然在使用类似此种方法的特征码表达技术，因此掌握这些知识会对以后的免杀有所帮助，同样可以使在定位特征码时更加了解自己正在做什么，以及做的是否正确等等，这非常重要。 　　
2、智能扫描 　　
智能扫描属于第二代扫描技术的一个分支，这种方法是在一种病毒变异工具包出现之后提出的。智能扫描法会忽略检测文件中象NOP这样的无意义指令。而对于文本格式的脚本病毒或宏病毒，则可以替换掉多余的例如空格、换行符或制表符等空白字符，这一切替换动作在扫描缓冲区就会执行，从而大大提高了扫描器的检测能力。 　　
3、近似精确识别法 　　
近似精确识别法同样是属于第二代扫描技术的一个分支，但是相比起来应用的更为广泛，这种扫描技术包含了两种方式与若干种方法，在这里不可能一一介绍，下面将主要介绍两种方法的代表。 　
方法一：多套特征码 　　
该方法采用两个或更多个字符串集来检测每个病毒，如果扫描器检测到其中一个特征符合，那么就会警告发现变种，但并不会执行下一步操作(例如清除病毒体或删除文件)。如果多个特征码全部符合，则报警发现病毒，并执行下一步操作。 　　
方法二：效验和 　　
对于校验和，也许有些朋友会想到文件校验和比对的方法，这个方法的思路是将每一个无毒的文件生成一个校验和，等待下次扫描时在进行简单的校验和比对即可，如果校验和有所变化，在进行进一步的扫描，这样有利于提升扫描器的效率，但是严格地说，这并不算是扫描技术。 　　
效验和扫描技术利用的最为到位的就是比较出名的KAV(卡巴斯基)了，它的第二代扫描器就采用了密码效验和技术，并且没有使用任何搜索字符串技术。关于效验和是一个复杂的概念，简单的说就是通过对病毒中的某一段代码的计算，从而得出一个值(例如123XY4)，与MD5加密有些相似，当然这样说不完全正确。 　　
但KAV采用的是一种由卡巴斯基发明的一种叫做密码效验和的特殊算法，这种算法通常会产生两个值。而且病毒库的查询采用了特征码分类思想，例如扫描EXE文件时只调用与EXE文件有关的病毒库，而根据EXE文件的位置不同(例如文件头、入口点)又分为不同的子库，这样有利于提高扫描速度。 　　
三、由此得出的一些经验
首先应该明白第一个例子介绍的通配符“0400 B801 020E 07BB ??02 %3 33C9 8BD1 419C”代表的肯定不是一个字节。
也就是说，杀毒软件厂商定位的特征一般都是数十字节，所以定位特征码时就要避免定位过于精确，一般保证在10字节以内就足够了!因为如果特征码定位的过于精确，会为以后的修改操作带来很大不必要的麻烦。可以简单的想一下，是修改一个字节的方法多，还是修改10字节的方法多? 　　
而由智能扫描也可以得出一个结论，就是不要将杀毒软件想的太傻，例如属于智能扫描的一个分支——启发式扫描，它会将一些异常改动计算到可能性的“权值”里，如果一个文件的可疑改动过多，就会导致报毒，这样之前所做的一些工作就起到了相反的作用，是典型的画蛇添足。
所以，修改木马文件时也要掌握一个度的问题，不要修改的过多，但还要保证自己的木马免杀时间够长，这就要明白那些更改会被归为可疑修改，而那些则不会。

3. 杀毒软件的实现原理是什么？？

反病毒软件的任务是实时监控和扫描磁盘。部分反病毒软件通过在系统添加驱动程序的方式，进驻系统，并且随操作系统启动。大部分的杀毒软件还具有防火墙功能。 　　反病毒软件的实时监控方式因软件而异。有的反病毒软件，是通过在内存里划分一部分空间，将电脑里流过内存的数据与反病毒软件自身所带的病毒库（包含病毒定义）的特征码相比较，以判断是否为病毒。另一些反病毒软件则在所划分到的内存空间里面，虚拟执行系统或用户提交的程序，根据其行为或结果作出判断。 　　而扫描磁盘的方式，则和上面提到的实时监控的第一种工作方式一样，只是在这里，反病毒软件将会将磁盘上所有的文件（或者用户自定义的扫描范围内的文件）做一次检查。 

在与病毒的对抗中，及早发现病毒很重要。早发现，早处置，可以减少损失。检测病毒方法有：特征代码法、校验和法、行为监测法、软件模拟法。这些方法依据的原理不同，实现时所需开销不同，检测范围不同，各有所长。

特征代码法



特征代码法被早期应用于SCAN、CPAV等著名病毒检测工具中。国外专家认为特征代码法是检测已知病毒的最简单、开销最小的方法。



特征代码法的实现步骤如下：

采集已知病毒样本，病毒如果既感染COM文件，又感染EXE文件，对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。



在病毒样本中，抽取特征代码。依据如下原则：

抽取的代码比较特殊，不大可能与普通正常程序代码吻合。抽取的代码要有适当长度，一方面维持特征代码的唯一性，另一方面又不要有太大的空间与时间的开销。如果一种病毒的特征代码增长一字节，要检测3000种病毒，增加的空间就是3000字节。在保持唯一性的前提下，尽量使特征代码长度短些，以减少空间与时间开销。

在既感染COM文件又感染EXE文件的病毒样本中，要抽取两种样本共有的代码。将特征代码纳入病毒数据库。

打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码，由于特征代码与病毒一一对应，便可以断定，被查文件中患有何种病毒。

采用病毒特征代码法的检测工具，面对不断出现的新病毒，必须不断更新版本，否则检测工具便会老化，逐渐失去实用价值。病毒特征代码法对从未见过的新病毒，自然无法知道其特征代码，因而无法去检测这些新病毒。

特征代码法的优点是：检测准确快速、可识别病毒的名称、误报警率低、依据检测结果，可做解毒处理。其缺点是：不能检测未知病毒、搜集已知病毒的特征代码，费用开销大、在网络上效率低（在网络服务器上，因长时间检索会使整个网络性能变坏）。


其特点：

A.速度慢。随着病毒种类的增多，检索时间变长。如果检索5000种病毒，必须对5000个病毒特征代码逐一检查。如果病毒种数再增加，检病毒的时间开销就变得十分可观。此类工具检测的高速性，将变得日益困难。



B.误报警率低。



非C.不能检查多形性病毒。特征代码法是不可能检测多态性病毒的。国外专家认为多态性病毒是病毒特征代码法的索命者。



D.不能对付隐蔽性病毒。隐蔽性病毒如果先进驻内存，后运行病毒检测工具，隐蔽性病毒能先于检测工具，将被查文件中的病毒代码剥去，检测工具的确是在检查一个虚假的“好文件”，而不能报警，被隐蔽性病毒所蒙骗。



校验和法



将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染，这种方法叫校验和法，它既可发现已知病毒又可发现未知病毒。在SCAN和CPAV工具的后期版本中除了病毒特征代码法之外，还纳入校验和法，以提高其检测能力。

这种方法既能发现已知病毒，也能发现未知病毒，但是，它不能识别病毒类，不能报出病毒名称。由于病毒感染并非文件内容改变的唯一的非他性原因，文件内容的改变有可能是正常程序引起的，所以校验和法常常误报警。而且此种方法也会影响文件的运行速度。

病毒感染的确会引起文件内容变化，但是校验和法对文件内容的变化太敏感，又不能区分正常程序引起的变动，而频繁报警。用监视文件的校验和来检测病毒，不是最好的方法。

这种方法遇到下述情况：已有软件版更新、变更口令、修改运行参数、校验和法都会误报警。

校验和法对隐蔽性病毒无效。隐蔽性病毒进驻内存后，会自动剥去染毒程序中的病毒代码，使校验和法受骗，对一个有毒文件算出正常校验和。

运用校验和法查病毒采用三种方式：



①在检测病毒工具中纳入校验和法，对被查的对象文件计算其正常状态的校验和，将校验和值写入被查文件中或检测工具中，而后进行比较。



②在应用程序中，放入校验和法自我检查功能，将文件正常状态的校验和写入文件本身中，每当应用程序启动时，比较现行校验和与原校验和值。实现应用程序的自检测。



③将校验和检查程序常驻内存，每当应用程序开始运行时，自动比较检查应用程序内部或别的文件中预先保存的校验和。



校验和法的优点是：方法简单能发现未知病毒、被查文件的细微变化也能发现。其缺点是：发布通行记录正常态的校验和、会误报警、不能识别病毒名称、不能对付隐蔽型病毒。



行为监测法



利用病毒的特有行为特征性来监测病毒的方法，称为行为监测法。通过对病毒多年的观察、研究，有一些行为是病毒的共同行为，而且比较特殊。在正常程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警。

这些做为监测病毒的行为特征如下：

A.占有INT 13H

所有的引导型病毒，都攻击Boot扇区或主引导扇区。系统启动时，当Boot扇区或主引导扇区获得执行权时，系统刚刚开工。一般引导型病毒都会占用INT 13H功能，因为其他系统功能未设置好，无法利用。引导型病毒占据INT 13H功能，在其中放置病毒所需的代码。

B.改DOS系统为数据区的内存总量

病毒常驻内存后，为了防止DOS系统将其覆盖，必须修改系统内存总量。

C.对COM、EXE文件做写入动作

病毒要感染，必须写COM、EXE文件。

D.病毒程序与宿主程序的切换

染毒程序运行中，先运行病毒，而后执行宿主程序。在两者切换时，有许多特征行为。

行为监测法的长处：可发现未知病毒、可相当准确地预报未知的多数病毒。行为监测法的短处：可能误报警、不能识别病毒名称、实现时有一定难度。



软件模拟法



多态性病毒每次感染都变化其病毒密码，对付这种病毒，特征代码法失效。因为多态性病毒代码实施密码化，而且每次所用密钥不同，把染毒的病毒代码相互比较，也无法找出相同的可能做为特征的稳定代码。虽然行为检测法可以检测多态性病毒，但是在检测出病毒后，因为不知病毒的种类，难于做消毒处理。



计算机病毒的防治策略



计算机病毒的防治要从防毒、查毒、解毒三方面来进行；系统对于计算机病毒的实际防治能力和效果也要从防毒能力、查毒能力和解毒能力三方面来评判。

“防毒”是指根据系统特性，采取相应的系统安全措施预防病毒侵入计算机。“查毒”是指对于确定的环境，能够准确地报出病毒名称，该环境包括，内存、文件、引导区（含主导区）、网络等。“解毒”是指根据不同类型病毒对感染对象的修改，并按照病毒的感染特性所进行的恢复。该恢复过程不能破坏未被病毒修改的内容。感染对象包括：内存、引导区（含主引导区）、可执行文件、文档文件、网络等。

防毒能力是指预防病毒侵入计算机系统的能力。通过采取防毒措施，应可以准确地、实时地监测预警经由光盘、软盘、硬盘不同目录之间、局域网、因特网（包括FTP方式、E-MAIL、HTTP方式）或其它形式的文件下载等多种方式进行的传输；能够在病毒侵入系统是发出警报，记录携带病毒的文件，即时清除其中的病毒；对网络而言，能够向网络管理员发送关于病毒入侵的信息，记录病毒入侵的工作站，必要时还要能够注销工作站，隔离病毒源。

查毒能力是指发现和追踪病毒来源的能力。通过查毒应该能准确地发现计算机系统是否感染有病毒，并准确查找出病毒的来源，并能给出统计报告；查解病毒的能力应由查毒率和误报率来评判。

解毒能力是指从感染对象中清除病毒，恢复被病毒感染前的原始信息的能力；解毒能力应用解毒率来评判。

4. 杀毒软件的软件原理

反病毒软件的任务是实时监控和扫描磁盘。部分反病毒软件通过在系统添加驱动程序的方式，进驻系统，并且随操作系统启动。大部分的杀毒软件还具有防火墙功能。反病毒软件的实时监控方式因软件而异。有的反病毒软件，是通过在内存里划分一部分空间，将电脑里流过内存的数据与反病毒软件自身所带的病毒库（包含病毒定义）的特征码相比较，以判断是否为病毒。另一些反病毒软件则在所划分到的内存空间里面，虚拟执行系统或用户提交的程序，根据其行为或结果作出判断。而扫描磁盘的方式，则和上面提到的实时监控的第一种工作方式一样，只是在这里，反病毒软件将会将磁盘上所有的文件（或者用户自定义的扫描范围内的文件）做一次检查。对于杀毒软件的实时监控，其工作方式因软件而异：  有的杀毒软件在内存里划分一部分空间，将计算机中流过内存的数据与杀毒软件自身所带的病毒库（包含病毒定义）的特征码相比较，以判断是否为病毒。  有的杀毒软件在所划分到的内存空间里，虚拟执行系统或用户提交的程序，根据其行为或结果作出判断。  而扫描磁盘的方式，则和上面提到的实时监控的第一种工作方式一样，只是扫描磁盘时，杀毒软件将会将磁盘上所有的文件（或者用户自定义的扫描范围内的文件）做一次检查。

5. 电脑杀毒软件工作原理是什么？

杀毒软件有好几种工作方式的，代数也有好几代：
第一代反病毒技术是采取单纯的病毒特征判断，将病毒从带毒文件中清除掉。这种方式可以准确地清除病毒，可靠性很高。后来病毒技术发展了，特别是加密和变形技术的运用，使得这种简单的静态扫描方式失去了作用。随之而来的反病毒技术也发展了一步。 
第二代反病毒技术是采用静态广谱特征扫描方法检测病毒，这种方式可以更多地检测出变形病毒，但另一方面误报率也提高，尤其是用这种不严格的特征判定方式去清除病毒带来的风险性很大，容易造成文件和数据的破坏。所以说静态防病毒技术也有难以克服的缺陷。 
第三代反病毒技术的主要特点是将静态扫描技术和动态仿真跟踪技术结合起来，将查找病毒和清除病毒合二为一，形成一个整体解决方案，能够全面实现防、查、消等反病毒所必备的各种手段，以驻留内存方式防止病毒的入侵，凡是检测到的病毒都能清除，不会破坏文件和数据。随着病毒数量的增加和新型病毒技术的发展，静态扫描技术将会使查毒软件速度降低，驻留内存防毒模块容易产生误报。 
第四代反病毒技术则是针对计算机病毒的发展而基于病毒家族体系的命名规则、基于多 位CRC校验和扫描机理，启发式智能代码分析模块、动态数据还原模块（能查出隐蔽性极强的压缩加密文件中的病毒）、内存解毒模块、自身免疫模块等先进的解毒技术，较好的解决了以前防毒技术顾此失彼、此消彼长的状态。


由于很多新手对安全问题了解不多，所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”，但它们并不能防范新出现的“木马”程序，因此最关键的还是要知道“木马”的工作原理，这样就会很容易发现“木马”。相信你看了这篇文章之后，就会成为一名查杀“木马”的高手了。 
“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。 
当然它也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端，，“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。 
在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。 
在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。 
在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY－LOCAL－MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY－CURRENT－USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY－USERS\＊＊＊＊\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，最好的办法就是在“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可。 
知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。然后编辑win.ini文件，将[WINDOWS]下面，“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”；编辑system.ini文件，将[BOOT]下面的“shell=‘木马’文件”，更改为：“shell=explorer.exe”；在注册表中，用regedit对注册表进行编辑，先在“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序，有时候还需注意的是：有的“木马”程序并不是直接将“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了，因为有的“木马”如：BladeRunner“木马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到MS－DOS下，找到此“木马”文件并删除掉。重新启动计算机，然后再到注册表中将所有“木马”文件的键值删除。

6. 杀毒软件的杀毒原理？

杀毒软件的任务是实时监控和扫描磁盘。部分杀毒软件通过在系统添加驱动程序的方式，进驻系统，并且随操作系统启动。大部分的杀毒软件还具有防火墙功能。
杀毒软件的实时监控方式因软件而异。有的杀毒软件，是通过在内存里划分一部分空间，将电脑里流过内存的数据与杀毒软件自身所带的病毒库（包含病毒定义）的特征码相比较，以判断是否为病毒。另一些杀毒软件则在所划分到的内存空间里面，虚拟执行系统或用户提交的程序，根据其行为或结果作出判断。
而扫描磁盘的方式，则和上面提到的实时监控的第一种工作方式一样，只是在这里，杀毒软件将会将磁盘上所有的文件（或者用户自定义的扫描范围内的文件）做一次检查。
另外，杀毒软件的设计还涉及很多其他方面的技术。
脱壳技术，即是对压缩文件和封装好的文件作分析检查的技术。
自身保护技术，避免病毒程序杀死自身进程。
修复技术，对被病毒损坏的文件进行修复的技术。
有待改进的方面
杀毒软件有待改进的方面有:
更加智能识别未知病毒
查到病毒后，能够彻底清除病毒
保护自身。目前有些病毒，能够杀死杀毒软件的进程，再继续破坏
防盗版技术（部分免费杀毒软件不存在此问题）
虚拟机技术。

7. 请问杀毒软件的工作原理大致是什么？哪位高人能介绍一下世界主流的杀毒软件

病毒库使用的是黑名单机制，病毒库存储了病毒特有的特征码，和本地文件进行比对，如果发现相同特征码则判断为病毒文件，然后报警。主动防御则是根据运行文件所执行的操作进行判断，如果是进行一些非法操作则判断为病毒报警。目前能真正做到主动防御的并不多。还有些杀毒弄出白名单机制，也就是列出哪些是合法的，不在白名单之列的再进行判断。

世界主流杀毒，怎么说呢？各国与各国的网络环境不同，造就了不同特征的病毒，各国的杀毒软件也多少在病毒库采集方面存在一定的差异，这也就是为什么有些很知名的国外杀毒软件在国内反响并不好的原因。因为其病毒库主要采集的并不是很符合国内病毒环境。另外收费杀毒和免费杀毒也存在差异，所以世界主流是什么，还真不好说。我也只能大致给你举出一个比较广的。

在商用和国际应用最多的，目前来讲还是卡巴斯基和诺顿产品系列。诺顿因为有微软的底层支持，所以很大层面上杀毒能力较强，因为具有很强针对性。台湾及美洲地区，趋势科技的产品也占有一席之地。

除掉以上说的三种比较有针对性的，广泛应用的还有Avast（免费民用）、小红伞（免费民用）、McAfee（商用）、BitDefender（欧洲主流）、ESET Nod32（来自捷克斯洛伐克的知名杀毒，PS:国家拆分成捷克、斯洛伐克）、G-DATA（德国的东西，以严谨著名）、F-Secure（防火墙技术出名）等。里面有的在欧洲很出名，但在中国因为不出中文，或对亚洲病毒库采集较少所以用户量很少。

国内还要说江民，老牌杀毒，但随着王江民的去世以及近些年国内免费杀毒的炒作也逐渐走了下坡。瑞星杀毒从06年以后逐渐走下坡路，主要原因还是当年公司内部出现问题，导致大批资深员工流失造成。

杀毒什么的，还是事后诸葛。指望杀毒好多时候是在防御，而非后杀。所以，防御较强的来说，我推荐以下几款。ESET NOD32，最早做到真正主动防御的杀毒，且自我防御能力超强，杀毒能力也是很一流的。卡巴斯基、诺顿，商用系列打滚多年练就一身本领，在很多技术方面具备领先性，但卡巴当年的误杀以及后来某段时间的自我防御能力不强对其在国内口碑略有影响。究其原因还是当时对国内病毒库的采集做的不够到位。免费杀毒推荐Avast和小红伞。

纯手工写的，希望采纳。

8. 杀毒软件有什么作用

杀毒软件的功能包括以下几点：
1、防止预防计算机病毒的入侵。
2、有效及时的提醒你当前计算机的安全状况。
3、当染毒时 可以对计算机内的所有文件进行查杀。
4、清理电脑垃圾和冗余注册表。
5、防止进入钓鱼网站。
6、保护网购。
7、保护QQ号码、游戏账号。
8、安全沙箱，运行带毒软件或者打开病毒文件等其他功能。

扩展资料
杀毒软件的工作原理：
杀毒软件的任务是实时监控和扫描磁盘。杀病毒软件通过在系统添加驱动程序的方式，进驻系统，并随操作系统启动。大部分的杀毒软件具有防火墙功能。杀毒软件实时监控方式因软件而异。
有的杀毒软件是通过在内存里划分一部分空间，将电脑里流过内存的数据与杀毒软件自身所带的病毒库的特征码相比较，以判断是否为病毒。部分杀毒软件在所划分到的内存空间里面，虚拟执行系统或用户提交的程序，根据其行为或结果作出是否为病毒的判断。
参考资料来源：百度百科-杀毒软件