特征码
特征码又称电脑病毒特征码,它主要由反病毒公司制作,一般都是被反病毒软件公司确定为只有该病毒才可能会有的一串二进制字符串,而这字符串通常是文件里对应程式碼或汇编指令的機械碼。杀毒软件会将这一串二进制字符串用某种方法与目标文件或處理程序作对比,从而判定该文件或进程是否感染病毒。
提取与制作
过去在某一种电脑病毒大爆发时,一些反病毒公司可能会采取计算整个病毒文件的MD5或SHA-256作为特征码的方法来加快查杀效率。 而在平时,会采用以静态分析文件的结构为主并结合动态的分析的方法,通过反汇编来寻找病毒的内容代码段、入口点代码段、機械碼段等等信息。一般提取2个以上的代码段,有时会直接采用入口点的代码段来制作特征码。
例子:
这是一段来自開放原始碼防毒軟體 Clam AntiVirus的病毒特征库的病毒特征码 | |||||
---|---|---|---|---|---|
特征码串 | 14200 | : | 917cb8a3d1d9eb24af6c5bcf3bf7e401 | : | Trojan.Downloader-1420 |
含义 | 意义不明 | 分割号 | 主特征码段 | 分割号 | 病毒名称 |