Virus 版 (精华区)

发信人: VIP (星辰大海), 信区: Virus
标  题: 关于“探视扫描”
发信站: 紫 丁 香 (Wed Dec 15 11:12:46 1999), 转信

关于KILL 98的“探视扫描”病毒引擎的说明


前一段时间有不少用户针对CIH病毒询问“KILL 98为什么会在别的反病毒软件清除
CIH病毒之后，仍然报出文件含有CIH病毒？等问题，这里我们给出一个全面的答复
。

国内常见的反病毒软件可能出于运行效率等方面的考虑，也许是对病毒分析不够透
彻，杀除CIH病毒并不彻底，带毒程序被清楚的仅仅是病毒实体部分。基于主动内
核的KILL 98在进行病毒检测时，使用的是一种智能判别技术，通过种种相关因素
综合判定某段代码是否是病毒，这有两点好处：一是能够精确定位病毒代码，二是
有效降低了误报率。正是这种智能判别技术能够查找程序中被其它杀毒软件处理过
的CIH病毒残骸。这些残骸的存在，有时会造成程序运行不正常，甚至是突然死机
等。如果程序中存在CIH残骸，则只要我们在KILL 98选项中打开“彻底扫描”或“
评论扫描”，就能够轻松将CIH残骸清除。这并不是KILL 98的误报，而是将CIH病
毒彻底清除。

另外还有些用户反映，使用KILL 98的“探视扫描”引擎之后，KILL提示发现“
Generic Portable Executable V”。KILL98单机版含有四种扫描方式：快速扫描
、彻底扫描、评论扫描和启用探视扫描引擎。其中启用探视扫描引擎时，由于该引
擎采用完整性检查 (Integrity Checking) 、基于规则的动态分析器检测和启发扫
描等技术，具有对于一部分未知病毒的智能扫描能力，对某些检测到的“类似病毒
的文件代码或者类似病毒的行为”会产生“Generic Portable Executable Vinus
”的警报，意思是：怀疑有可执行文件型病毒。这是因为有极少数正常的程序代码
或行为方式有可能与病毒类似所致。因此，当您在开启“探视扫描引擎”时如果出
现“Generic Portable Executable Vinus”警报信息，则基本上可以判定这不是
一个已知病毒，但是否是一个未知病毒，则需要进一步确认。鉴于以上原因，建议
用户在日常扫描中，如果主要基于最佳系统性能的考虑，可以仅仅采用快速扫描方
式，否则只使用彻底扫描方式即可。一般不必要采用评论扫描和开启探视扫描引擎
。而当系统异常，被怀疑有病毒且彻底扫描无法查出的情况下，可以采用评论扫描
和开启探视扫描引擎。如果您遇到“Generic Portable Executable Vinus”警报
信息而自己又无法判断时，可以将该文件发送给KILL反病毒认证中心进行检测。

                                                ——本文来自《反毒专辑》
--

        日出又日落，好时光匆匆过，你敲来敲去敲什么
        潮起又潮落，风无情浪汹涌，你游来游去游什么

※ 来源:．紫 丁 香 bbs.hit.edu.cn．[FROM: witness.hit.edu.]