Virus 版 (精华区)
发信人: VIP (星辰大海), 信区: Virus
标 题: 关于“探视扫描”
发信站: 紫 丁 香 (Wed Dec 15 11:12:46 1999), 转信
关于KILL 98的“探视扫描”病毒引擎的说明
前一段时间有不少用户针对CIH病毒询问“KILL 98为什么会在别的反病毒软件清除
CIH病毒之后,仍然报出文件含有CIH病毒?等问题,这里我们给出一个全面的答复
。
国内常见的反病毒软件可能出于运行效率等方面的考虑,也许是对病毒分析不够透
彻,杀除CIH病毒并不彻底,带毒程序被清楚的仅仅是病毒实体部分。基于主动内
核的KILL 98在进行病毒检测时,使用的是一种智能判别技术,通过种种相关因素
综合判定某段代码是否是病毒,这有两点好处:一是能够精确定位病毒代码,二是
有效降低了误报率。正是这种智能判别技术能够查找程序中被其它杀毒软件处理过
的CIH病毒残骸。这些残骸的存在,有时会造成程序运行不正常,甚至是突然死机
等。如果程序中存在CIH残骸,则只要我们在KILL 98选项中打开“彻底扫描”或“
评论扫描”,就能够轻松将CIH残骸清除。这并不是KILL 98的误报,而是将CIH病
毒彻底清除。
另外还有些用户反映,使用KILL 98的“探视扫描”引擎之后,KILL提示发现“
Generic Portable Executable V”。KILL98单机版含有四种扫描方式:快速扫描
、彻底扫描、评论扫描和启用探视扫描引擎。其中启用探视扫描引擎时,由于该引
擎采用完整性检查 (Integrity Checking) 、基于规则的动态分析器检测和启发扫
描等技术,具有对于一部分未知病毒的智能扫描能力,对某些检测到的“类似病毒
的文件代码或者类似病毒的行为”会产生“Generic Portable Executable Vinus
”的警报,意思是:怀疑有可执行文件型病毒。这是因为有极少数正常的程序代码
或行为方式有可能与病毒类似所致。因此,当您在开启“探视扫描引擎”时如果出
现“Generic Portable Executable Vinus”警报信息,则基本上可以判定这不是
一个已知病毒,但是否是一个未知病毒,则需要进一步确认。鉴于以上原因,建议
用户在日常扫描中,如果主要基于最佳系统性能的考虑,可以仅仅采用快速扫描方
式,否则只使用彻底扫描方式即可。一般不必要采用评论扫描和开启探视扫描引擎
。而当系统异常,被怀疑有病毒且彻底扫描无法查出的情况下,可以采用评论扫描
和开启探视扫描引擎。如果您遇到“Generic Portable Executable Vinus”警报
信息而自己又无法判断时,可以将该文件发送给KILL反病毒认证中心进行检测。
——本文来自《反毒专辑》
--
日出又日落,好时光匆匆过,你敲来敲去敲什么
潮起又潮落,风无情浪汹涌,你游来游去游什么
※ 来源:.紫 丁 香 bbs.hit.edu.cn.[FROM: witness.hit.edu.]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:2.227毫秒