比较法诊断原理：

比较法是用原始的或正常的文件与被检测的文件进行比较。

包括长度、内容、内存、中断等比较法。

校验和法诊断原理：

将正常文件的内容，计算其检验和，将该校验和写入文件中或写入别的文件中保存。在 文件使用过程中，定期的或每次使用文件前，检查文件现在内容算出的校验和与原来保 存的检验和是否一致，因而可以发现文件是否感染，这种方法叫校验和法，它即可发现 已知病毒又可发现未知病毒。

扫描法：

扫描法是用每一种病毒体含有的特定字符串对被检测的对象进行扫描。如果在被检测对 象内部发现了某一种特定字符串，就表明发现了该字符串所代表的病毒。

扫描法包括：特征代码扫描法、特征字扫描法。

特征代码扫描法：

病毒扫描软件由两部分组成：一部分是病毒代码库，含有经过特别选定的各种计算 机病毒的代码串；另一部分是利用该代码库进行扫描的扫描程序。病毒扫描程序能 识别的计算机病毒的数目完全取决于病毒代码库内所含病毒的种类有多少。

优点：

1.软件操作方便，对病毒了解不多的人也能用它来发现病毒。

2.不用专门软件。

3.可识别病毒的名称。

4.误报几率低。

5.依据检测结果，可做杀毒处理。

缺点：

1.文件很大时，扫描时间会非常长。

2.不容易选择合适的特征串。

3.新病毒的特征串没有加入病毒库时，无法识别出新病毒。

4.病毒进行变种时，改变了原先的特征串，无法继续识别变种病毒。

5.容易产生误报。

6.不易识别Mutation Engine类病毒。

7.搜集已知病毒的特征代码，费用开销大。

8.在网络上使用效率低。

特征字扫描法：

速度更快、误报更少，但仍然存在特征代码扫描法所具有的一些缺点。特征字扫描 只需从病毒体内抽取很少几个关键的特征字组成特征字库。由于需要处理的字节很 少，而又不必进行串匹配，加快了识别速度，更注意计算机病毒的“程序活性”， 减少了错报的可能性。

特征代码/字扫描法需要不断对病毒库进行扩充。病毒代码库的维护更新人员需要具备 相当多的关于病毒和DOS以及PC机的认识。

行为检测法：

利用病毒的特有行为特性，检测病毒的方法，称为行为检测法。

1.占用INT 13H：所有的引导型病毒都攻击BOOT扇区或主引导扇区。系统启动时，当 BOOT扇区或主引导扇区获得执行权时，系统就开始工作。一般引导型病毒都会占用
INT 13H功能，因为其他系统功能还未设置好，无法利用。引导型病毒占据INT 13H功 能，在其中放置病毒所需的代码。

2.修改DOS系统数据区的内存总量：病毒常驻内存后，为了防止DOS系统将其覆盖， 必须修改内存总量。

3.以COM和EXE文件做写入动作。

4.病毒程序与宿主程序的切换：染毒程序运行时，先运行病毒，而后执行宿主程序。在 两者切换时，有许多特征行为。

优点：可以发现未知病毒。

缺点：可能误报和不能识别病毒名称，而且实现起来有一定难度。

行为感染实验法：

感染实验是一种简单实用的检测病毒方法。由于病毒检测工具落后于病毒的发展，当病 毒检测工具不能发现病毒时，如果不会用感染实验法，便束手无策。如果使用感染实验 法，可以检测出病毒检测工具不认识的新病毒，可以摆脱对病毒检测工具的依赖，自主 地检测可疑新病毒。

这种方法的原理是利用了病毒的最重要的基本特征：感染特性。

如果系统中有异常行为，最新版的检测工具也查不出病毒时，就可以做感染实验，运行 可疑系统中的程序后，再运行一些确切知道不带毒的正常程序，然后观察这些正常程序 的长度和校验和，如果发现有的程序增长，或者校验和变化，就可判断系统中有病毒。

行为软件模拟法：

多态性病毒每次感染都变化其病毒代码，对付这种病毒，特征代码发失效。因为多态性 病毒代码实施密码化，而且每次所用密钥不同，把染毒文件中的病毒代码互相比较，也 无法找出相同的可能作为特征的稳定代码。虽然行为检测法可以检测多态性病毒，但是 在检测出病毒后，无法做杀毒处理，因为不知病毒的种类，难以做杀毒处理。

软件模拟法：它是一种软件分析器，用软件方法来模拟和分析程序的运行。新型检测工 具纳入了软件模拟法，该类工具开始运行时，使用特征代码法检测病毒，如果发现隐蔽 性病毒或多态性病毒嫌疑时，启动软件模拟模块，监视病毒的运行，待病毒自身的密码 译码以后，再运用特征代码罚来识别病毒的种类。

分析法（专业人员）：

目的：

1.确认被观察的磁盘引导区和程序中是否含有病毒。

2.确认病毒的类型和种类，判定其是否是一种新病毒。

3.搞清楚病毒体的大致结构，提取特征识别用的字符串或特征字，用于增添到病毒 代码库供病毒扫描和识别程序用。

4.详细分析病毒代码，为制定相应的反病毒措施指定方案。

病毒检测的分析法是反病毒工作中不可或缺重要技术，任何一个性能优良的反病毒系统 的研制和开发都离不开专门人员对各种病毒的详尽而认真的分析。

分析的步骤分为动态和静态两种。

静态分析是指利用DEBUG等反汇编程序将病毒代码打印成反汇编后的程序清单进行 分析。

动态分析是指利用DEBUG等程序调试工具在内存带毒的情况下，对病毒做动态跟踪， 观察病毒的具体工作过程，以进一步在静态分析的基础上理解病毒工作的原理。

总结：

1.利用原始备份和被检测程序相比较的方法适合于不需专用软件，可以发现异常情况的场合，是一种简单的基本的病毒检测方法。

2.扫描特征串和识别特征字的方法适用于制作成查病毒软件的方式供广大PC机用户适用，方便迅速，但对新出现的病毒会出现漏查的情况，需要与分析和比较法相结合。

3.分析病毒的方法主要是由专业人员识别病毒，研制反病毒系统时使用，要求较多的专业知识，是反病毒研究不可缺少的方法。