特徵碼又稱電腦病毒特徵碼,它主要由反病毒公司製作,一般都是被反病毒軟件公司確定為只有該病毒才可能會有的一串二進制字符串,而這字符串通常是文件里對應程式碼或匯編指令的機械碼。殺毒軟件會將這一串二進制字符串用某種方法與目標文件或處理程序作對比,從而判定該文件或進程是否感染病毒。

提取與製作

過去在某一種電腦病毒大爆發時,一些反病毒公司可能會採取計算整個病毒文件的MD5SHA-256作為特徵碼的方法來加快查殺效率。 而在平時,會採用以靜態分析文件的結構為主並結合動態的分析的方法,通過反匯編來尋找病毒的內容代碼段、入口點代碼段、機械碼段等等信息。一般提取2個以上的代碼段,有時會直接採用入口點的代碼段來製作特徵碼。

例子:

這是一段來自開放原始碼防毒軟體 Clam AntiVirus病毒特徵庫的病毒特徵碼
特徵碼串 14200 : 917cb8a3d1d9eb24af6c5bcf3bf7e401 : Trojan.Downloader-1420
含義 意義不明 分割號 主特徵碼段 分割號 病毒名稱

外部連結

Wikiwand in your browser!

Seamless Wikipedia browsing. On steroids.

Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.

Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.