讨论:Norton Antivirus扫描的原理是什么?高手请进!!

如题。

解决方案 »

  1.   

    1:定位文件
    2:判断文件是否有病毒
    3:报告结果附带的还有内存扫描漏洞扫描等
    重要是在2
    大概一个这样的流程
    start:
    getfiletype
    {
         if isarchive then for each archive goto start
         if ispacked then  unpacked goto start
         if isdocument then exit
         scanvious
         killvious
         reportvious
    }
      

  2.   

    getfiletype
    {
         if isarchive then for each archive goto start
         if ispacked then  unpacked goto start
         if isdocument then exit
         scanvious
         killvious
         reportvious
    }理论上说,如果存在这样一种病毒,就可以欺骗杀毒软件:在getfiletype的时候,杀毒软件得到的结果是isdocument,但是它本身确是windows exe文件。这种可能存在吗?
      

  3.   

    理论上说,如果存在这样一种病毒,就可以欺骗杀毒软件:在getfiletype的时候,杀毒软件得到的结果是isdocument,但是它本身确是windows exe文件。这种可能存在吗?不存在, 如果是他符合windows标准格式的pe头
    不管他怎么伪装, 一定可以查出是个执行文件。
    不是根据文件扩展名判断,而是根据文件内容判断
      

  4.   

    还有另外一种假设,就是如果可执行程序A是被杀毒程序视别的病毒,能否在A中用比较低级的方法(如二进制,像用winrar绑定两个exe程序那样,或者别的,我不知道。)写入一些东西,使得A的特征发生变化,导致杀毒程序无法识别。这种可能存在吗?另外,好像听说VB无法做到病毒的变种,那一般是汇编的事情,对吗?