特徵碼
特徵碼又稱電腦病毒特徵碼,它主要由防毒公司製作,一般都是被防毒軟件公司確定為只有該病毒才可能會有的一串二進制字串,而這字串通常是檔案里對應程式碼或組譯指令的機械碼。防毒軟件會將這一串二進制字串用某種方法與目標文件或處理程式作對比,從而判定該檔案或行程是否感染病毒。
提取與製作
編輯過去在某一種電腦病毒大爆發時,一些防毒公司可能會採取計算整個病毒檔案的MD5或SHA-256作為特徵碼的方法來加快查殺效率。 而在平時,會採用以靜態分析檔案的結構為主並結合動態的分析的方法,通過反組譯來尋找病毒的內容代碼段、入口點代碼段、機械碼段等等資訊。一般提取2個以上的代碼段,有時會直接採用入口點的代碼段來製作特徵碼。
例子:
| 這是一段來自開放原始碼防毒軟件 Clam AntiVirus的病毒特徵庫的病毒特徵碼 | |||||
|---|---|---|---|---|---|
| 特徵碼串 | 14200 | : | 917cb8a3d1d9eb24af6c5bcf3bf7e401 | : | Trojan.Downloader-1420 |
| 含義 | 意義不明 | 分割號 | 主特徵碼段 | 分割號 | 病毒名稱 |