2. 计算机
  3. Which of the following antivirus detection methods is the most recent to the industry and monitors suspicious code as it execute

Which of the following antivirus detection methods is the most recent to the industry and monitors suspicious code as it execute

admin2013-12-19  95
问题 Which of the following antivirus detection methods is the most recent to the industry and monitors suspicious code as it executes within the operating system?
选项 A、Behavior blocking
B、Fingerprint detection
C、Signature-based detection
D、Heuristic detection
答案A
解析 A正确。在以上所列的方法中,行为封锁(behavior blocking)是抗病毒检测方法的最新演变。行为封锁允许可疑代码在操作系统内执行,然后观察它的互动以寻找可疑活动。这些活动包括向启动文件或者注册表中的RUN项中写入信息;打开、删除或者修改文件;脚本化电子邮件消息以发送可执行代码;创建或者修改宏和脚本。如果反病毒程序检测到这些潜在的可疑活动,它可以终止这个软件的运行并向用户发出一个提示消息。行为封锁的一个缺点就是这个恶意代码必须真正地、实时地执行。这类不问断监控也需要高等级的系统资源。
B不正确。因为指纹检测(fingerprint detection,也叫基于签名的检测)并不在代码执行时监控恶意代码。相反,反病毒软件会扫描进入的数据,并对比文件、电子邮件消息等的签名,看其是否与反病毒软件数据库中的签名匹配。签名是从病毒本身或者病毒在攻击中所实施的步骤中提取的一个代码序列。如果确认了一个匹配对,那么这个反病毒软件便会采取任何它被配置采取的保护措施。反病毒软件可以隔离该文件、尝试通过移除该病毒以清理文件、向用户提供警告消息对话框和(或)记录这一事件。
C不正确。因为基于特征的检测(signature-based detection)在程序在操作系统中执行前,使用签名(病毒代码模式)来识别恶意软件或者活动模式。基于特征的检测是一种有效地检测恶意软件的方法,但是它对新的威胁有一个延迟响应时间。一旦检测到病毒,反病毒软件的供应商应该研究它,开发和测试一个新的签名,并发布这一签名,所有客户都必须把该签名下载下来。
D不正确。因为启发式检测(heuristic detection),用于分析可执行代码的整体结构、评估被编码的指令和逻辑函数,并评估它为恶意的可能性。使用启发式检测的反病毒软件有一种“可疑计数器”,它随着程序发现更多潜在恶意属性而递增。一旦达到了预定义的阈值,这个代码便被正式认为是危险的,反病毒软件随即开始保护这个系统。
转载请注明原文地址:https://kaotiyun.com/show/pNhZ777K
0

CISSP认证

相关试题推荐
随机试题
最新回复(0)