【正确答案】 C

【答案解析】本题考查杀毒软件技术的基本概念。
杀毒软件的查杀原理主要有以下几种。
1．特征码法
杀毒软件运用特征码扫描确定某文件为病毒时，这个文件需要满足两个条件：
(1)该文件中的某一位置与杀毒软件病毒库的某一位置相对应。
(2)该位置上存放的代码与病毒库中定义的该位置上的代码相同。
特征码法的特点：速度慢、误报警率低、不能检查多态性病毒、不能对付隐蔽性病毒。
2．校验和法
运用校验和法查病毒采用以下3种方式。
(1)在检测病毒工具中纳入校验和法，对被查的对象文件计算正常状态的校验和，将校验和值写入被查文件中或检测工具中而后进行比较。
(2)在应用程序中放入校验和法自我检查功能，将文件正常状态的校验和写入文件本身中，每当应用程序启动时比较现行校验和与原校验和值，实现应用程序的自检测。
(3)将校验和检查程序常驻内存，每当应用程序开始运行时自动比较检查应用程序内部或别的文件中预先保存的校验和。
校验和法的优点：方法简单、能发现未知病毒、被查文件的细微变化也能发现。缺点：会误报警、不能识别病毒名称、不能对付什隐蔽型病毒。
3．行为监测法
利用病毒的特有行为特征来监测病毒的方法。
监测病毒的行为特征：占有INT13H、改DOS系统为数据区的内存总量、对.com、.exe文件做写入动作、病毒程序与宿主程序的切换。
行为监测法的优点：可发现未知病毒、可相当准确地预报未知的多数病毒。缺点：可能误报警、不能识别病毒名称、实现时有一定难度。
4．软件模拟法
在虚拟机中综合运用多种查杀方法就是通常所说的软件模拟法。
软件模拟法的优点：对病毒的判定能力最强，因为综合了多种查毒方法。缺点：扫描速度慢、查毒往往不准确。
5．主动防御
主动防御是基于程序行为自主分析判断的实时防护技术，不以病毒的特征码作为判断病毒的依据，而是从最原始的病毒定义出发，直接将程序的行为作为判断病毒的依据。主动防御是用软件自动实现了反病毒工程师分析判断病毒的过程，解决了传统安全软件无法防御未知恶意软件的弊端，从技术上实现了对木马和病毒的主动防御。
主动防御技术特点如下。
(1)创立动态仿真反病毒专家系统。对病毒行为规律分析、归纳、总结，并结合反病毒专家判定病毒的经验，提炼成病毒识别规则知识库。模拟专家发现新病毒的机理，通过对各种程序动作的自动监视，自动分析程序动作之间的逻辑关系，综合应用病毒识别规则知识，实现自动判定新病毒，达到主动防御的目的。
(2)自动准确判定新病毒。分布在操作系统的众多探针，动态监视运行的程序调用各种应用编程接口(API)的动作，自动分析程序动作之间的逻辑关系，自动判定程序行为的合法性，实现自动诊断新病毒，明确报告诊断结论；有效克服当前安全技术大多依据单一动作，频繁询问是否允许修改注册表或访问网络，给用户带来困惑以及用户因难以自行判断，导致误判、造成危害产生或正常程序无法运行的缺陷。
(3)程序行为监控并举。在全面监视程序运行的同时，自主分析程序行为，发现新病毒后，自动阻止病毒行为并终止病毒程序运行，自动清除病毒，并自动修复注册表。
(4)自动提取特征值实现多重防护。在采用动态仿真技术的同时，有效克服特征值扫描技术滞后于病毒出现的缺陷，发现新病毒后自动提取病毒特征值，并自动更新本地未知特征库，实现“捕获、分析、升级”自动化，有利于对此后同一个病毒攻击的快速检测，使用户系统得到安全高效的多重防护。
(5)可视化显示监控信息。对所监控程序行为的信息可视化显示，用户可随时了解计算机正在运行哪些程序，其中哪些是系统程序，哪些是应用程序，还可进一步了解程序是何时安装，什么时候运行，运行时是否修改了注册表启动项，是否生成新的程序文件，程序是否具有自启动，程序由谁启动执行，程序调用了哪些模块，以及当前网络使用状况等。用户直观掌握系统运行状态，并依据其分析系统安全性。既可用做系统分析工具，又可作为用户了解计算机系统的学习工具。