×

病毒分析

各种病毒特征及其表现?计算机病毒检测技术主要分为哪几个方面

admin admin 发表于2023-02-06 00:38:51 浏览68 评论0

抢沙发发表评论

本文目录

各种病毒特征及其表现

(一)非授权可执行性用户通常调用执行一个程序时,把系统控制交给这个程序,并分配给他相应系统资源,如内存,从而使之能够运行完成用户的需求。因此程序执行的过程对用户是透明的。而计算机病毒是非法程序,正常用户是不会明知是病毒程序,而故意调用执行。但由于计算机病毒具有正常程序的一切特性:可存储性、可执行性。它隐藏在合法的程序或数据中,当用户运行正常程序时,病毒伺机窃取到系统的控制权,得以抢先运行,然而此时用户还认为在执行正常程序。
(二)隐蔽性 计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序。它通常粘附在正常程序之中或磁盘引导扇区中,或者磁盘上标为坏簇的扇区中,以及一些空闲概率较大的扇区中,这是它的非法可存储性。病毒想方设法隐藏自身,就是为了防止用户察觉。
(三)传染性传染性是计算机病毒最重要的特征,是判断一段程序代码是否为计算机病毒的依据。病毒程序一旦侵入计算机系统就开始搜索可以传染的程序或者磁介质,然后通过自我复制迅速传播。由于目前计算机网络日益发达,计算机病毒可以在极短的时间内,通过像 Internet这样的网络传遍世界。
(四)潜伏性计算机病毒具有依附于其他媒体而寄生的能力,这种媒体我们称之为计算机病毒的宿主。依靠病毒的寄生能力,病毒传染合法的程序和系统后,不立即发作,而是悄悄隐藏起来,然后在用户不察觉的情况下进行传染。这样,病毒的潜伏性越好,它在系统中存在的时间也就越长,病毒传染的范围也越广,其危害性也越大。
(五)表现性或破坏性无论何种病毒程序一旦侵入系统都会对操作系统的运行造成不同程度的影响。即使不直接产生破坏作用的病毒程序也要占用系统资源(如占用内存空间,占用磁盘存储空间以及系统运行时间等)。而绝大多数病毒程序要显示一些文字或图像,影响系统的正常运行,还有一些病毒程序删除文件,加密磁盘中的数据,甚至摧毁整个系统和数据,使之无法恢复,造成无可挽回的损失。因此,病毒程序的副作用轻者降低系统工作效率,重者导致系统崩溃、数据丢失。病毒程序的表现性或破坏性体现了病毒设计者的真正意图。
(六)可触发性计算机病毒一般都有一个或者几个触发条件。满足其触发条件或者激活病毒的传染机制,使之进行传染;或者激活病毒的表现部分或破坏部分。触发的实质是一种条件的控制,病毒程序可以依据设计者的要求,在一定条件下实施攻击。这个条件可以是敲入特定字符,使用特定文件,某个特定日期或特定时刻,或者是病毒内置的计数器达到一定次数等。
“计算机病毒”一词最早是由美国计算机病毒研究专家F--Cohen博士提出的。
“病毒”一词是借用生物学中的病毒。通过分析、研究计算机病毒,人们发现它在很多方面与生物病毒有着相似之处。要做反计算机病毒技术的研究,首先应搞清楚计算机病毒的特点和行为机理,为防范和清除计算机病毒提供充实可靠的依据。
再生机制是生物病毒的一个重要特征。通过传染,病毒从一个生物体扩散到另一个生物体。在适宜的条件下,它得到大量繁殖,并进而使被感染的生物体表现出病症甚至死亡。同样地,计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。这就是计算机病毒最重要的特征——传染和破坏。与生物病毒不同的是,计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,就与系统中的程序连接在一起,并不断地去传染(或连接、或覆盖)其它未被感染的程序。具有这种特殊功能的程序代码被称为计算机病毒。携带有这种程序代码的计算机程序被称为计算机病毒载体或被感染程序。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。正常的计算机程序是不会将自身的代码强行连接到其它程序之上的。比如DOS的FORMAT程序决不会将其程序代码连接到别的程序中去。在系统生成过程中有些系统的安装程序会修改相关程序的参数配置,如 MSWindows系统。有些程序通过自身的设置功能,按用户要求会修改自己的参数设置,如Borland公司的SideKick。还有些程序出于加密防拷贝或某些其它目的,在运行时动态改变自身的程序代码,如Xcom通信程序。在这几种情况下,那些被修改的程序内部的确发生了变化,但这些变化只局限于各自应用系统的内部,不会发生将自身代码连接到毫不相干的程序之上的情形。计算机病毒的再生机制,即它的传染机制却是使病毒代码强行传染到一切未受到传染的程序之上,迅速地在一台计算机内,甚至在一群计算机之间进行传染、扩散。每一台被感染了计算机病毒的计算机,本身既是一个受害者,又是一个新的计算机病毒的传染源。被感染的计算机往往在一定程度上丧失了正常工作的能力,运行速度降低,功能失常,文件和数据丢失,同时计算机病毒通过各种可能的渠道,如软盘、计算机网络去传染其它的计算机。当你在一台机器上发现了病毒时,往往曾在这台计算机上用过的软盘已感染上了病毒;而与这台机器相邻的其它几台计算机也许早已被该病毒侵染上了。通过数据共享的途径,计算机病毒会非常迅速地蔓延开,若不加控制,就会在短时间内传播到世界各个角落里去。可见反计算机病毒的问题是一个全球范围的问题。在我国发现的首例计算机病毒就是国外称为意大利病毒的小球病毒。在我国首先发现的Traveller病毒随着国际间的交往,也扩散到国外,其大名出现在国外杀病毒软件的病毒黑名单中。与生物病毒不同,所有的计算机病毒都是人为编写的计算机程序代码,是人为制造出来的而不是天生的。这些着意编写的计算机程序代码,其原始形式可以是C语言,可以是BASIC程序,可以是汇编语言程序,也可以是批命令程序,还可以是机器指令程序。其共同特点就是具有传染性和破坏性。
计算机病毒的另一个特点是只有当它在计算机内得以运行时,才具有传染性和破坏性等活性。也就是说计算机CPU的控制权是关键问题。若计算机在正常程序控制下运行,而不运行带病毒的程序,则这台计算机总是可靠的。在这台计算机上可以查看病毒文件的名字,查看计算机病毒的代码,打印病毒的代码,甚至拷贝病毒程序,却都不会感染上病毒。反病毒技术人员整天就是在这样的环境下工作。他们的计算机虽也存有各种计算机病毒的代码,但已置这些病毒于控制之下,计算机不会运行病毒程序,整个系统是安全的。相反,计算机病毒一经在计算机上运行,绝大多数病毒首先要做初始化工作,在内存中找一片安身之处,随后将自身与系统软件挂起钩来,然后再执行原来被感染程序。这一系列的操作中,最重要的是病毒与系统软件挂起钩来,只要系统不瘫痪,系统每执行一次操作,病毒就有机会得以运行,去危害那些未曾被感染的程序。病毒程序与正常系统程序,或某种病毒与其它病毒程序,在同一台计算机内争夺系统控制权时往往会造成系统崩溃,导致计算机瘫痪。反病毒技术也就是要提前取得计算机系统的控制权,识别出计算机病毒的代码和行为,阻止其取得系统控制权。反病毒技术的优劣就是体现在这一点上。一个好的抗病毒系统应该不仅能可靠地识别出已知计算机病毒的代码,阻止其运行或旁路掉其对系统的控制权(实现安全带毒运行被感染程序),还应该识别出未知计算机病毒在系统内的行为,阻止其传染和破坏系统的行动。而低性能的抗病毒系统只能完成对抗已知病毒的任务,对未知病毒则束手无策,任其在系统内扩散与破坏。所谓未知病毒是指新出现的,以前未曾分析过的计算机病毒。在1992年初,DIRⅡ病毒对我国广大PC机用户来说就是一种未知病毒。与未曾相识的敌手对阵不是件容易的事。DIRⅡ病毒采用嵌入DOS系统的设备驱动程序链的方法攻击IBMPC及其兼容机,是一种与以往病毒工作机制不同的新型计算机病毒。由于其夺取PC机系统控制权的方法很特别,在它的攻势下,大批抗病毒系统败下阵来。从这个例子可以看到,对付计算机病毒,目前尚无完满通用的解决方案,反病毒技术需要不断发展,以对抗各种新病毒。
不经过程序代码分析或计算机病毒代码扫描,病毒程序与正常程序是不容易区别开来的。在没有防护措施的情况下,计算机病毒程序经运行取得系统控制权后,可以在不到1秒钟的时间里传染几百个程序,而且在屏幕上没有任何异常显示。传染操作完成后,计算机系统仍能运行,被感染的程序仍能执行,好像不曾在计算机内发生过什么。这种现象就是计算机病毒传染的隐蔽性。正是由于这隐蔽性,计算机病毒得以在用户没有察觉的情况下游荡于世界上百万台计算机中。让我们设想,如果计算机病毒每当感染一个新的程序时都在屏幕上显示一条信息“我是病毒程序,我要干坏事了”,那么计算机病毒早就被控制住了。确实有些病毒非常“勇于暴露自己”,时不时在屏幕上显示一些图案或信息,或演奏一段乐曲。往往此时那台计算机内已有许多病毒的拷贝了。许多计算机用户对计算机病毒没有任何概念,更不用说心理上的警惕了。他们见到这些新奇的屏幕显示和音响效果,还以为是来自计算机系统,而没有意识到这些病毒正在损害计算机系统,正在制造灾难。如磁盘杀手(DiskKiller)病毒,当它破坏磁盘数据时,屏幕上显示如下信息: “DiskKillerVersion1.00byOgreSoftware,April1, 1989.Don’tturnoffthepowerorremovethediskettewhileprocessing.”这两句话中,第一句的含义是:“磁盘杀手1.00版OgreSoftware公司1989年4月1日出版。”第二句的含义是:“在处理过程中请不要关机或取出磁盘。”接着屏幕上显示出“PROCESSING”意思是“正在处理”这时DiskKiller病毒锁定键盘,对磁盘上的数据做加密变换处理。计算机的处理速度是很快的,当你在屏幕上见到上述显示信息时,已经有很多数据被病毒破坏掉了。计算机病毒的第二个隐蔽性在于,被病毒感染的计算机在多数情况下仍能维持其部分功能,不会由于一感染上病毒,整台计算机就不能启动了,或者某个程序一旦被病毒所感染,就被损坏得不能运行了。如果出现这种情况,病毒也就不能流传于世了。计算机病毒设计的精巧之处也在这里。正常程序被计算机病毒感染后,其原有功能基本上不受影响,病毒代码附于其上而得以存活,得以不断地得到运行的机会,去传染出更多的复制体,与正常程序争夺系统的控制权和磁盘空间,不断地破坏系统,导致整个系统的瘫痪。病毒的代码设计得非常精巧而又短小。典型的是Tiny家族。这个家族的病毒都很短小,最小的病毒代码长度只有133字节。一般PC机对DOS文件的存取速度可达每秒100KB以上,所以病毒将这短短的几百字节感染到正常程序之中所花的时间只是转瞬之间,非常不易被察觉。
与隐蔽性相关联的是计算机病毒的潜伏性。潜伏性的第一种表现是指,病毒程序不用专用检测程序是检查不出来的,因此病毒可以静静地躲在磁盘或磁带里呆上几天,甚至几年,一旦时机成熟,得到运行机会,就又要四处繁殖、扩散,继续为害。潜伏性的第二种表现是指,计算机病毒的内部往往有一种触发机制,不满足触发条件时,计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足,有的在屏幕上显示信息、图形或特殊标识,有的则执行破坏系统的操作,如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等。计算机病毒使用的触发条件主要有以下三种。(1)利用计算机内的实时时钟提供的时间作为触发器这种触发条件被许多病毒所采用,触发的时间有的精确到百分之几秒,有的则只区分年份。表11列出了一些病毒触发的时间,可以供防范计算机病毒时参考。(2)利用病毒体内自带的计数器作为触发器计算机病毒利用计数器记录某种事件发生的次数,一旦计数器达到某一设定的值,就执行破坏操作。这些事件可以是计算机开机的次数,可以是病毒程序被运行的次数,还可以是从开机起被运行过的总的程序个数等。(3)利用计算机内执行的某些特定操作作为触发器特定操作可以是用户按下某种特定的键组合,可以是执行格式化命令,也可以是读写磁盘的某些扇区等。表11计算机病毒触发时间一览表被计算机病毒使用的触发条件是多种多样的,而且往往不只是使用上面所述的某一条件,而是使用由多个条件组合起来的触发条件。大多数病毒的组合触发条件是基于时间的,再辅以读、写盘操作,按键操作以及其它条件。如在我国广为流传的小球病毒,每当系统时钟为整点或半点时,系统又正在进行读盘操作,而该盘是未被感染的,等等,一旦这些条件得到满足时,小球病毒的屏幕显示部分便被激活,一个小球弹跳在屏幕上。若显示器是CGA类型的,又正在使用汉字系统,则整个屏幕显示会不停地上下翻滚,使操作根本无法进行。小球病毒的触发条件在各种触发条件中是很典型的,既有时间的条件,又有功能操作的条件,而且条件之间还存在着逻辑“与”和逻辑“或”的关系。利用这种触发条件,计算机病毒不是随时随地表现自己,而是在适当的时机——条件满足时才向你示威,轻则只是在屏幕上显示些信息,重则要销毁数据,弄垮整个系统。计算机病毒的破坏作用是多种多样的。有一种分类方法是将病毒分为恶性病毒和良性病毒。恶性病毒就是指在其代码中包含有损伤和破坏计算机系统的操作,在其传染或发作时会对系统产生直接的破坏作用。这类病毒是很多的,如米开朗琪罗病毒。当米氏病毒发作时,硬盘的前17个扇区将被彻底破坏,使整个硬盘上的数据无法被恢复,造成的损失是无法挽回的。有的病毒还会对硬盘做格式化等破坏。这些操作代码都是刻意编写进病毒的,这是其本性之一。因此这类恶性病毒是很危险的,应当注意防范。所幸防病毒系统可以通过监控系统内的这类异常动作识别出计算机病毒的存在与否,或至少发出警报提醒用户注意。良性病毒是指其不包含有立即对计算机系统产生直接破坏作用的代码。这类病毒为了表现其存在,只是不停地进行扩散,从一台计算机传染到另一台,并不破坏计算机内的数据。有些人对这类计算机病毒的传染不以为然,认为这只是恶作剧,没什么关系。其实良性、恶性都是相对而言的。良性病毒取得系统控制权后,会导致整个系统运行效率降低,系统可用内存总数减少,使某些应用程序不能运行。它还与操作系统和应用程序争抢CPU的控制权,时时导致整个系统死锁,给正常操作带来麻烦。有时系统内还会出现几种病毒交叉感染的现象,一个文件不停地反复被几种病毒所感染。例如原来只有10KB的文件变成约90KB,就是被几种病毒反复感染了数十次。这不仅消耗掉大量宝贵的磁盘存储空间,而且整个计算机系统也由于多种病毒寄生于其中而无法正常工作。因此也不能轻视所谓良性病毒对计算机系统造成的损害。 �计算机病毒的实现方法是千差万别的,加上许多病毒采用加密处理技术,使得被感染的程序恢复原形的工作,即杀毒工作很困难。目前还没有通用的、能可靠自动清病毒的方法。很多研究人员在这方面作了很多努力,一些国外商品软件也具有免疫功能(Immunize),但都存在缺陷,不尽如人意。某些病毒对系统的感染所造成的损失是不可挽回的,要修复被感染的文件是不可能的。当被新病毒感染后,要清除这些病毒,不仅需要耗费大量时间和精力去仔细地分析病毒代码,而且还需要对病毒和计算机系统有全面的了解。因此抗计算机病毒工作最重要的就是防御病毒,不让病毒侵入系统。一旦遭到破坏,做修复工作就很麻烦了,甚至是不可能的。
在对抗计算机病毒的斗争中,很重要的一项工作就是计算机病毒的分类与命名。计算机病毒的分类可以有多种方法:按病毒对计算机系统的破坏性划分,有良性病毒和恶性病毒,已如上述。按病毒攻击的机型划分,有苹果机病毒,IBMPC机病毒,小型机病毒等。按危害对象划分,有损害计算机的病毒和损害网络通信的病毒。对于侵害IBMPC机的PC机病毒,也就是本书要着重讨论、要重点对抗的病毒,可以有更科学的分类。进行这种分类的目的,就是要了解病毒的工作机理,针对其特点,采取更加有效的方法,防御和清除计算机病毒。对PC机病毒,比较公认的、科学的划分是将PC机病毒分为引导区型病毒、文件型病毒和混合型病毒(即又侵染引导区又感染文件的病毒)。这种划分方法对于检测、清除和预防病毒工作是有指导意义的,它不仅指明了不同种类病毒各自在PC机内的寄生部位,而且也指明了病毒的攻击对象。因此,可以通过采取相应的措施保护易受病毒攻击的部位,如分区表所在的主引导扇区、DOS引导扇区以及可执行文件等,并进而找到综合、有效的反计算机病毒措施。�与国际上的情况一样,国内常见的PC机病毒中,引导区型比文件型病毒种类少,而混合型的最少。这三种类型的病毒都是既有良性的又有恶性的。常见的文件型病毒有Jerusalem、1575、扬基病毒、648、V2000、1701落叶病毒等。常见的引导区型病毒有大麻、小球、米氏病毒、6.4病毒和香港病毒等。混合型病毒常见的有新世纪病毒、Flip等。一种计算机病毒往往有多个名字。人们在讨论病毒防范时经常要弄清他们正在讨论的是不是同一种病毒。如1701病毒的别名有落叶病毒、落泪病毒、1704病毒、雨点病毒、感冒病毒等。国外又称雨点病毒为Flu病毒和 JOJO病毒。香港病毒又称为封锁病毒、不打印病毒、Blockade病毒和端口病毒等。所以由此产生的统计数字有时也带有偏差。目前国际上也尚无统一的规范用以协调和指导这方面的命名工作。美国的抗病毒产品开发商集团AVPD正在各个成员单位间进行计算机病毒的收集、识别、命名以及抗病毒产品开发等协调工作。在没有见到对某种病毒的确切描述以及对它公认的命名时,人们会根据该病毒的工作机理、表现形式、内含的ASCII字符串、病毒程序的代码长度、发作日期或时间、该病毒的发现地、被病毒攻击的机型、病毒中表现模块发出的音响或显示的图形以及该病毒发现者当时能体会到的各种特征来为它命名。前面所列举的 1701、香港病毒就都属于这种情况。为某种新出现的计算机病毒命名,目的就是要使人们能快速、准确地辨识出该病毒,以便防范和诊治。因此该命名应能最好地体现出该病毒的特征,使之不容易与其它现存的计算机病毒混淆。
计算机病毒如今已是PC机用户的一大公害,它造成的损失和破坏难以估计。而一些恶作剧者、一些怀有报复心理的程序员、一些蓄意破坏者和一些为了政治目的、经济利益以及军事目的的病毒编制者,仍在制造着各种各样的计算机病毒。有些病毒仅仅是以前某种病毒的变种。某些人通过反汇编等各种手段,对原病毒的内部模块,如表现模块、破坏模块、传染模块等加以修改,使之成为一种基于原病毒又不同于原病毒的新的计算机病毒,这就是计算机病毒的变种。某些病毒变种只是简单地对原种病毒的显示信息加以改动,而对传染模块等重要代码未动分毫。而另外一些变种在修改了一些重要的代码后,病毒以新的机制工作,此时,这种变种已演化为一种新的病毒,已不能被叫做其原型病毒的变种了。生物界里的病毒也几乎以相同的方式在演化着,一种病毒可能会衍生出若干种具有共同基本特征的病毒种系,成为一个病毒家族。而当发生突变时,则会产生出一种新的病毒。对付老病毒及其变种,人们已有成功的经验和药物作为对策,而对于新的尚未接触过的病毒,在未做仔细研究与试验之前,是很难采取合适的对策的。对付计算机病毒,人们也遇到类似的问题。如何准确地捕获用常用软件无法识别出的新病毒,以及分析和研究它的工作机理和特性,是需要专门知识的,不分析它的传染机制,就无法研制出防范和清除病毒的工具软件。

计算机病毒检测技术主要分为哪几个方面

第一,智能广谱扫描技术。这一技术是为了躲避杀毒软件的查杀,通过对非连续性和转变性较大的病毒的所有字节进行分析,并且进行整合的一种高变种的病毒,被称为智能广谱扫描技术,这一技术是按照目前病毒的类型和形式的千变万化的情况研发而出的。由于传统的病毒在目前一些杀毒软件中都有一定的资料,检测技术也就相对比较简单,那么为了使用杀毒软件找出病毒,必须要对计算机病毒检测技术进行改革,智能广谱扫描技术能够对病毒的每一个字节进行分析,在发现程序代码中的字节出现相同或者是相近的两个病毒编码就可以确定其为病毒。这一技术的优点有准确性高,查找病毒速度快等优点,但是需要收集较多的信息,针对于新的病毒并没有杀毒功能,主要是针对已经存在的病毒进行杀毒。
  第二,虚拟机技术。虚拟机技术也就是用软件先虚拟一套运转环境,让病毒在虚拟的环境中进行,以此来分析病毒的执行行为,并且由于加密的病毒在执行的时候需要解密,那么就可以在解密之后通过特征码来查杀病毒,在虚拟的环境中病毒的运转情况都被监控,那么在实际的环境中就可以有效的检测出计算机病毒。虚拟机技术主要针对的是一些新生代的木马、蠕虫病毒等,这一技术具有提前预知性,识别速度较快等优点。
  第三,特征码过滤技术。在病毒样本中选择特征码,特征码在一般情况下选得较长,甚至可以达到数十字节,通过特征码对各个文件进行扫描,在发现这一特征码的时候就说明该文件感染了病毒。一般在选择特征码的时候可以根据病毒程序的长度将文件分成几份,这能够有效的避开采用单一特征码误报病毒现象的发生,此外在选择特征码的时候要避开选出的信息是通用信息,应该具有一定的特征,还要避开选取出来的信息都是零字节的,最后需要将选取出来的几段特征码,以及特征码的偏移量存入病毒库,再表示出病毒的名称也就可以。特征码过滤技术具有检测准确快速,误报警率低,可识别病毒名称等优点,但是它也存在着一些缺点,例如:速度慢,不能够对付隐蔽性的病毒等,主要是针对已知病毒进行分析和记忆贮存。
  第四,启发扫描技术。由于新的病毒的不断出现,传统的特征码查杀病毒很难查出新的病毒,那么为了能够更好的检测病毒的相关代码,研发了启发式扫描技术,启发扫描技术不能够对一些模棱两可的病毒进行准确的分析,容易出现误报,但是这一技术能够在发现病毒的时候及时的提示用户停止运转程序。这一技术是通过分析指令出现的顺序,或者是特定的组合情况等一些常见的病毒来判断文件是否感染了病毒。由于病毒需要对程序进行感染破坏,那么在进行病毒感染的时候都会有一定的特征,可以通过扫描特定的行为或者是多种行为的组合来判断程序是否是病毒,我们可以根据病毒与其他程序的不同之处进行分析,来判断病毒是否存在,这一技术主要是针对熊猫烧香病毒等。
  此外还有主动防御技术,虽然这一技术是近些年才出现的新技术,但是它同样能够对抗病毒的威胁,在目前依靠特征码技术已经很难适应反病毒的需求,而主动防御技术就是全程监视病毒的行为,一旦发现出现异常情况,就通知用户或者是直接将程序的进行结束。利用这些计算机反病毒技术能够有效的防止病毒入侵计算机,给用户一个较好的使用环境。这一技术会主动出现造成误差,并且难以检测出行为正常技术较高的病毒,它能够在病毒出现后及时的提醒用户,主要针对的是global.exe病毒等。

电脑病毒怎么分析

您好

1,如果您电脑中了病毒,只分析是分析不出来的,需要杀毒软件检测。

2,可以到腾讯电脑管家官网下载一个电脑管家。

3,使用电脑管家——杀毒——全盘查杀——扫描一下就知道了。

4,电脑管家拥有2大云杀毒引擎,可以通过智能云鉴定检测出电脑中的木马病毒,然后详细把检测出的病毒名称、信息标注出来的。

如果还有其他疑问和问题,欢迎再次来电脑管家企业平台进行提问,我们将尽全力为您解答疑难

宏病毒的分析

宏病毒传播途径主要有:
1,软盘交流染毒文档文件;
2,硬盘染毒,处理的文档文件必将染毒;
3,光盘携带宏病毒;
4,Internet上下载染毒文档文件;
5,BBS交流染毒文档文件;
6,电子邮件的附件夹带病毒。
两支宏病毒分析
1,Nuclear宏病毒
这是一个对操作系统文件和打印输出有破坏功能的宏病毒。这个宏病毒中包含以下病毒宏:AutoExecAutoOpenDropSurivFileExitFilePrintFilePrintDefaultFileSaveAsInsertPayloadPayload这些宏是只执行(Execute-only)宏。
Nuclear宏病毒造成的破坏现象为:
(1)打开一个染毒文档并打印的时候,它会在您打印的最后一段加上“STOPALLFRENCHNUCLEARTESTING
INTHEPACIFIC!”,这个现象是在每分钟的55秒~60秒之间操作打印时发生。
(2)如果在每天17:00~18:00之间打开一个染毒文档,Nuclear病毒会将PH33R病毒传染到计算机上,这是个驻留型病毒。
(3)在每年的4月5日,该病毒会将计算机上IO.SYS和MSDOS.SYS文件清零,并且删除C盘根目录上的COMMAND. COM文件。一旦病毒发作,MSDOS就不可能被引导,计算机将陷入瘫痪。
2,台湾一号病毒
台湾一号病毒会在每月的13日影响您正常使用Word文档和器。它包含以下病毒宏:AutoCloseAutoNewAutoOpen这些宏是可被宏。在病毒宏中含有如下的语句:IfDay(Now())=13Then...这条语句与13日有关。台湾一号病毒造成的危害是:在每月13日,若用户使用Word打开一个带毒的文档(模板)时,病毒会被激发。激发时的现象是:在屏幕正中央弹出一个对话框,该对话框提示用户做一个心算题,如做错,它将会无限制地打开文件,直至Word内存不够,Word出错为止;如心算题做对,会提示用户“什么是巨集病毒(宏病毒)?”,回答“我就是巨集病毒”,再提示用户:“如何预防巨集病毒?”,回答是“不要看我”。

美国成为世界上已知猴痘病例最多的国家,如何从医学角度分析该病毒

猴痘这种病毒在医学上分析是一种病毒性的人畜共患病毒,感染这种病毒的患者会出现发烧头痛等问题,而对于这类患者来说,最具有鲜明的特点就是全身都长满痘痘一样的鼓包,看起来十分令人恐慌。

如今美国已经成为了世界上已知的猴痘 病例最多的国家之一,而对于猴痘病例的突然爆发,更是引起了全世界对于这种病毒的关注,众所周知,猴痘 病例是一种传播性非常广泛的一种病毒,对于人们的生活的影响是十分大的,一经爆发便在全世界各地都引起了人民的恐慌。而对于美国这样一个宣布自由性为主的国家来说,猴痘 病例的突然爆发,更是传播的十分迅速。在过去的一个月关于猴痘 病例,更是在西班牙美国等众多欧洲地区接连出现,而这种猴痘 病毒的大范围传播和爆发更是引起了众多媒体的关注。

据相关的疾控中心专家表示,猴痘 病毒主要是通过患者的呼吸道传播等,如果一些正常人接触过患者的衣服床单等也可能会相应的传播,猴痘 病毒之所以爆发后,便迅速地在全世界引起恐慌的原因,就是因为这种病毒的致死率十分的高,对于人类来说可谓是一场突如其来的灾难。

虽然对于我国来说猴痘 病毒并未有相关的病例的报道,但是要知道对于这种传染性非常强的病毒来说,可能随时都会传入别的国家,而特别是近期欧洲国家大多数都出现了类似猴痘 病毒的这种病例,所以猴痘 病毒传入我国的风险十分的高。而对于这种危险的现象,我国人民及政府和社会上的相关部门也应该做好相关的措施,保护我国人民的人身财产安全。

如何分析病毒

特征码定位 还有内存定位 脱壳 还有启发式杀毒(一些软件会加壳来压缩数据,隐藏程序源代码,防止破解)。神马的。 最多的还是特征码,所以你在杀毒时,硬盘灯在狂闪。不过特征码很容易修改,用mycll神马的。另外杀毒还有系统监控(防止系统文件破坏和病毒运行) 杀毒库更新(查杀新病毒) 系统文件修复 自我保护(没这功能的话,病毒一结束进程,神马杀毒都是浮云。。。。) 还有云杀毒(云引擎) 像中国的老牌杀毒瑞星就是内存定位挺好的。

关于病毒分析

分析病毒的话那应该要用过很多杀软和其它安全工具吧,语言的话c++咯。
这里有篇讲杀软引擎的,希望对你有帮助!(文章太长了,转不完)
|转贴|杀毒软件的引擎- -

郑重声明:本贴原作者为走走看看
为防止误解,特作如下声明:
1.鉴于个人能力有限,文中大量借用了业已在病毒界获得公认的两篇文章:先进杀毒引擎的设计原理 ,流行杀毒软件的引擎设计 。
2.为便于理解,文中很多词语未使用严格的工业研发用语。比如杀毒引擎的前端正式名称为‘基于初步预扫描的(文件)对象汇入工程部分“。很多工业用语听起来很拗口,自己变通了一下,感兴趣者可查阅L.Felly:系统的安全与防护 中的有关章节。
3.我认为现今在全球流行的几款杀毒软件在技术上并不存在谁的技术远远领先的问题,没有必要过与赞扬那一款杀毒软件,自己用着高兴就好。文中对某些杀软的介绍比较详细,主要是因为它的资料较多,有东西可写,没有其余的意思。
4.到现在为止,我已经用过几乎所有的杀毒软件(论坛上提到的)
5. 我个人非常不喜欢设计病毒,私下写过的几个纯粹是写着玩,大部分时候是MM生气的时候写个玩笑程序让她高兴用的
6.很长时间不在专业病毒论坛上走动了。我认为如果因为喜欢程序设计看一下病毒的代码是可以的,当出于其他目的的时候,还是收手吧。
7.鉴于个人能力原因,有一部分是MM写的,MM很漂亮,也很娇气,但对我基本上言听计从,必经一起走过了十几年了。原帖子中有一部分是错误的,已经由她修改过。
8.文中有一部分内容来自一个朋友提供的杀毒软件公司的开发文档,我已经大幅改动过。
9.本人是学生,且正在忙于考G,上网的时间并不怎么多,因此很多问题可能并不能及时作出解答,还望原谅。
10.我一直在使用的杀毒软件(其余的半路都卸了):SAV9.0,KV2004(两套系统)。在我看来杀毒软件就只是一款软件罢了,没必要大家为用什么争来争去,自己感觉好就行了,争论的时间还不如用来多陪陪女友呢。
正文部分
文章比较长,加之本人写作水平有限和某些技术文档需要核实,只能写一段发一段,还望大家原谅。有误之处,敬请指出,谢谢!(各段数值标出,每次均对该文件进行.
1.什么是杀毒软件引擎,与病毒库的关系?
首先必须指出杀毒软件的引擎与其病毒库并没有什么直接的关系。杀毒引擎的任务和功能非常简单,就是对于给定的文件或者程序进程判断其是否是合法程序(对应于杀毒软件厂商自己定义的正常和非异常程序规范而言。正常的程序规范是指在程序所在系统平台上操所系统本身洗净有定义的或者业界已经公认的程序行为过程,比如操作系统正常运行就必须要求应用程序与系统核心进行进程响应并与交换相关数据。非异常程序活动是指可能存在非法程序操作结果但能够以较高的置信度确定其非非法程序活动规范的。一般情况下,相关文件的复制,移动,删除等都奔包括在该界定范围内)。
我们知道病毒的最终目的有些是与合法活动很类似的,在这种情况下,要求软件厂商必须自己有一个行为规范界定规则,在一个给定的范围和置信度下,判断相关操作是否为合法。在这方面,各个厂商的界定是有区别的,一般而言非美国厂商界定是非常严格的,只有有很高的置信水平的程序行为,他们才判别为非病毒操作。记得前一阵论坛上有人给了四段简单的代码,很多杀毒软件将其判为病毒或有病毒性质的文件行为,实际上看那几段代码可以知道,其结果并不足以视之为病毒。美国厂商一般判断比较复杂,这主要由于美国市场上的杀毒软件引擎来源比较复杂,比如诺顿,有足够的技术资料确信它的杀毒软件引擎是自成体系的,而mcafee则存在一定的外界技术引进(收购所罗门)。
用简单的话说,杀毒引擎就是一套判断特定程序行为是否为病毒程序(包括可疑的)的技术机制。一个完整的技术引擎遵守如下的行为过程:
1.非自身程序行为的程序行为捕获。包括来自于内存的程序运行,来自于给定文件的行为虚拟判断,来自于网络的动态的信息等等。一般情况下,我们称之为引擎前端。捕捉的方法非常多,除诺顿以外的杀毒软件采用的都是行为规范代码化的方法。诺顿由于与微软有这远远高于其它厂商合作关系,其实现过程比较独特,另有叙述。
2.基于引擎机制的规则判断。这个环节代表了杀毒引擎的质量水平,一个好的杀毒引擎应该能在这个环节发现很多或者称之为相当规模的病毒行为,存而避免进入下一个判断环节。传统的反病毒软件引擎使用的是基于特征码的静态扫描技术,即在文件中寻找特定十六进制串,如果找到,就可判定文件感染了某种病毒。但这种方法在当今病毒技术迅猛发展的形势下已经起不到很好的作用了。为了更好的发现病毒,相继开发了所谓的虚拟机,实时监控等相关技术。这个环节被叫做杀毒软件引擎工作的核心层。
3.引擎与病毒库的交互作用。这个过程往往被认为是收尾阶段,相对于前两个环节,这个阶段速度是非常慢的,杀毒引擎与要将非自身程序行为过程转化为杀毒软件自身可识别的行为标识符(包括静态代码等),然后与病毒库中所存贮的行为信息进行对应,并作出相应处理。当然必须承认,当前的杀毒软件对大量病毒的识别都是在这个阶段完成的。因此一个足够庞大的病毒库往往能够弥补杀毒软件引擎的不足之处。但是必须意识到,如果在核心层阶段就可以结束并清除病毒程序,那么杀毒软件的工作速度将会大幅提升。“很可惜的是,当前我们没有足够聪明的杀毒引擎来完成这个过程“,这就是为什么有病毒库的原因。
诺顿是微软最高级的安全方面核心合作厂商,因此它的杀毒软件在某些方面工作比较特殊。比如在杀毒软件的安装,使用和功能实现方面,大部分厂商采用的是中间件技术,在系统底层与非自身应用程序之间作为中间件存在并实现其功能;另有一些厂商使用的是应用程序或者嵌入技术,相对而言这种方法安全性较低;诺顿和 mcafee实现方式比较相似,诺顿采用了基于系统最底层的系统核心驱动,这种实现方式是最安全的或者说最高级的实现方式,当然这需要微软的系统源代码级的支持(要花许多money),业界公认,这是最稳定的实现方法,但从目前而言,只诺顿一家。Mcafee实现方式与诺顿很接近,一般称之为软件驱动。相当于在系统中存在一个虚拟“硬件“,来实现杀毒软件功能。这些实现方式关系着杀毒引擎对程序行为进行捕捉的方式。
我们使用的intel系的处理器有两个 ring层,对应两个层,微软的操作系统将系统中的所有行为分为如下几个层:
1.最底层:系统核心层,这个层的所有行为都由操作系统已经内置的指令来实现,所有外界因素(即使你是系统管理员)均不能影响该层的行为。诺顿的核心层既工作在这个层上。
2.硬件虚拟层,一般称之为HAL。为了实现硬件无关性,微软设计了该层。所有的外部工作硬件(相对于系统核心而言)都进入HAL,并被HAL处理为核心层可以相应的指令。我们所使用的硬件的驱动程序既工作在该层上。当外界硬件存在指令请求时,驱动程序作出相关处理后传给核心层。如果无与之对应的驱动相应,那么将按照默认硬件进行处理。好像安全模式下硬件的工作就被置于默认硬件模式。Mcafee被认为工作与该层上。
3.用户层(分为两个子层,不详细叙述,感兴趣的可以查阅《windows xp入门到精通》(有中文版),第二部分四节有叙述)。我们所知的大部分杀毒软件既工作与该层上。一个完整的程序行为请求是如下流程:位于3户层上的应用程序产生指令行为请求,被传递至2HAL进行处理,最后进入1最底层后进入CPU的指令处理循环,然后反向将软件可识别的处理结果经1-2-3再响应给应用程序。对于诺顿而言,其整个工作过程如下:3-2-1,完成;mcafee:3-2-1-1-2,完成:其余:3-2-1-1-2-3,完成;这个环节代表了杀毒软件引擎的前端行为规范的获得。只从这个过程而言,诺顿和mcafee是比较先进的。(具体的系统与CPU的ring()的对应,记不清楚了。 WinNT时代,微软的NT系统被设计有与四个ring()层相对应,RISC系列的处理器有四个ring。因此现在的大部分杀毒软件是不能工作与NT上的。具体的CISC和RISC的ring()数我记得可能有误,反正是一个2ring(),一个4ring().)。
尽管比较先进的工作方式给诺顿和mcafee带来了较高的系统稳定性(HAL层很少出现问题,最底层出问题的几率接近于零),较快的响应速度(减少了环节),但同时也带来了一些问题:1.资源占用比较厉害。在mcafee上体现的不是很明显,在诺顿上表现非常明显。因为对于越底层的行为,硬件资源分配越多。最好资源的是什么?当然是操作系统。应为它最最底层。2.卸载问题。卸载底层的组件出问题的概率是相对比较高的,因此诺顿的卸载比较慢,偶尔还出问题。
有人质疑由于微软操作系统的不稳定性是否会拖累诺顿,想开发人士询问后得知,微软操作系统的内核层设计是非常优秀的,很多时候操作系统的不稳定性来源于以下几个方面:
1.应用程序设计不合理,许多程序设计者根本就未读过微软的32位程序设计指南,所设 计的程序并不严格符合微软规范。我们看到很多软件多年前设计还能运行于最新的xp平台,原因很简单:这个软件在设计时完全遵循了微软的程序设计规范。
2. 驱动程序的编写有问题,与HAL层有冲突。
因此认为微软的操作系统将会影响诺顿的稳定性是不合理的。
注:刚才问了一下偶MM,她告诉我应该是CISC有四个ring(),RISC有两个ring().对应于系统的最低层而言,工作在ring0()上。应用程序工作在ring3()上 。偶的记忆力比较差,文中可能有部分技术错误,请原谅。
业界有人认为,先进杀毒软件的引擎设计已经日趋复杂,类如诺顿这一类的厂商其产品的引擎应该已经覆盖了操作系统的各个层级,以提高防护能力。在一篇文档中有程序员提出有足够的信息认为诺顿,mcafee,趋势的产品自己修改了标准的系统相关协议,比如TCP/IP等,以达到所谓的完整防护的目的。NOD32的一篇官方文档(说实话,我没有看到过)指出有必要全面更新(说白了就是修改)系统的诸多协议,以达到最快的速度和杀毒效果。
要讨论怎样反病毒,就必须从病毒技术本身的讨论开始。正是所谓“知己知彼,百战不殆“。很难想象一个毫无病毒写作经验的人会成为杀毒高手。目前国内一些著名反病毒软件公司的研发队伍中不乏病毒写作高手。只不过他们将同样的技术用到了正道上,以‘毒’攻‘毒’。当今的病毒与DOS和WIN3.x时代下的从技术角度上看有很多不同。最大的转变是:引导区病毒减少了,而脚本型病毒开始泛滥。原因是在当今的操作系统下直接改写磁盘的引导区会有一定的难度(DOS则没有保护,允许调用INT13直接写盘),而且引导区的改动很容易被发现,并且微软在设计操作系统时加强了对引导区的程序行为管理,写一个完美的引导区病毒难度很大,所以很少有人再写了;而脚本病毒以其传播效率高且容易编写而深得病毒作者的青睐。但是最最落后的杀毒引擎也就是只基于静态代码的杀毒引擎都能干掉该种病毒(病毒库搞好就行)。
要讨论的技术主要来自于二进制外壳型病毒(感染文件的病毒),并且这些技术大都和操作系统底层机制或386以上CPU 的保护模式相关,值得研究。DOS下的外壳型病毒主要感染 16位的COM或EXE文件,由于DOS没有(文件和引导区)保护,它们能够轻松地进行驻留,减少可用内存(通过修改MCB链),修改系统代码,拦截系统服务或中断。而到了WIN9X和WINNT/2000时代,搞个运行其上的32位WINDOWS病毒变得难了点。由于存在页面保护,你不可能修改系统的代码页(如果你强到连操作系统代码都能改,偶无话可说)。由于I/O许可位图中的规定,你也不能进行直接端口访问(29A的一个美女可以通过汇编方法直接访问端口的目的,但是没有见过给出事例代码。知道得给介绍一下她的程序代码)WINDOWS中你不可能象在 DOS中那样通过截获INT21H来拦截所有文件操作。总之,你以一个用户态权限运行,你的行为将受到操作系统严格的控制,不可能再象DOS下那样为所欲为了(在xp中,这种权限管理极为严格,大致分成了4-8个等级)。 WINDOWS下采用的可执行文件格式和DOS下的 EXE截然不同(普通程序采用PE格式,驱动程序采用LE),所以病毒的感染文件的难度增大了(PE和LE比较复杂,中间分了若干个节,如果感染错了,将导致文件不能继续执行)。当今病毒的新技术太多,随便介绍几个。
1.系统核心态病毒
386及以上的CPU实现了4个特权级模式(WINDOWS只用到了其中两个),其中特权级0(Ring0)是留给操作系统代码,设备驱动程序代码使用的,它们工作于系统核心态;而特权极3(Ring3)则给普通的用户程序使用(我想知道一个问题,ring1,2是干什么的?),它们工作在用户态。运行于处理器核心态的代码不受任何的限制,可以自由地访问任何有效地址,进行直接端口访问。而运行于用户态的代码则要受到处理器的诸多检查,它们只能访问映射其地址空间的页表项中规定的在用户态下可访问页面的虚拟地址,且只能对任务状态段(TSS)中I/O许可位图(I/O Permission Bitmap)中规定的可访问端口进行直接访问(此时处理器状态和控制标志寄存器EFLAGS中的IOPL通常为0,指明当前可以进行直接I/O的最低特权级别是Ring0)。以上的讨论只限于保护模式操作系统,象DOS这种实模式操作系统则没有这些概念,其中的所有代码都可被看作运行在核心态。既然运行在核心态有如此之多的优势,那么病毒当然没有理由不想得到Ring0。处理器模式从Ring3向Ring0的切换发生在控制权转移时,有以下两种情况:访问调用门的长转移指令CALL,访问中断门或陷阱门的INT指令。具体的转移细节由于涉及复杂的保护检查和堆栈切换,不再赘述,请参阅相关资料。现代的操作系统通常使用中断门来提供系统服务,通过执行一条陷入指令来完成模式切换,在INTEL X86上这条指令是INT,如在WIN9X下是INT30(保护模式回调),在LINUX下是INT80,在WINNT/2000下是INT2E。用户模式的服务程序(如系统DLL)通过执行一个INTXX来请求系统服务,然后处理器模式将切换到核心态,工作于核心态的相应的系统代码将服务于此次请求并将结果传给用户程序。
在即将发布的xp-sp2中采用所谓增强的内存页面保护将会更为严格的控制用户权限,据说在访问内存地址时得到的将是经过系统映射处理的对应内存范围,在内存实地址与用户层之间,搞了一个类似于转换协议的东西,害的很多软件都不能运行,应为他们总是试图按照原有的HAL层访问规则进行工作。
2.驻留病毒
驻留病毒是指那些在内存中寻找合适的页面并将病毒自身拷贝到其中且在系统运行期间能够始终保持病毒代码的存在。驻留病毒比那些直接感染(Direct- action)型病毒更具隐蔽性,它通常要截获某些系统操作来达到感染传播的目的。进入了核心态的病毒可以利用系统服务来达到此目的,如CIH病毒通过调用一个由VMM导出的服务VMMCALL _PageAllocate在大于0xC0000000的地址上分配一块页面空间。而处于用户态的程序要想在程序退出后仍驻留代码的部分于内存中似乎是不可能的,因为无论用户程序分配何种内存都将作为进程占用资源的一部分,一旦进程结束,所占资源将立即被释放。所以我们要做的是分配一块进程退出后仍可保持的内存。
病毒写作小组29A的成员GriYo 运用的一个技术很有创意:他通过CreateFileMappingA 和MapViewOfFile创建了一个区域对象并映射它的一个视口到自己的地址空间中去,并把病毒体搬到那里,由于文件映射所在的虚拟地址处于共享区域(能够被所有进程看到,即所有进程用于映射共享区内虚拟地址的页表项全都指向相同的物理页面),所以下一步他通过向Explorer.exe中注入一段代码(利用WriteProcessMemory来向其它进程的地址空间写入数据),而这段代码会从Explorer.exe的地址空间中再次申请打开这个文件映射。如此一来,即便病毒退出,但由于Explorer.exe还对映射页面保持引用,所以一份病毒体代码就一直保持在可以影响所有进程的内存页面中直至Explorer.exe退出(我直接试过该种方法,在xp下注意要写一个空循环语句,以免被踢出处理队列)。
另外还可以通过修改系统动态连接模块(DLL)来进行驻留。WIN9X下系统DLL(如Kernel32.dll 映射至BFF70000)处于系统共享区域(2G-3G),如果在其代码段空隙中写入一小段病毒代码则可以影响其它所有进程。但Kernel32.dll 的代码段在用户态是只能读不能写的。所以必须先通过特殊手段修改其页保护属性;而在WINNT/2000/xp系统DLL所在页面被映射到进程的私有空间(如 Kernel32.dll 映射至77ED0000)中,并具有写时拷贝属性,即没有进程试图写入该页面时,所有进程共享这个页面;而当一个进程试图写入该页面时,系统的页面错误处理代码将收到处理器的异常,并检查到该异常并非访问违例,同时分配给引发异常的进程一个新页面,并拷贝原页面内容于其上且更新进程的页表以指向新分配的页。这种共享内存的优化给病毒的写作带来了一定的麻烦,病毒不能象在WIN9X下那样仅修改Kernel32.dll一处代码便可一劳永逸。它需要利用 WriteProcessMemory来向每个进程映射Kernel32.dll的地址写入病毒代码,这样每个进程都会得到病毒体的一个副本,这在病毒界被称为多进程驻留或每进程驻留(Muti-Process Residence or Per-Process Residence )。
文中列举方法在xp-sp1下略作修改即可使用 ,大部分为在代码段内加入空循环 。在sp2下,很多时候报如下类型的错误不可访问的内存地址段.........。
在原来的帖子中我援引了另一篇文档中的例子,但经MM告知那些挂钩-捆绑等方法在如今的设计中并不是很受欢迎,原因在于新的操作系统许多函数规则是不可预知的,也就是所谓的“黑箱“设计使得设计人员更加偏爱系统级别的线程捆绑或者更加直接的接管权限控制的方法,采用最复杂的线程捆绑技术甚至可以使杀毒软件和防火墙得不到足够的信息来区分一个程序是否合法。更高级别的抢夺权限控制甚至可以结束所有杀毒软件的进程,包括卡巴斯基所采用的受保护的内存线程技术。
尽管微软隐藏了很多系统函数,但是经过很多高手的努力,许多隐藏的系统函数已经被找出,并且微软也有意识的减少隐藏函数的数量。在前段时间网上泄漏的2000的部分代码中,其中关于磁盘文件读写的部分(大小为700M的那个压缩包里标号为115BH的那个文件其中的第三节子代码)其中有很多进程是微软的开发文档中是没有给出介绍的,不知道以后会不会有人利用这些东西写病毒。对病毒稍微有些常识的人都知道,普通病毒是通过将自身附加到宿主尾部(如此一来,宿主的大小就会增加),并修改程序入口点来使病毒得到击活。但现在不少病毒通过使用特殊的感染技巧能够使宿主大小及宿主文件头上的入口点保持不变。附加了病毒代码却使被感染文件大小不变听起来让人不可思议,其实它是利用了PE文件格式的特点:PE文件的每个节之间留有按簇大小对齐后的空洞,病毒体如果足够小则可以将自身分成几份并分别插入到每个节最后的空隙中,这样就不必额外增加一个节,因而文件大小保持不变。著名的CIH病毒正是运用这一技术的典型范例(它的大小只有1K左右)。
病毒在不修改文件头入口点的前提下要想获得控制权并非易事:入口点不变意味着程序是从原程序的入口代码处开始执行的,病毒必须要将原程序代码中的一处修改为导向病毒入口的跳转指令。原理就是这样,但其中还存在很多可讨论的地方,如在原程序代码的何处插入这条跳转指令。一些查毒工具扫描可执行文件头部的入口点域,如果发现它指向的地方不正常,即不在代码节而在资源节或重定位节中,则有理由怀疑文件感染了某种病毒。所以刚才讨论那种病毒界称之为EPO(入口点模糊)的技术可以很好的对付这样的扫描,同时它还是反虚拟执行的重要手段。
另外值得一提的是现在不少病毒已经支持对压缩文件的感染。如Win32.crypto病毒就可以感染ZIP,ARJ,RAR,ACE,CAB 等诸多类型的压缩文件。这些病毒的代码中含有对特定压缩文件类型解压并压缩的代码段,可以先把压缩文件中的内容解压出来,然后对合适的文件进行感染,最后再将感染后文件压缩回去并同时修改压缩文件头部的校验和。目前不少反病毒软件都支持查多种格式的压缩文件,但对有些染毒的压缩文件无法杀除。原因我想可能是怕由于某种缘故,如解压或压缩有误,校验和计算不对等,使得清除后压缩文件格式被破坏。病毒却不用对用户的文件损坏负责,所以不存在这种担心。
个人看来,目前的杀毒软件在对待加壳病毒的时候表现比较差的为瑞星,怀疑瑞星的杀毒引擎对加壳的东西放映不灵敏,因此瑞星自己加壳了很多病毒放到病毒库里,我曾使用一些很少用的加壳方式对某些普通病毒加壳,结果瑞星没查出来,有待改进。
以上关于病毒的相关文字均来源于 某病毒论坛的文章 ,我个人作了少量修改 。再往下为引擎部分的实现 。
杀毒引擎目前主流有两种实现方式:1.虚拟机技术 2.实时监控技术 3.智能码标识技术
4.行为拦截技术 3.4.为最近两年搞出来的技术。3的目的是提高杀毒速度并且预防未知病毒,但就现实而言,除了东方卫士试验了一下(并且不成功),其余厂商未开发完全基于该技术的引擎,诺顿的开发人员认为:“没有足够的技术手段来实现文中所提出的杀毒理念(翻译的可能有不准确之处。‘文中’是指智能码标示技术的理论基础:IBM :Another way to the end (实现目的的另一种方式),在该文中提出了基于预定规则的智能杀毒技术)“。行为拦截技术(或者别的什么智能杀毒技术)也是一种预防未知病毒的方法,与虚拟机技术相似,通过对程序行为的分析来判断其是否为病毒。
对于未知病毒的判断实际上代表着杀毒软件厂商在引擎研究方面的最高能力。业界公认,防止未知病毒是“代表研究水平的“。平心而论,非美国厂商在这方面能力较差。业界对于防止未知病毒能力是按照如下方法衡量的:以评测当日的杀毒软件最新版本为该厂商的供测试版本,未知病毒由如下而来: 1.病毒作者提供。有些病毒作者在将自己的病毒发布以前总爱送给一些业界的安全杂志供其评测(最佩服这种人)2.大部分真正的业界安全杂志都有自己的研究实验室,他们自己的研究人员会根据最新的趋势和技术手段及工具写一些病毒。一般情况下,这些病毒是不会流到网上去的。3.假病毒。一些很类似于病毒行为的文件,程序等。测试的时候病毒库被置空(就是杀毒软件试图调用病毒库时采用程序方法向其返回一个空结果),在这种情况下进行测试。如果有人有兴趣,可以到病毒论坛上搞点新手写的小病毒(一般也就100-200行),弄上几十个拿自己的杀毒软件试一试,就会发现在平均状态下诺顿病毒库被置空时起对未知病毒判断能力还是挺强的,怎么着也到了x%,(x为两位数),很多杀毒软件结果挺惨的,尤其在对付比较复杂的蠕虫病毒时,某厂商的产品近乎全军覆没。下面对虚拟机和实时监控进行介绍。由于大家认为在文中加入程序代码看着很累,因此不再给出技术实现代码,其实根据原理你自己也可以写出来。
虚拟机,在反病毒界也被称为通用解密器,已经成为反病毒软件中最重要的部分之一虚拟机的概念和它与诸如Vmware和WIN9X下的VDM(DOS虚拟机,它用来在32位保护模式环境中运行16实模式代码)是有区别的。其实这些虚拟机的设计思想是有渊源可寻的,都来自于IBM的一批研究人员搞的一套东西。 Vmware作为原操作系统下的一个应用程序可以为运行于其上的目标操作系统创建出一部虚拟的机器,目标操作系统就象运行在单独一台真正机器上,丝毫察觉不到自己处于Vmware的控制之下。当在Vmware中按下电源键(Power On)时,窗口里出现了机器自检画面,接着是操作系统的载入,一切都和真的一样。而WIN9X为了让多个程序共享CPU和其它硬件资源决定使用VMs(所有Win32应用程序运行在一部系统虚拟机上;而每个16位DOS程序拥有一部DOS虚拟机),winxp是采用区域内存访问来实现16位程序支持的。 VM是一个完全由软件虚构出来的东西,以和真实电脑完全相同的方式来回应应用程序所提出的需求。从某种角度来看,你可以将一部标准的PC的结构视为一套 API。这套API的元素包括硬件I/O系统,和以中断为基础的BIOS和MS-DOS。WIN9X常常以它自己的软件来代理这些传统的API元素,以便能够对珍贵的硬件多重发讯。在VM上运行的应用程序认为自己独占整个机器,它们相信自己是从真正的键盘和鼠标获得输入,并从真正的屏幕上输出。稍被加一点限制,它们甚至可以认为自己完全拥有CPU和全部内存。
查毒的虚拟机并不是象某些人想象的:如Vmware一样为待查可执行程序创建一个虚拟的执行环境,提供它可能用到的一切元素,包括硬盘,端口等,让它在其上自由发挥,最后根据其行为来判定是否为病毒。当然这是个不错的构想,但考虑到其设计难度过大(需模拟元素过多且行为分析要借助人工智能理论),因而只能作为以后发展的方向。就目前可以知道的信息而言,卡巴斯基在这方面做得还可以,mcafee的新产品中加入了一种溢出保护技术,本质上而言也是一种所谓的虚拟技术。查毒的虚拟机是一个软件模拟的CPU,它可以象真正CPU一样取指,译码,执行,它可以模拟一段代码在真正CPU上运行得到的结果。给定一组机器码序列,虚拟机会自动从中取出第一条指令操作码部分,判断操作码类型和寻址方式以确定该指令长度,然后

最可靠的杀毒软件是哪个

2005年5月17日,国际知名病毒分析网站www.virusexchange.org对来自全球的58款主流反病毒软件进行了大规模测试,并于近日公布了最新的全球反病毒软件排行榜。在本次测试中,光华反病毒软件反病毒软件摘得桂冠。

》 根据本次评测资料,为保证公平和公正,被测软件全部更新到最新的病毒库数据,并启用软件最大扫描能力,例如启发式、全扫描等。

》 本次评测共采集病毒样本252521个,是专业病毒整理的工具VS2000根据Kaspersky、F-Prot、RAV、Nod32、Dr.Web、Sweep、BitDefender、E-Trust和McAfee antivirus反病毒软件生成的日志。每种病毒样本采用了唯一的病毒名称,这也就意味着最少有一种反病毒软件检测样本时会认为是一种新病毒。测试中,所有的病毒样本均保持原始状态(未经winzip,winrar等软件进行压缩),其中,多数伪装病毒样本和垃圾文件都已经挑出。所有病毒样本全部采用解包并且是唯一病毒样本。这些病毒样本使用了特殊程序--Renexts,按照文件内容校验MD5排序,确保病毒样本唯一性、扩展名的正确性。

》 本次测试文件包括以下文件类型:

》BAT, BIN, CLA, CLASS, CLS, COM, CSC, DAT, DOC, ELF, EML, EXE, HLP, HQX, HTA, HTM, IMG, INF, INI, JS, MAC, MDB, MSG, OLE, PHP, PIF, PL, PPT, PRC, REG, SCR, SH, SHS, SMM, STI, TD0, TPU, VBA, VBS, WBT, XLS, XMI, XML

》 本次评测硬件环境配置如下:

》操作系统: Windows XP Professional SP2

》CPU : P4 2600 Mhz

》内存: 512MB DDRAM

》反病毒软件详细排名(查毒率低于45%的不包含在内):

》=============================================================================
》 1.光华反病毒软件 1.0.0.3065 2005-05-17 251047 records, 99.416%
》 2.Kaspersky Lab KavCon 1.0.0.48 2005-05-17 246703 records, 97.696%
》 3.McAfee Scan 4.40.0 2005-05-17 236961 records, 93.838%
》 4.Symantec SAVCLS 1.0.0.1 2005-05-17 225921 records, 89.466%
》 5.SOFTWIN BDC 7.0 2005-05-17 208469 records, 82.555%
》 6.Panda Antivirus 6.0 PAVCL 2005-05-17 206029 records, 81.589%
》 7.Trend Micro VSCANTM 1.0/636 2005-05-17 205991 records, 81.574%
》 8.H+BEDV AntiVir/DOS32 6.30.0.12 2005-05-17 196527 records, 77.826%
》 9.GeCAD RAV 8.1.001 2005-05-15 192742 records, 76.327%
》10.Doctor Web DrWebWCL 4.32b 2005-05-17 189141 records, 74.901%
》11.ALWIL AVAST! LGUARD 7.70-93 2005-05-17 186251 records, 73.757%
》12.MkS MkS_vir 2004.08 2005-05-04 182682 records, 72.343%
》13.Sophos SAV32CLI 3.93 2005-05-17 178324 records, 70.617%
》14.CA InoculateIT INOCMD32 23.69.24 2005-05-17 177649 records, 70.350%
》15.Norman NVCC 5.80.02 2005-05-16 162010 records, 64.157%
》16.Frisk Software FPCMD 3.15b 2005-05-16 160005 records, 63.363%
》17.GRISoft AVG 6.406/654 2005-05-17 142913 records, 56.595%
》18.ESET NOD32 1.1099 NT 2005-05-16 137893 records, 54.607%
》19.VirusBuster VirusBuster 1.12.004 7.1390 2005-05-17 119512 records, 47.328%
》20.CA VET RESCUE 10.60.0.43 2005-05-16 118942 records, 47.102%
》21.IKARUS PSCAN 2.27 2005-05-17 113749 records, 45.045%

http://www.xg6hc.cn病毒 怎么杀啊

我的费尔托斯特安全可以报警有6个病毒并杀了(占用内存不足5M) 杀毒&监视注册表&反木马&反间谍软件 (可以实时监控)
用户名:studa
注册码:31AC-92BD-AD43-0C8E-1499
官方下载地址:

最新的杀毒软件排名

杀毒软件排名
2005年5月17日,国际知名病毒分析网站www.virusexchange.org对来自全球的58款主流反病毒软件进行了大规模测试,并于近日公布了最新的全球反病毒软件排行榜。在本次测试中,光华反病毒软件反病毒软件摘得桂冠。

》 根据本次评测资料,为保证公平和公正,被测软件全部更新到最新的病毒库数据,并启用软件最大扫描能力,例如启发式、全扫描等。

》 本次评测共采集病毒样本252521个,是专业病毒整理的工具VS2000根据Kaspersky、F-Prot、RAV、Nod32、Dr.Web、Sweep、BitDefender、E-Trust和McAfee antivirus反病毒软件生成的日志。每种病毒样本采用了唯一的病毒名称,这也就意味着最少有一种反病毒软件检测样本时会认为是一种新病毒。测试中,所有的病毒样本均保持原始状态(未经winzip,winrar等软件进行压缩),其中,多数伪装病毒样本和垃圾文件都已经挑出。所有病毒样本全部采用解包并且是唯一病毒样本。这些病毒样本使用了特殊程序--Renexts,按照文件内容校验MD5排序,确保病毒样本唯一性、扩展名的正确性。

》 本次测试文件包括以下文件类型:

》BAT, BIN, CLA, CLASS, CLS, COM, CSC, DAT, DOC, ELF, EML, EXE, HLP, HQX, HTA, HTM, IMG, INF, INI, JS, MAC, MDB, MSG, OLE, PHP, PIF, PL, PPT, PRC, REG, SCR, SH, SHS, SMM, STI, TD0, TPU, VBA, VBS, WBT, XLS, XMI, XML

》 本次评测硬件环境配置如下:

》操作系统: Windows XP Professional SP2

》CPU : P4 2600 Mhz

》内存: 512MB DDRAM

》反病毒软件详细排名(查毒率低于45%的不包含在内):

》=============================================================================
》 1.光华反病毒软件 1.0.0.3065 2005-05-17 251047 records, 99.416%
》 2.Kaspersky Lab KavCon 1.0.0.48 2005-05-17 246703 records, 97.696%
》 3.McAfee Scan 4.40.0 2005-05-17 236961 records, 93.838%
》 4.Symantec SAVCLS 1.0.0.1 2005-05-17 225921 records, 89.466%
》 5.SOFTWIN BDC 7.0 2005-05-17 208469 records, 82.555%
》 6.Panda Antivirus 6.0 PAVCL 2005-05-17 206029 records, 81.589%
》 7.Trend Micro VSCANTM 1.0/636 2005-05-17 205991 records, 81.574%
》 8.H+BEDV AntiVir/DOS32 6.30.0.12 2005-05-17 196527 records, 77.826%
》 9.GeCAD RAV 8.1.001 2005-05-15 192742 records, 76.327%
》10.Doctor Web DrWebWCL 4.32b 2005-05-17 189141 records, 74.901%
》11.ALWIL AVAST! LGUARD 7.70-93 2005-05-17 186251 records, 73.757%
》12.MkS MkS_vir 2004.08 2005-05-04 182682 records, 72.343%
》13.Sophos SAV32CLI 3.93 2005-05-17 178324 records, 70.617%
》14.CA InoculateIT INOCMD32 23.69.24 2005-05-17 177649 records, 70.350%
》15.Norman NVCC 5.80.02 2005-05-16 162010 records, 64.157%
》16.Frisk Software FPCMD 3.15b 2005-05-16 160005 records, 63.363%
》17.GRISoft AVG 6.406/654 2005-05-17 142913 records, 56.595%
》18.ESET NOD32 1.1099 NT 2005-05-16 137893 records, 54.607%
》19.VirusBuster VirusBuster 1.12.004 7.1390 2005-05-17 119512 records, 47.328%
》20.CA VET RESCUE 10.60.0.43 2005-05-16 118942 records, 47.102%
》21.IKARUS PSCAN 2.27 2005-05-17 113749 records, 45.045%