|
學(xué)習(xí)AVP的檢測辦法的意義一方面在于AVP的檢測方法是經(jīng)過理論驗證和實踐考驗的科學(xué)合理的方法���,另外DOS年代過來的朋友對于反病毒有過這樣的經(jīng)驗:“機子感染病毒了���?好��,請用干凈無毒的系統(tǒng)盤啟動�����,然后全盤查殺��。”����,我記得CIH橫行那會,一個朋友讓我?guī)退宄《�����,說病毒是國內(nèi)某知名AV報的����,啟動該AV殺了一遍還有,而且該AV自己的監(jiān)控報自己也感染了CIH��,我聽了后告訴他用干凈的啟動盤啟動系統(tǒng)全盤查殺。雖然這是一個辦法�����,但事實上反病毒軟件為什么不直接做到可以內(nèi)存檢測并清除病毒呢�。而這是完全可以做到的,對于內(nèi)存檢測/清除駐留型病毒的方法�����,就我所知最早AVP開始使用���。
一��、檢測方法:
在AVP病毒庫中��,有幾種特征記錄�����,其中一種是內(nèi)存特征�,這是AVP用來檢測查殺內(nèi)存駐留型病毒的特征集��,AVP對內(nèi)存駐留的感染式病毒采用了一些單獨的檢測方法����。
AVP通過在病毒庫中記錄的掃描方法和地址偏移來掃描內(nèi)存中駐留的感染式病毒���,從地址偏移開始進行逐字節(jié)匹配,當(dāng)匹配到匹配字節(jié)的時候��,即:Segm:Offset + byte offset=record:Byte�����,然后AVP開始計算由庫記錄指定長度的特征碼��,如果恰好匹配庫中的記錄的話�,將顯示對應(yīng)的病毒消息�����,同時根據(jù)庫的修復(fù)記錄所指定的修復(fù)長度���、和修復(fù)字節(jié)中的內(nèi)容�,進行內(nèi)存修復(fù)�,確保修復(fù)后,使得原病毒失去活性��。
此記錄結(jié)構(gòu)包含的字段主要有:
病毒名
搜索方法:絕對地址掃描、專用模塊...
地址偏移: 段+偏移
匹配字節(jié)
特征長度
特征
專用處理過程:Obj_Link
處理偏移地址
處理字節(jié)長度:一般小于10
修復(fù)字節(jié)
二���、搜索方法:
有上面可以看出�����,AVP能否保證快速處理��,一個關(guān)鍵因素是AVP的搜索方法����,事實上��,AVP內(nèi)置了眾多的搜索辦法�,這些辦法適用于MSDOS、WIN9X���、WINNT/2000/XP等系統(tǒng)�。AVP對一個病毒的處理可以采用多種內(nèi)存搜索辦法�,所不同的是哪種方法高效一些而已。
1�、絕對地址:
AVP采用絕對地址的掃描辦法來掃描一些病毒,掃描器從庫記錄中讀出相應(yīng)的地址記錄,到內(nèi)存中進行匹配�����,匹配上后����,進行修復(fù)處理過程。
2��、段掃描:
AVP從一個內(nèi)存段�����,單字節(jié)循環(huán)遞增�,從開始掃描到段結(jié)束���。
3���、全部掃描:
AVP從內(nèi)存地址0x00000000h開始,循環(huán)遞增�,進行全內(nèi)存匹配的掃描方法。
億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強�!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障��!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
