|
學習AVP的檢測辦法的意義一方面在于AVP的檢測方法是經過理論驗證和實踐考驗的科學合理的方法�,另外DOS年代過來的朋友對于反病毒有過這樣的經驗:“機子感染病毒了����?好,請用干凈無毒的系統盤啟動����,然后全盤查殺��。”�����,我記得CIH橫行那會��,一個朋友讓我?guī)退宄《�,說病毒是國內某知名AV報的���,啟動該AV殺了一遍還有��,而且該AV自己的監(jiān)控報自己也感染了CIH��,我聽了后告訴他用干凈的啟動盤啟動系統全盤查殺����。雖然這是一個辦法���,但事實上反病毒軟件為什么不直接做到可以內存檢測并清除病毒呢��。而這是完全可以做到的���,對于內存檢測/清除駐留型病毒的方法����,就我所知最早AVP開始使用���。
一��、檢測方法:
在AVP病毒庫中,有幾種特征記錄��,其中一種是內存特征��,這是AVP用來檢測查殺內存駐留型病毒的特征集���,AVP對內存駐留的感染式病毒采用了一些單獨的檢測方法����。
AVP通過在病毒庫中記錄的掃描方法和地址偏移來掃描內存中駐留的感染式病毒����,從地址偏移開始進行逐字節(jié)匹配,當匹配到匹配字節(jié)的時候�����,即:Segm:Offset + byte offset=record:Byte,然后AVP開始計算由庫記錄指定長度的特征碼�,如果恰好匹配庫中的記錄的話,將顯示對應的病毒消息����,同時根據庫的修復記錄所指定的修復長度、和修復字節(jié)中的內容���,進行內存修復�,確保修復后�����,使得原病毒失去活性�����。
此記錄結構包含的字段主要有:
病毒名
搜索方法:絕對地址掃描�、專用模塊...
地址偏移: 段+偏移
匹配字節(jié)
特征長度
特征
專用處理過程:Obj_Link
處理偏移地址
處理字節(jié)長度:一般小于10
修復字節(jié)
二、搜索方法:
有上面可以看出����,AVP能否保證快速處理,一個關鍵因素是AVP的搜索方法,事實上��,AVP內置了眾多的搜索辦法���,這些辦法適用于MSDOS�、WIN9X�、WINNT/2000/XP等系統。AVP對一個病毒的處理可以采用多種內存搜索辦法��,所不同的是哪種方法高效一些而已��。
1���、絕對地址:
AVP采用絕對地址的掃描辦法來掃描一些病毒,掃描器從庫記錄中讀出相應的地址記錄���,到內存中進行匹配���,匹配上后,進行修復處理過程�。
2、段掃描:
AVP從一個內存段�,單字節(jié)循環(huán)遞增,從開始掃描到段結束��。
3、全部掃描:
AVP從內存地址0x00000000h開始�,循環(huán)遞增,進行全內存匹配的掃描方法�����。
億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【mszdt.com】
服務器租用/服務器托管中國五強�!虛擬主機域名注冊頂級提供商!15年品質保障����!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
