Virus 版 (精华区)

发信人: mylife (高山流水), 信区: Virus
标  题: 怎样发现病毒
发信站: 哈工大紫丁香 (2001年05月23日12:36:22 星期三), 站内信件

二、搜索法 搜索法是用每一种病毒体含有的特定字符串对被检测的对象 进行扫描。如
果在被检测对象内部发现了某一种特定字节串, 就 表明发现了该字节串所代表的病毒。
国外管这种按搜索法工作的 病毒扫描软件叫SCANNER。病毒扫描软件由两部分组成:一部
分是 病毒代码库,含有经过特别选定的各种计算机病毒的代码串;另一 部分是利用该代
码库进行扫描的扫描程序。国内常见的病毒扫描 程序有我国公安部发行的SCAN. EXE和
美国McAfee Associates的 SCAN.EXE。病毒扫描程序能识别的计算机病毒的数目完全取
决于 病毒代码库内所含病毒的种类有多少? 显而易见,库中病毒代码种类越多,扫描程序
能认出的病毒就越多。病毒代码串的选择是非常重要的。 短小的病毒只有一百多个字节
, 病毒代码长的有上10KB字节的。如果随意从病毒体内选一段作为 代表该病毒的特征代
码串,可能在不同的环境中,该特征串并不真 正具有代表性, 不能用于将该串所对应的病
毒检查出来。选这种 串做为病毒代码库的特征串就是不合适的, 例如在香港病毒中含 
有下列代码串: 1F 58 EA 1A AF 00 F0 9C 翻译成汇编程序就是: POP AX JMP F000∶A
F1A PUSHF 其中AF 1A 00 F0四个字节是地址,即被感染PC机ROM BIOS中 断13H的入口,不
同的PC机上这个地址是不一样的。当大麻病毒感 染到不同机器时, 病毒体内这段代码是
不同的。若选了这段代码 就不能使病毒扫描程序对大麻病毒进行可靠的识别。另一种情
况 是代码串不应含有病毒的数据区,数据区是会经常变化 的。再有 就是代码串一定要
在仔细分析了程序之后才能选出最具代表特性 的,足以将该病毒区别于其它病毒和该病
毒的其它变种的代码串。 选定好的特征代码串是很不容易的,是病毒扫描程序的精华所
在。 一般情况下,代码串是连续的若干个字节组成的串,但是有些扫描 软件采用的是可
变长串, 即在串中包含有一个到几个“模糊”字 节。扫描软件遇到这种串时, 只要除“
模糊”字节之外的字串都 能完好匹配,则也能判别出病毒。McAfee Associates的SCAN.
EXE 就具有这种功能。例如给定特征串: “E9 7C 00 10 ?37 CB”则 “E9 7C 00 10 2
7 37 CB”和“E9 7C 00 10 9C 37 CB”都能被 识别出来,又例如: “E9 7C 37 CB” 可
以匹配“E9 7C 00 37 CB” , “E9 7C 00 11 37 CB”和“E9 7C 0 0 11 22 37 CB” 
。但不匹配“E9 7C 00 11 22 33 44 37 CB”,因为7C和37之间的子串已超过4个字节。
除了前面的三个选 特征串的规则外,最重要的是第四条:特征串必须能将病毒与正常 的
非病毒程序区分开。 不然将非病毒程序当成病毒报告给用户, 是假警报,这种“狼来了
”的假警报太多了,就会使用户放松警惕, 等真的病毒一来,破坏就严重了;再就是若将这
假警报送给清病毒程序,会将好程序给“杀死”了。 使用特征串的扫描法被查病毒软件
广泛应用着。当特征串选 择得很好时,病毒检测软件让计算机用户使用起来很方便,对病
毒 了解不多的人也能用它来发现病毒。 另外, 不用专门软件, 用 PCTOOLS等软件也能
用特征串扫描法去检测特定病毒。 这种扫描 法的缺点也是明显的。第一是当被扫描的
文件很长时, 扫描所花 时间也越多; 第二是不容易选出合适的特征串,例如SCAN.E XE时
 常会发出假警报。 第三是新病毒的特征串未加入病毒代码库时, 老版本的扫毒程序无
法识别出新病毒。第四是怀有恶意的计算机 病毒制造者得到代码库后,会很容易地改变
病毒体内的代码,生成 一个新的变种, 使扫描程序失去检测它的能力。第五是容易产生
 误警报,只要在正常程序内带有某种病毒的特征串,即使该代码段 已不可能被执行,而只
是被杀死的病毒体残余,扫描程序仍会报警。 老版本CPAV对硬盘主引导区内未被清除干
净, 已失去作用的香港 病毒发出假警报就是一个例子。 第六是不易识别Mutation Eng
ine类病毒。不管怎样, 基于特征串的计算机病毒扫描法仍是 今天用得最为普遍的查病
毒方法。   ************************** * 披著羊皮的WOL...F * * 我要杀尽 毒.. 
* * 大名鼎鼎的 SHEEP * ************************** 返回 

--
※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 202.118.230.238]
[百宝箱] [返回首页] [上级目录] [根目录] [返回顶部] [刷新] [返回]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:4.524毫秒