精华区文章阅读

发信人: mylife (高山流水), 信区: Virus
标题: 怎样发现病毒
发信站: 哈工大紫丁香 (2001年05月23日12:36:22 星期三), 站内信件

二、搜索法搜索法是用每一种病毒体含有的特定字符串对被检测的对象进行扫描。如
果在被检测对象内部发现了某一种特定字节串, 就表明发现了该字节串所代表的病毒。
国外管这种按搜索法工作的病毒扫描软件叫SCANNER。病毒扫描软件由两部分组成:一部
分是病毒代码库,含有经过特别选定的各种计算机病毒的代码串;另一部分是利用该代
码库进行扫描的扫描程序。国内常见的病毒扫描程序有我国公安部发行的SCAN. EXE和
美国McAfee Associates的 SCAN.EXE。病毒扫描程序能识别的计算机病毒的数目完全取
决于病毒代码库内所含病毒的种类有多少? 显而易见,库中病毒代码种类越多,扫描程序
能认出的病毒就越多。病毒代码串的选择是非常重要的。短小的病毒只有一百多个字节
, 病毒代码长的有上10KB字节的。如果随意从病毒体内选一段作为代表该病毒的特征代
码串,可能在不同的环境中,该特征串并不真正具有代表性, 不能用于将该串所对应的病
毒检查出来。选这种串做为病毒代码库的特征串就是不合适的, 例如在香港病毒中含
有下列代码串: 1F 58 EA 1A AF 00 F0 9C 翻译成汇编程序就是: POP AX JMP F000∶A
F1A PUSHF 其中AF 1A 00 F0四个字节是地址,即被感染PC机ROM BIOS中断13H的入口,不
同的PC机上这个地址是不一样的。当大麻病毒感染到不同机器时, 病毒体内这段代码是
不同的。若选了这段代码就不能使病毒扫描程序对大麻病毒进行可靠的识别。另一种情
况是代码串不应含有病毒的数据区,数据区是会经常变化的。再有就是代码串一定要
在仔细分析了程序之后才能选出最具代表特性的,足以将该病毒区别于其它病毒和该病
毒的其它变种的代码串。选定好的特征代码串是很不容易的,是病毒扫描程序的精华所
在。一般情况下,代码串是连续的若干个字节组成的串,但是有些扫描软件采用的是可
变长串, 即在串中包含有一个到几个“模糊”字节。扫描软件遇到这种串时, 只要除“
模糊”字节之外的字串都能完好匹配,则也能判别出病毒。McAfee Associates的SCAN.
EXE 就具有这种功能。例如给定特征串: “E9 7C 00 10 ?37 CB”则 “E9 7C 00 10 2
7 37 CB”和“E9 7C 00 10 9C 37 CB”都能被识别出来,又例如: “E9 7C 37 CB” 可
以匹配“E9 7C 00 37 CB” , “E9 7C 00 11 37 CB”和“E9 7C 0 0 11 22 37 CB”
。但不匹配“E9 7C 00 11 22 33 44 37 CB”,因为7C和37之间的子串已超过4个字节。
除了前面的三个选特征串的规则外,最重要的是第四条:特征串必须能将病毒与正常的
非病毒程序区分开。不然将非病毒程序当成病毒报告给用户, 是假警报,这种“狼来了
”的假警报太多了,就会使用户放松警惕, 等真的病毒一来,破坏就严重了;再就是若将这
假警报送给清病毒程序,会将好程序给“杀死”了。使用特征串的扫描法被查病毒软件
广泛应用着。当特征串选择得很好时,病毒检测软件让计算机用户使用起来很方便,对病
毒了解不多的人也能用它来发现病毒。另外, 不用专门软件, 用 PCTOOLS等软件也能
用特征串扫描法去检测特定病毒。这种扫描法的缺点也是明显的。第一是当被扫描的
文件很长时, 扫描所花时间也越多; 第二是不容易选出合适的特征串,例如SCAN.E XE时
常会发出假警报。第三是新病毒的特征串未加入病毒代码库时, 老版本的扫毒程序无
法识别出新病毒。第四是怀有恶意的计算机病毒制造者得到代码库后,会很容易地改变
病毒体内的代码,生成一个新的变种, 使扫描程序失去检测它的能力。第五是容易产生
误警报,只要在正常程序内带有某种病毒的特征串,即使该代码段已不可能被执行,而只
是被杀死的病毒体残余,扫描程序仍会报警。老版本CPAV对硬盘主引导区内未被清除干
净, 已失去作用的香港病毒发出假警报就是一个例子。第六是不易识别Mutation Eng
ine类病毒。不管怎样, 基于特征串的计算机病毒扫描法仍是今天用得最为普遍的查病
毒方法。 ************************** * 披著羊皮的WOL...F * * 我要杀尽毒..
* * 大名鼎鼎的 SHEEP * ************************** 返回　

--
※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 202.118.230.238]

Virus 版 (精华区)