Virus 版 (精华区)

发信人: mylife (小鬼), 信区: Virus
标  题: 查杀宏病毒技术
发信站: 哈工大紫丁香 (2001年05月25日10:42:41 星期五), 站内信件

瑞星查“宏病毒”技术简介
　　要查杀宏病毒，首先必须了解病毒寄生的宿主文件结构，WORD宏病毒所寄生的WORD
文件采用OLE2结构，这种结构非常复杂，且微软公司(Microsoft) 从未公开过。WORD文
件结构的特点：任何信息（包括宏）并不是采用连续存放，而是分散在文件的不同地方
，WORD系统在处理信息时会自动完成拼装，使你看到的信息是连续完整的。
　　查毒软件的基础是特征值扫描法，即需从病毒体中提取一串或多串（通常是８个以
上的字符串）信息作为该病毒的特征值，在未分析清WORD结构时，即使是采用全文检索
，也可能查不出病毒，因为你所提取的特征值串恰好被分成两块；或由于文件某种排列
恰好为某个病毒的特征值，从而产生误报现象。清除病毒要求更高，杀毒软件必须准确
知道每个宏体被分成几块，每块存放的位置和大小，把它清除掉后，还需从文件中删除
相应的宏名，完成清毒工作。
　　由于WORD文件结构的复杂性，在未分析清楚该文件结构情况下，任何对文件的杀毒
操作均可能导致该文件被破坏，造成WORD不能打开被杀毒后的文件，WORD报告内存不足
或丢失用户自己编写的正常宏等现象。
　　瑞星公司凭借自己雄厚的技术实力和多年的反病毒经验，经过几个月的艰苦努力，
在国内率先分析清了
WORD文件结构，在此基础上开发的瑞星杀毒软件RAV，可准确地完成宏的自动拼装，查毒
准确；从病毒体中提取至少24个字符串作为病毒特征值，误报率低；可准确分析每个宏
被分成几块，每块存放的位置和大小，杀毒无副作用，实现了查杀宏病毒的重大突破。
RAV是目前国内不在WORD中运行的杀毒软件中唯一既能有效查杀宏病毒、又不破坏文件结
构的病毒清除工具。
瑞星杀毒软件RAV查杀宏病毒指标
     杀毒不破坏WORD和EXCEL文件结构，对于DOC文件杀毒后能将文件从模板结构自动转
成文档结构；
     杀宏病毒种类多，可查杀流行于国内的各种宏病毒；
     查毒速度快，平均每秒钟可查四十个文件左右。

--
※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 202.118.230.238]