Virus 版 (精华区)

作  家: zhili (北侠) on board 'virus'
题  目: 关于启发扫描的反病毒技术(2/5)(转寄)
来  源: 哈尔滨紫丁香站
日  期: Sun May 25 09:51:03 1997
出  处: bbs@conger.neu.edu.cn

发信人: bluesea (蓝海), 信区: Virus
标  题: 关于启发扫描的反病毒技术(2/5)
发信站: BBS 水木清华站 (Sat May 24 20:10:01 1997)

关于启发扫描的反病毒技术(2/5)

启发式扫描通常应设立的标志
─────────────

　　为了方便用户或研究人员直观地检测被测试程序中可疑功能调用的存在
情况，病毒检测程序可以显示为不同的可疑功能调用设置标志。

　　例如，TbScan这一病毒检测软件就为每一项它定义的可疑病毒功能调
用赋予一个旗标，如F,R,A……，这样以来可以直观地帮助我们对被检测程
序进行是否染毒的主观判断。

各标志的含义
──────

F＝ 具有可疑的文件操作或能。有可疑进行感染的操作。
R＝ 重定项功能。程序将以可疑的方式进行重定向操作。
A＝ 可疑的内存分配操作。程序使用可疑的方式进行内存申请和分配操作。
N＝ 错误的文件扩展名。扩展名预期程序结构与当前程序相矛盾。
S＝ 包含搜索定位可执行程序（如EXE或COM）的例程。
#＝ 发现解码指令例程。这在病毒和加密程序中都是经常会出现的。
E＝ 灵活无常的程序入口。程序被蓄意设计成可编入宿主程序的任何部分，
    病毒极频繁使用的技术。
L＝ 程序截获其它软件的加载和装入。有可能是病毒为了感染被加载程序。
D＝ 直接写盘动作。程序不通过常规的DOS功能调用而进行直接写盘动作。
M＝ 内存驻留程序。该程序被设计成具有驻留内存的能力。
I＝ 无效操作指令。非8088指令等。
T＝ 不合逻辑的错误的时间标贴。有的病毒借此进行感染标记。
J＝ 可疑的跳转结构。使用了连续的或间接跳转指令。这种情况在正常程序
    中少见但在病毒中却很平常。
?＝ 不相配的EXE文件。可能是病毒，也可能是程序设计失误导致。
G＝ 废操作指令。包含无实际用处，仅仅用来实现加密变换或逃避扫描检查
    的代码序列。
U＝ 未公开的中断/DOS功能调用。也许是程序被故意设计成具有某种隐蔽
    性，也有可能是病毒使用一种非常规手法检测自身存在性。
O＝ 发现用于在内存在搬移或改写程序的代码序列。
Z＝ EXE/COM辨认程序。病毒为了实现感染过程通常需要进行此项操作。
B＝ 这回程序入口。包括 可疑的代码序列，在完成对原程序入口处开始的
    代码修改之后重新指向修改前的程序入口病毒极常见。
K＝ 非正常堆栈。程序含有可疑的或名其妙的堆栈。

例如对于以下病毒，TbScan将点亮以下不同标志。

    Jerusalum/PLO(耶路撒冷病毒)  FRLMUZ
    Backfont/ 后体病毒           FRALDMUZK
    mINSK-gHOST                  FELDTGUZB
    Murphy                       FSLDMTUZO
    Ninja                        FEDMTUZOBK
    Tolbuhin                     ASEDMUOB
    Yankee-Doodle                FN#ELMUZB

    对于某个文件来说，被点亮的标志愈多，染毒的可能性就愈大。常规干
净程序甚至很少会点亮一个标志旗，但如果要作为可疑病毒报警的话，则至
少要点亮两个以上标志旗。如果再给不同的标志旗赋以不同的加权值，情况
还要复杂得多。


--
扫除一切害人虫，全无敌...

m6m※ 来源:·BBS 水木清华站 bbs.net.tsinghua.edu.cn·[FROM: 202.94.2.152]m

--
※ 来源:·哈尔滨紫丁香站 bbs1.hit.edu.cn·[FROM: bbs@conger.neu.edu.c]