Virus 版 (精华区)

作  家: xian (小楼一夜听春雨) on board 'Virus'
题  目: 浅谈杀毒方法(六)(转寄)
来  源: 哈尔滨紫丁香站
日  期: Sat Aug 16 11:58:09 1997
出  处: bbs@bbs.orange.sjtu.edu.cn

发信人: Iceriver (冰河), 信区: virus
标  题: 浅谈杀毒方法(六)
发信站: 饮水思源站 (Fri Aug 15 23:47:25 1997) , 转信

    C.手动恢复
        手动恢复一个COM型文件(即BIN文件)和一个EXE型文件(即MZ文件),
    最好还要有一个NE文件(New Executable -- Windows可执行文件),做个
    试验,证明方法是否可行.

        .COM型文件的恢复  COM型文件是指无EXE Header的普通BINARY
    文件,它较简单,也较易恢复.
             a)将得到的被修改指令填入COM文件头几个指令中
             b)将病毒部分截断(病毒体在被感染文件的尾部)

        .EXE型文件的恢复  EXE型文件是指带有MZ标记的EXE头的可
    执行文件(包括NE),它的恢复较复杂.

             a)找出EXE头中被修改的部分(一般包括Program Entry, 
               Stack Segment, Image Size(Paragraph and Left)等),
               读病毒体的恢复部分可以找到
             b)修改这些数据为原来的数值,Image Size要重新计算.
             c)将病毒部分截断

        改完后测试是否与原来的文件相同,若有严重则需回头检验甚至
    重读病毒体,直正全部成功.

    D.编写杀病毒程序(拿出CandPascal百宝箱),除了以上内容外,还有不
    少注意点,如不能改变文件日期,文件属性等等,当然最初要利用病毒
    的安装较验检查内存中是否有病毒.

        应该先做一个SCAN版,测试安装较验与特征是否有效,然后再做一
    个KILL版,在大规模杀毒前,先小范围测试,确保无误后杀.

--未完待续--

                 \
  ----------------\--
  --- 钻石星尘拳   -----
  ----------------/--
                 /

※ 来源:·饮水思源站 bbs.sjtu.edu.cn·[FROM: 202.120.5.219]

--
※ 来源:·哈尔滨紫丁香站 bbs1.hit.edu.cn·[FROM: bbs@bbs.orange.sjtu.]