Virus 版 (精华区)

作  家: yanyan (岩岩) on board 'virus'
题  目: 启发扫描很好对付－说明
来  源: 哈尔滨紫丁香站
日  期: Fri Aug  8 10:53:17 1997
出  处: bbs@bbs.orange.sjtu.edu.cn

发信人: si (不动的大动), 信区: virus
标  题: 启发扫描很好对付－说明
发信站: 饮水思源站 (Tue Jul 29 16:30:58 1997) , 转信

关于启发扫描可参见DOS板271-275篇。
DOS版太冷清，转到这里。大家讨论讨论。

启发扫描摘要－－－来自dos版271篇。
启发式代码扫描技术
─────────

　　病毒和正常程序的区别可以体现在许多方面，比较常见的如通常一个速
应用程序在最初的指令是检查命令行输入有无参数项，清屏和保存原来屏幕
显示等，而病毒程序则从来有会这样做，它通常最初的指令是直接写盘操作、
解码指令，或搜索某路径下的可执行程序等相关操作指令序列。这些显著的
不同之处，一个熟练的程序员在调试状态下只需一瞥便可一目了然。启发式
代码扫描技术实际上就是把这种经验和知识移植到一个查病毒软件中的具体
程序体现。

　　因此，在这里，启发式指的“自我发现的能力”或“运用某种方式或方
法去判定事物的知识和技能。”一个运用启发式扫描技术的病毒检测软件，
实际上就是以特定方式实现的动态高度器或反编译器，通过对有关指令序列
的反编译逐步理解和确定其蕴藏的真正动机。例如，如果一段程序以如下序
列开始：MOV AH ,5/INT,13h，即调用格式化盘操作的BIOS指令功能，
那么这段程序就高度可疑值得引起警觉，尤其是假如这段指令之前不存在取
得命令行关于执行的参数选项，又没有要求用户交互性输入继续进行的操作
指令时，可以有把握地认为这是一个病毒或恶意破坏的程序。


--
                                                       Si

  踢踢腿，伸伸腰，早晨锻炼身体好。

※ 修改:·si 於 Jul 29 16:34:46 修改本文·[FROM:  202.120.160.28]
※ 来源:·饮水思源站 bbs.sjtu.edu.cn·[FROM: 202.120.160.28]

--
※ 来源:·哈尔滨紫丁香站 bbs1.hit.edu.cn·[FROM: bbs@bbs.orange.sjtu.]