当前位置: 电脑软硬件应用网 > 电脑学院 > 软件教程 > 安全工具 > 正文 |
|
|||
卡巴斯基(AVP)内存驻留型病毒检测方法 | |||
2007-5-29 10:19:16 文/killer 出处:卡饭论坛 | |||
卡巴斯基反病毒软件(Kaspersky Antivirus),以前叫AntiViral Toolkit Pro(AVP),出于习惯和简单,这里一律称为AVP或KAV。 学习AVP的检测办法的意义一方面在于AVP的检测方法是经过理论验证和实践考验的科学合理的方法,另外DOS年代过来的朋友对于反病毒有过这样的经验:“机子感染病毒了?好,请用干净无毒的系统盘启动,然后全盘查杀。”,我记得CIH横行那会,一个朋友让我帮他清除病毒,说病毒是国内某知名AV报的,启动该AV杀了一遍还有,而且该AV自己的监控报自己也感染了CIH,我听了后告诉他用干净的启动盘启动系统全盘查杀。虽然这是一个办法,但事实上反病毒软件为什么不直接做到可以内存检测并清除病毒呢。而这是完全可以做到的,对于内存检测/清除驻留型病毒的方法,就我所知最早AVP开始使用。
在AVP病毒库中,有几种特征记录,其中一种是内存特征,这是AVP用来检测查杀内存驻留型病毒的特征集,AVP对内存驻留的感染式病毒采用了一些单独的检测方法。 此记录结构包含的字段主要有: 病毒名 二、搜索方法: 有上面可以看出,AVP能否保证快速处理,一个关键因素是AVP的搜索方法,事实上,AVP内置了众多的搜索办法,这些办法适用于MSDOS、WIN9X、WINNT/2000/XP等系统。AVP对一个病毒的处理可以采用多种内存搜索办法,所不同的是哪种方法高效一些而已。
AVP采用绝对地址的扫描办法来扫描一些病毒,扫描器从库记录中读出相应的地址记录,到内存中进行匹配,匹配上后,进行修复处理过程。 2、段扫描: AVP从一个内存段,单字节循环递增,从开始扫描到段结束。 AVP从内存地址0x00000000h开始,循环递增,进行全内存匹配的扫描方法。 这是针对一些特定的“狡猾”病毒的方法。当AVP自己定义的正常扫描和检测办法无法正确识别的时候,采用一个专用的处理模块来检测清除该病毒,该模块编写完成后,编译为obj格式的文件,存储在AVP的库记录中。 5、中断跟踪: 这主要是AVP For DOS的扫描方法,通过对系统的中断INT21、INT13的来定位驻留内存的病毒代码,通过对这些指令附近的代码修改,使得病毒失去活性。
简单举例,比如这个病毒(网上找的一个感染COM文件的代码片段): cmp ah,3dh @@JmpOldInt21: @@Infect_File: .... 编译后应该是这个样子: 13B6:0100 80FC 3D CMP AH,3Dh 对于这个病毒的检测和清除,我们生成一记录,这个病毒记录在AVP库record中,可以是这种形式,它完全可以检测和解除该病毒的活性: 搜索方法:中断跟踪 通过这样一个检测、修复库记录,AVP就可以检测和修复内存中驻留的活性病毒,然后在通过单独的文件病毒检测/修复等处理过程来全面清除磁盘文件中的病毒。 本文是(Avp Reverse Engineering)AVP逆向学习系列一节,所分析的方法在不同版本中略有不同,而基于AVP的良好架构,这些改变主要体现的处理方法的增删,和结构长度变化。 |
|||
最新热点 | 最新推荐 | 相关文章 | ||
360和卡巴斯基超占C盘空间怎么办? 每隔2分钟弹出“卡巴斯基授权被终止… 安装卡巴斯基2009后Word无法保存 卡巴斯基2010中添加信任程序的方法 解除卡巴斯基的keylogger警报方法 如何删除卡巴斯基的临时文件 腾出硬… 利用卡巴斯基为网银加上放心锁 卡巴斯基2009离线升级包制作方法 手工删除卡巴斯基病毒库的方法 如何缩短卡巴斯基全盘扫描时间 |
关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |