|
學(xué)習(xí)AVP的檢測(cè)辦法的意義一方面在于AVP的檢測(cè)方法是經(jīng)過理論驗(yàn)證和實(shí)踐考驗(yàn)的科學(xué)合理的方法���,另外DOS年代過來的朋友對(duì)于反病毒有過這樣的經(jīng)驗(yàn):“機(jī)子感染病毒了?好,請(qǐng)用干凈無毒的系統(tǒng)盤啟動(dòng)����,然后全盤查殺��。”�,我記得CIH橫行那會(huì)����,一個(gè)朋友讓我?guī)退宄《荆f病毒是國內(nèi)某知名AV報(bào)的��,啟動(dòng)該AV殺了一遍還有��,而且該AV自己的監(jiān)控報(bào)自己也感染了CIH�����,我聽了后告訴他用干凈的啟動(dòng)盤啟動(dòng)系統(tǒng)全盤查殺�。雖然這是一個(gè)辦法�,但事實(shí)上反病毒軟件為什么不直接做到可以內(nèi)存檢測(cè)并清除病毒呢���。而這是完全可以做到的��,對(duì)于內(nèi)存檢測(cè)/清除駐留型病毒的方法�����,就我所知最早AVP開始使用���。
一、檢測(cè)方法:
在AVP病毒庫中�����,有幾種特征記錄����,其中一種是內(nèi)存特征,這是AVP用來檢測(cè)查殺內(nèi)存駐留型病毒的特征集�����,AVP對(duì)內(nèi)存駐留的感染式病毒采用了一些單獨(dú)的檢測(cè)方法。
AVP通過在病毒庫中記錄的掃描方法和地址偏移來掃描內(nèi)存中駐留的感染式病毒��,從地址偏移開始進(jìn)行逐字節(jié)匹配���,當(dāng)匹配到匹配字節(jié)的時(shí)候�����,即:Segm:Offset + byte offset=record:Byte�����,然后AVP開始計(jì)算由庫記錄指定長度的特征碼���,如果恰好匹配庫中的記錄的話�,將顯示對(duì)應(yīng)的病毒消息,同時(shí)根據(jù)庫的修復(fù)記錄所指定的修復(fù)長度�、和修復(fù)字節(jié)中的內(nèi)容,進(jìn)行內(nèi)存修復(fù)�����,確保修復(fù)后�,使得原病毒失去活性。
此記錄結(jié)構(gòu)包含的字段主要有:
病毒名
搜索方法:絕對(duì)地址掃描、專用模塊...
地址偏移: 段+偏移
匹配字節(jié)
特征長度
特征
專用處理過程:Obj_Link
處理偏移地址
處理字節(jié)長度:一般小于10
修復(fù)字節(jié)
二��、搜索方法:
有上面可以看出���,AVP能否保證快速處理����,一個(gè)關(guān)鍵因素是AVP的搜索方法����,事實(shí)上,AVP內(nèi)置了眾多的搜索辦法����,這些辦法適用于MSDOS、WIN9X����、WINNT/2000/XP等系統(tǒng)。AVP對(duì)一個(gè)病毒的處理可以采用多種內(nèi)存搜索辦法��,所不同的是哪種方法高效一些而已����。
1、絕對(duì)地址:
AVP采用絕對(duì)地址的掃描辦法來掃描一些病毒,掃描器從庫記錄中讀出相應(yīng)的地址記錄��,到內(nèi)存中進(jìn)行匹配��,匹配上后���,進(jìn)行修復(fù)處理過程��。
2�、段掃描:
AVP從一個(gè)內(nèi)存段�����,單字節(jié)循環(huán)遞增����,從開始掃描到段結(jié)束。
3�、全部掃描:
AVP從內(nèi)存地址0x00000000h開始�����,循環(huán)遞增�����,進(jìn)行全內(nèi)存匹配的掃描方法。
億恩科技地址(ADD):鄭州市黃河路129號(hào)天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【www.allwellnessguide.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)��!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商��!15年品質(zhì)保障���!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
