卡巴内存驻留型病毒检测方法

• 　　卡巴斯基反病毒软件(Kaspersky Antivirus)，以前叫AntiViral Toolkit Pro(AVP)，出于习惯和简单，这里一律称为AVP或KAV。　　
  
  　　学习AVP的检测办法的意义一方面在于AVP的检测方法是经过理论验证和实践考验的科学合理的方法，另外DOS年代过来的朋友对于反病毒有过这样的经验：“机子感染病毒了？好，请用干净无毒的系统盘启动，然后全盘查杀。”，我记得CIH横行那会，一个朋友让我帮他清除病毒，说病毒是国内某知名AV报的，启动该AV杀了一遍还有，而且该AV自己的监控报自己也感染了CIH，我听了后告诉他用干净的启动盘启动系统全盘查杀。虽然这是一个办法，但事实上反病毒软件为什么不直接做到可以内存检测并清除病毒呢。而这是完全可以做到的，对于内存检测/清除驻留型病毒的方法，就我所知最早AVP开始使用。 　　
  
  　　 一、检测方法：　　
  
  　　在AVP病毒库中，有几种特征记录，其中一种是内存特征，这是AVP用来检测查杀内存驻留型病毒的特征集，AVP对内存驻留的感染式病毒采用了一些单独的检测方法。 　　
  
  　　AVP通过在病毒库中记录的扫描方法和地址偏移来扫描内存中驻留的感染式病毒，从地址偏移开始进行逐字节匹配，当匹配到匹配字节的时候，即：Segm:Offset + byte offset=record:Byte，然后AVP开始计算由库记录指定长度的特征码，如果恰好匹配库中的记录的话，将显示对应的病毒消息，同时根据库的修复记录所指定的修复长度、和修复字节中的内容，进行内存修复，确保修复后，使得原病毒失去活性。　　
  
  　　 卡饭安软交流中心
  
  　　 此记录结构包含的字段主要有：
  
  　　 病毒名
  
  　　 搜索方法：绝对地址扫描、专用模块...
  
  　　 地址偏移： 段+偏移
  
  　　 匹配字节
  
  　　 特征长度
  
  　　 特征
  
  　　 专用处理过程：Obj_Link
  
  　　 处理偏移地址
  
  　　 处理字节长度：一般小于10
  
  　　 修复字节 　　
  
  　　二、搜索方法：　　
  
  　　有上面可以看出，AVP能否保证快速处理，一个关键因素是AVP的搜索方法，事实上，AVP内置了众多的搜索办法，这些办法适用于MSDOS、WIN9X、WINNT/2000/XP等系统。AVP对一个病毒的处理可以采用多种内存搜索办法，所不同的是哪种方法高效一些而已。 　　
  
  　　1、绝对地址： 　　
  
  　　AVP采用绝对地址的扫描办法来扫描一些病毒，扫描器从库记录中读出相应的地址记录，到内存中进行匹配，匹配上后，进行修复处理过程。 　　
  
  　　2、段扫描： 　　
  
  　　AVP从一个内存段，单字节循环递增，从开始扫描到段结束。 　　
  
  　　3、全部扫描： 　　
  
  　 AVP从内存地址0x00000000h开始，循环递增，进行全内存匹配的扫描方法。
  
  　　4、专用模块：　　
  
  　　这是针对一些特定的“狡猾”病毒的方法。当AVP自己定义的正常扫描和检测办法无法正确识别的时候，采用一个专用的处理模块来检测清除该病毒，该模块编写完成后，编译为obj格式的文件，存储在AVP的库记录中。 　
  
  　　卡饭安软交流中心
  
  　　5、中断跟踪： 　　
  
  　　这主要是AVP For DOS的扫描方法，通过对系统的中断INT21、INT13的来定位驻留内存的病毒代码，通过对这些指令附近的代码修改，使得病毒失去活性。

  （出处：急速软件下载学院）

• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• 卡巴内存驻留型病毒检测方法 相关文章：
• ·个性圣诞节贺卡制作网站推荐
• ·不用双显卡 PowerPoint 2007也玩双显示输出
• ·卡巴斯基12月10日——16日一周病毒报告
• ·XFrog与3DsMax绘卡通菜园：南瓜篇
• ·Photoshop绘制卡通风格可爱的圣诞帽
• ·XFrog与3DsMax绘卡通菜园：蘑菇篇
• ·XFrog与3DsMax绘卡通菜园：花草篇
• ·可爱卡通小蜜蜂睡觉了Flash教程
• ·卡巴斯基报告称恶意软件近三成来自中国
• ·卡巴斯基发布8.0版最新特性(附下载)
• 卡巴内存驻留型病毒检测方法 相关软件
• ·《古墓丽影2004黄金关卡:劳拉在电影中》难点关卡全存档
• ·《极品飞车10卡本峡谷》中文版v1.4升级档免CD补丁
• ·《极品飞车：卡本峡谷》Vista补丁英文版下载
• ·《星之卡比 老鼠进攻》 （欧）模拟器
• ·《卡通明星大乱斗》射击试玩
• ·卡丁赛车手机游戏 sis
• ·《华纳卡通爆裂球》游戏试玩
• ·《极品飞车-生死卡本谷》
• ·《跑跑卡丁车》手动补丁包 P243版本
• ·美术欣赏-雍和宮唐卡欣赏

上一篇:漂亮MM经典时尚服饰设计

下一篇:不需要任何软件也能阅读Adobe PDF文章

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐