反病毒引擎设计

•  0001150A call @InterlockedExchange@8 ；原子操作，替换驱动对象中打开调度例程的入口为钩子函数的偏移地址
   0001150F mov [esi-10h], eax ；保存原打开调度例程的入口
    3.4.3.3映射系统内存至用户空间代码
   0001068E push esi ；系统内存大小
   0001068F push _SysBufAddr ；系统内存基地址
   00010695 call ds:__imp__MmSizeOfMdl@8 ；计算描述系统内存所需内存描述符表（MDL）大小
   0001069B push 206B6444h ；调试用标签
   000106A0 push eax ；MDL大小
   000106A1 push 0 ；在系统非分页内存池中分配
   000106A3 call ds:__imp__ExAllocatePoolWithTag@12 ；为MDL分配内存
   000106A9 push esi ；系统内存大小
   000106AA mov _pMdl, eax ；保存MDL指针
   000106AF push _SysBufAddr ；系统内存基地址
   000106B5 push eax ；MDL指针
   000106B6 call ds:__imp__MmCreateMdl@12 ；初始化MDL
   000106BC push eax ；MDL指针
   000106BD mov _pMdl, eax ；保存MDL指针
   000106C2 call ds:__imp__MmBuildMdlForNonPagedPool@4
   ；填写MDL后物理页面数组
   000106C8 push 1 ；访问模式
   000106CA push _pMdl ；MDL指针
   000106D0 call ds:__imp__MmMapLockedPages@8 ；映射MDL描述的物理内存页面
   ......
   000106DB mov _UserBufAddr, eax ；保存映射后的用户空间地址
   _UserBufAddr 和_SysBufAddr映射到相同的物理地址。
     结 论
  至此本论文已告撰写完毕。本论文在介绍了诸多目前较为流行的病毒技术后着重讨论了当今两大反病毒技术：虚拟机和实时监控。
  
  我参与开发的w32encode是一个功能完备且结构复杂的商用虚拟机，它属于32位自含指令式虚拟机，与其它搜索清除模块合并在一起组成了一个功能强大的反病毒引擎。虽然目前它还不能支持所有的386+指令集，但从其查杀毒的运行效果来看结果还是非常令人满意的：普通的加密变形病毒可以在虚拟机默认的处理常式中查杀；特殊的，如hps,marburg等复杂加密变形病毒则可通过向虚拟机中添加少量的病毒特定处理代码来完成查杀。由于反虚拟执行技术的出现，所以今后对此虚拟机源代码的更新--向其中添加更多的对操作系统机制的支持--或者重写--成为真正的虚拟机器而非虚拟CPU--将是不可避免的。
  
  同时，我通过逆向工程某反病毒软件的实时监控程序，在系统原理和驱动编程上又有了新的认识，并且它大大增强了我的反汇编功力。今后我会将注释的反汇编代码编写成C语言版源代码，并把病毒扫描模块移到系统核心态下工作，从而使整个工程变为“主动的与内核无缝连接”式监控。
  
  总之当今反病毒技术的主流发展方向是屏弃传统的特征码扫描，创建智能的监控与行为分析引擎，这就必然要求更加先进的虚拟机和实时监控技术。
  
  致 谢
  在这次毕业设计中，我首先特别要感谢的是我的指导教师赵博士，是他在百忙之中对我耐心的辅导才使这次毕业设计顺利完成。
  
• 上一页 [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• 反病毒引擎设计 相关文章：
• ·卡巴斯基防火墙“反黑客”的设置技巧
• ·谷歌清除恶意链接 黑客反击破坏排名系统
• ·认识反网络钓鱼欺骗新技术
• ·微软Win Vista SP1加强反盗版
• ·企业选择反间谍软件程序10个要点
• ·增加Distinct后查询效率反而提高
• ·文件遭破坏致Win XP系统反复重启
• ·互联网基础建设影响博客 反对封杀P2P
• ·Xml 串行话对象与反串行实例
• ·Photoshop模拟太阳镜上的反光图像
• 反病毒引擎设计 相关软件
• ·《反恐精英》uyr精彩主视角录像
• ·《反恐精英》JAEGARN精彩主视角录像
• ·《反恐精英》录像：aTTaX vs GoodGame
• ·《反恐精英》NoA.ave精彩主视角录像
• ·《反恐精英》录像：MYM vs Logitech.fi
• ·《反恐精英》录像：俄罗斯 vs 法国
• ·《反恐精英》stone精彩主视角录像
• ·《反恐精英》fnatic.f0rest精彩主视角录像
• ·《反恐精英》saken精彩主视角录像
• ·《反恐精英》SK训练地图：glock 下载

上一篇:如何利用ASP把图片上传到数据库

下一篇:反病毒引擎设计

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐