????近年来,新的算计机病毒生长非常嚣张,并且这些新病毒特别加倍潜伏、纷乱,某些新病毒所具有的破坏性更大,所带来的损失无法测度。这表白算计机病毒的防治尤为重要,同时所面临的形象也特别加倍严肃。本文就在带毒情状下检测根除病毒的想法题目提出一点领会与看法。 ???? ????一、带毒情状下检测根除病毒的意义 ???? ????目前在我国盛行的病毒大凡可分为开发型病毒、文件型病毒和搀杂型病毒。开发型病毒的特征是它寄生在软盘的DOS开发扇区和硬盘的主开发记载或DOS开发区中,开机时由算计机主动读入内存中执行。文件型病毒则将自己附加在可执行文件上,在执行被感化标准时,病毒最后取得克制权,举办驻留或破坏等行动。搀杂型病毒既能感化开发区也能感化可执行文件,具有更强的感染性。常用的杀毒软件有KV300、公安部的KILL、美国McAfee公司的SCAN和CLEAN等,这些软件各有自己的长处。不过在一个带毒的情状下,也即在病毒已经驻留在内存中的情况下,这些杀毒软件都生存不敷并或者带来一些不良的效率。 ???? ????当编制感化一种已知病毒时,KILL和SCAN发现内存中有病毒后,大凡是隔绝不停执行,并要求用纯净的盘从头开动。KV300发出相似的警告新闻,但提供应用户一个采选的机遇,以确定是否不停执行,很明显,若用户采选不停,所带来的效率是不行预期的。 ???? ????当编制感化一种未知病毒时,三种软件在未发现内存中有已知病毒后,都假如编制中无病毒,忠实地执行检测或根除功能。结果上,这个未知病毒或者会在检测时感染盘中悉数的可执行文件。 ???? ????由上面的讨论可知,清查病毒时只有从万万纯净的盘开动,并且要求杀毒软件自己无毒,才能够担保十拿九稳。不过,因为人们互相拷贝各式软件,很大水平上帮忙了病毒的流传,在很多情况下,要取得一张纯净的开动盘很不容易,并且对待一些对算计机编制懂得不是很多的利用者来说,他们根底无法判定一张开动盘是不是纯净的。所以,研究在带毒情状下举办病毒检测和根除的想法是很有意义的。 ???? ????二、带毒情状下检测根除病毒的意思 ???? ????对待一个驻留内存乘机举办感染和破坏的病毒来说,大凡都要截取某些间断向量,当其他标准挪用这些间断时,病毒从头博得克制权,决断是否满足特定的条目,满足则激活感染或破坏部门,在条目不满足的情况下大凡是挪用原间断服务标准,告终正常的编制功能。 ???? ????开发型病毒常接收INT13H、08H、10H等间断;文件型病毒则常接收INT21H、24H、25H、26H、1CH、13H、10H等间断。 ???? ????既然病毒是经过议定接收间断来取得感染和破坏的机遇,那么我们是否有想法找回被病毒接收的间断服务标准的地点,从而杀毒软件也许直接挪用原间断,避免激活病毒?笔者认为这是或者的,因为病毒在接收间断后,大凡只对读写操作、文件操作和执行等子功能挪用感趣味,对待其他一些功能挪用,病毒不过简略单纯地挪用原间断服务标准举办措置,并经常利用下列指令举办挪用: ????jmp xxxx:xxxx ????call xxxx:xxxx ????jmp far ptr cs:[xxxx] ????call far ptr cs:[xxxx] ???? ????以INT21H为例,我们也许挪用取DOS版本号的子功能3306H,对悉数挪用过程举办单步跟踪,并假如病毒驻留的段地点与INT21H原间断段地点是差别的,要是挪用过程中CS产生改造,我们把每次CS改造后执行的第一条指令的地点都记载下来,那么INT21H本来的间断地点也一定在其中。 ???? ????但记载的地点不止一个,结果哪个是我们所要找的呢?这边我们也许假如病毒在调原间断服务轨范时把各个寄放器(指AX、BX、CX、DX、SI、DI、DS、ES)都配置成我们挪用时所配置的值,同时真实的间断服务轨范返回时又会改造寄放器的值,这个假如在绝大多数处境下都是准确的,从该假如出发,只需在各个寄放器值没有改造的处境下,记载下每次CS改造后的第一条指令的地点,那么在间断返回后,记载中的近来一个地点便是所需找的原间断地点。必要指出的是,假若内存中另有其他驻留轨范也收受了INT21H,所找到的地点同样绕过了这些驻留轨范。 (转载请注明出处:http://www.mmdongzhen.com/moshoumiji/20100326/281.html) |