返回
反病毒引擎设计之绪论篇(一)

反病毒引擎设计之绪论篇(一)

ID:47276796

大小:72.34 KB

页数:10页

时间:2019-08-26

反病毒引擎设计之绪论篇(一)_第1页
反病毒引擎设计之绪论篇(一)_第2页
反病毒引擎设计之绪论篇(一)_第3页
反病毒引擎设计之绪论篇(一)_第4页
反病毒引擎设计之绪论篇(一)_第5页
资源描述:

《反病毒引擎设计之绪论篇(一)》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、反病毒引擎设计之绪论篇作者:NJUE发文时间:2004.01.14目录1绪论1.1背景1.2当今病毒技术的发展状况1.2.1系统核心态病毒1.2.2驻留病毒1.23截获系统操作124加密变形病毒125反跟踪仮虚拟执行病毒126直接API调用127病毒隐藏128病毒特殊感染法1.绪论本文研究的主要内容正如其题目所示是设计并编写一个先进的反病毒引擎。首先需要对这“先进”二字做一个解释,何为“先进”?众所周知,传统的反病毒软件使用的是基于特征码的静态扫描技术,即在文件屮寻找特定十六进制串,如果找到,就

2、可判定文件感染了某种病毒。但这种方法在当今病毒技术迅猛发展的形势下已经起不到很好的作用了。原因我会在以下的章节中具体描述。因此本文将不对杀毒引擎屮的特征码扫描和病毒代码清除模块做分析°我们要讨论的是为丿应付先进的病毒技术而必需的两人反病毒技术-虚拟机和实时监控技术。具体什么是虚拟机,什么是实时监控,我会在相应的章节屮做详尽的介绍。这里我要说明的一点是,这两项技术虽然在前人的工作中已有所体现(被一些国内外先进的反病毒厂家所使用),但出于商业冃的,这些技术并没冇被完全公开,所以你无论从书本文献还是网

3、路上的资料中都无法找到关于这些技术的内幕。而我会在相关的章节屮剖析人量的程序源码(主要是24节屮的一个完整的虚拟机源码)或是逆向工程代码(3.3.3节和343节中三个我逆向工程的某著名反病毒软件的实时监控驱动程序及客户程序的反汇编代码),并同时公布一些我个人挖掘的操作系统内部未公开的机制和数据结构。下面就开始进入止题。1/1背景本文涉及的两个主要技术,也是当今反病毒界使用的最为先进的技术中的两个,究竟是作何而用的呢?首先说说虚拟机技术,它主要是为杳杀加密变形病毒而设计的。简单地来说,所谓虚拟机并

4、不是个虚拟的机器,说得更合适一些应该是个焜拟CPU(用软件实现的CPU),只不过病毒界都这么叫1何已。它的作用主要是模拟INTELX86CPU的工作过程来解释执行可执行代码,•真正的CPU-样能够取指,译码并执行相应机器指令规定的操作。当然什么是加密变形病毒,它们为什么需要被虚拟执行以及怎样虚拟执行等问题会在合适的章节中得到解答。再说另一个重头戏-实时监控技术,它的用处更为广泛,不仅局限于査杀病毒。被实时监控的对象也很多,如中断(Intmon),页面错误(Pfmon),磁盘访问(Diskmon)

5、等等。用于杀毒的监控主要是针対文件访问,在你要对一个文件进行访问吋,实时监控会先检查文件是否为带毒文件,若是,则由川户选择是清除病毒还是取消此次操作请求。这样就给了用户一个相对安全的执行环境。但同时,实时监控会使系统性能有所下降,不少杀毒软件的用户都抱怨他们的实时监控讣系统变得奇慢无比而且不稳左。这就给我们的设计提出了更高的要求,即怎样在保证准确拦截文件操作的同吋,让实吋监控占用的系统资源更少。我会在病毒实时监控一节中专门讨论这个问题。这两项技术在国内外先进的反病毒厂家的产品屮都有使用,虽然它们

6、的源代码没有公开,但我们还是可以通过逆向工程的方法来窥视一下它们的设计思路。其实你用一个十六进制编辑器来打开它们的町执行文件,也许就会看到一些没有剥掉的调试符号、变量名字或输出信息,这些蛛丝马迹対于理解代码的意图大有裨益。同时,在反病毒软件的安装口录屮后缀为.VXD或.SYS就是执行实时监控的驱动程序,町以拿來逆向一下(参看我在后而分析驱动源代码中的讨论)。相信至此,我们对■这两项技术有了一个大体的了解。后面我们将深入到技术的细节中去。1・2当今病毒技术的发展状况要讨论怎样反病毒,就必须从病毒技

7、术本身的讨论开始。正是所谓“知己知彼,百战不殆”。其实,我认为目前规定研究病毒技术属于违法行为存在着很人的弊端。很难想象一个毫无病毒写作经验的人会成为杀毒高手。据我了解,II前国内一些著名反病毒软件公司的研发队伍中不乏病毒写作高手。只不过他们将同样的技术用到了正道上,以'毒'攻'毒’。所以我希望这篇论文能起到抛砖引玉的作用,期待着有更多的人会将病毒技术介绍给大众。当今的病毒与DOS和WIN3.1时代下的从技术角度上看有很多不同。我认为最人的转变是:引导区病毒减少了,而脚本型病毒开始泛滥。原因是在

8、当今的操作系统下直接改写磁盘的引导区会有一定的难度(DOS则没有保护,允许调用INT13直接写盘),而且引导区的改动很容易被发现,所以很少冇人再写了;而脚木病毒以其传播效率高容易编写而深得病毒作者的青睐。当然由于这两种病毒用我上面说过的基于特征码的静态扫描技术就町以查杀,所以不在我们的讨论之列。我要讨论的技术主要來自于二进制外壳型病毒(感染文件的病毒),并R这些技术人都和操作系统底层机制或386以上CPU的保护模式相关,所以值得研究。大家都知道DOS卜•的外売型病毒主要感染16位的COM或EXE

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。