![](https://img-blog.csdnimg.cn/20201014180756757.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
病毒
kaylc
这个作者很懒,什么都没留下…
展开
-
反病毒引擎设计(一):绪论 本文来自:剑盟反病毒技术门户(www.janmeng.com)
<br /><br />1.绪 论 <br />本论文研究的主要内容正如其题目所示是设计并编写一个先进的反病毒引擎。首先需要对这“先进”二字做一个解释,何为“先进”?众所周知,传统的反病毒软件使用的是基于特征码的静态扫描技术,即在文件中寻找特定十六进制串,如果找到,就可判定文件感染了某种病毒。但这种方法在当今病毒技术迅猛发展的形势下已经起不到很好的作用了。原因我会在以下的章节中具体描述。因此本论文将不对杀毒引擎中的特征码扫描和病毒代码清除模块做分析。我们要讨论的是为应付先进的病毒技术而必需的两大反病毒技术-转载 2011-02-14 21:25:00 · 1866 阅读 · 0 评论 -
反病毒引擎设计(二):虚拟机查毒
<br /><br />2.虚拟机查毒 <br />2.1虚拟机概论 <br />近些年,虚拟机,在反病毒界也被称为通用解密器,已经成为反病毒软件中最引人注目的部分,尽管反病毒者对于它的运用还远没有达到一个完美的程度,但虚拟机以其诸如"病毒指令码模拟器"和"Stryker"等多变的名称为反病毒产品的市场销售带来了光明的前景。以下的讨论将把我们带入一个精彩的虚拟技术的世界中。 <br /> <br />首先要谈及的是虚拟机的概念和它与诸如Vmware(美国VMWARE公司生产的一款虚拟机,它支持在WINNT/转载 2011-02-14 21:29:00 · 1111 阅读 · 0 评论 -
反病毒引擎设计(四):WINNT/2000下的病毒实时监控
<br /><br />3.4WINNT/2000下的病毒实时监控<br /> <br /> 3.4.1实现技术详解 <br />WINNT/2000下病毒实时监控的实现主要依赖于NT内核模式驱动编程,拦截IRP,驱动与ring3下客户程序的通信(命名的事件与信号量对象)三项技术。程序的设计思路和大体流程与前面介绍的WIN9X下病毒实时监控非常相似,只是在实现技术由于运行环境的不同将呈现很大的区别。 <br /> <br />WINNT/2000下不再支持VXD,我将在后面剖析的hooksys.sys其实是转载 2011-02-14 21:36:00 · 935 阅读 · 0 评论 -
反病毒引擎设计(三):病毒实时监控之概论
<br /> <br />3.病毒实时监控 <br />3.1实时监控概论 <br />实时监控技术其实并非什么新技术,早在DOS编程时代就有之。只不过那时人们没有给这项技术冠以这样专业的名字而已。早期在各大专院校机房中普遍使用的硬盘写保护软件正是利用了实时监控技术。硬盘写保护软件一般会将自身写入硬盘零磁头开始的几个扇区(由0磁头0柱面1扇最开始的64个扇区是保留的,DOS访问不到)并修改原来的主引导记录以使启动时硬盘写保护程序可以取得控制权。引导时取得控制权的硬盘写保护程序会修改INT13H的中断向量指向转载 2011-02-14 21:32:00 · 677 阅读 · 0 评论 -
反病毒引擎设计(三):病毒实时监控之WIN9X下的病毒实时监控
<br /><br />3.3WIN9X下的病毒实时监控 <br />3.3.1实现技术详解 <br />WIN9X下病毒实时监控的实现主要依赖于虚拟设备驱动(VXD)编程,可安装文件系统钩挂(IFSHook),VXD与ring3下客户程序的通信(APC/EVENT)三项技术。 <br /> <br />我们曾经提到过只有工作于系统核心态的驱动程序才具有有效地完成拦截系统范围文件操作的能力,VXD就是适用于WIN9X下的虚拟设备驱动程序,所以正可当此重任。当然,VXD的功能远不止由IFSMGR.vxd提供的转载 2011-02-14 21:34:00 · 794 阅读 · 0 评论