明辉手游网中心:是一个免费提供流行视频软件教程、在线学习分享的学习平台!

病毒区分乱谈

[摘要]各位好, 我是八尾半。 熟悉我的人大概都知道, 我曾经发过很多反病毒原理的文字, 什么长短内容比较法, 内存和中断比较法, 特征码定义扫描原理, 还有行为监测诊断原理等等, 上周呢, 我刚刚把软件...

各位好, 我是八尾半。 熟悉我的人大概都知道, 我曾经发过很多反病毒原理的文字, 什么长短内容比较法, 内存和中断比较法, 特征码定义扫描原理, 还有行为监测诊断原理等等, 上周呢, 我刚刚把软件模拟诊断原理的教程给各位制作完成, 正在校对过程中, 相信很快就会和各位见面, 今天呢, 我给各位说一说很多人都不曾一见的新东西—计算机病毒分析诊断原理。

其实呢, 刚才我提到的那些方法, 无论是中断比较法还是特征码定义扫描法, 那都是分析病毒的方法, 但是我们不是为分析病毒而分析病毒, 我们分析病毒有6个目的。

1、  1确认磁盘引导区和程序中是不是存在病毒。

2、  2确认病毒的种类, 看看它是一个新的病毒还是旧病毒的变种。

3、  3弄明白病毒的大概的结构。

4、  4提取到可以用来特征识别的特征字符串。 (具体请参考特征码定义扫描原理)

5、  5详细分析病毒的代码。

6、  6尝试为反病毒手段提供参考方案。

突然发现刚刚写的6个目的好像就是分析工作的工作顺序。 但是说呢, 分析法要求你的分析能力要很强, 而且还要有很多有关PC, DOS结构和功能调用和很多系统原理以及病毒与反病毒相关的东西才可以胜任这个工作。

各位不要为我上面的文字吓到, 一定要坚定的把这个东西看完.......

要分析病毒, 我们要有一个专业的大脑, 还有专业的工具和专业的计算机。 当然了...要拥有一个和瑞星, 金山那种大公司一样的反病毒实验室显然是不太现实(给我500万美金, 我也建一个)

继续说..即使是神级的反病毒技术天才, 使用最好的分析软件也不太可能在短时间把代码分析清楚, 而且这里的风险是有的, 因为病毒可能在分析的过程中继续传染或者发作...乃至硬盘里的数据完全损坏。 所以呢, 这种实验必须要在专业的实验机器上进行, 甚至在没有足够条件的时候, 分析工作就不能开始, 或者说, 没有条件, 我就是不动。

另外, 很多的病毒在技术上都采用了抗跟踪, 加密等等的技术, 这样就让分析工作变得异常的枯燥和漫长, 特别是那种上来就10KB, 20KB的以上的代码, 与系统的联系很深很深, 要做剖析的话真的可以砸键盘了..。

下面说说两种分析方法, 动态和静态。

先说静态..这个简单, 就是利用DEBUG把病毒代码打印成反汇编后的程序清单进行分析, 看看病毒分什么模块, 用什么系统调用, 搞了什么技巧等等..

动态, 这个比较复杂了, 要用DEBUG等调试工具在内存有毒的情况下, 进行动态的跟踪, 观察具体的工作情况和过程, 在静态为基础的理解上, 去分析理解一个木马病毒的工作原理。 这个尤其是在病毒采用的手段特别多的时候, 必须要先静后动, 才能完整分析。 有的时候甚至...如果不对病毒的解密程序进行动态分析, 病毒的静态分析就没有办法进行。


上面是电脑上网安全的一些基础常识,学习了安全知识,几乎可以让你免费电脑中毒的烦扰。