計(jì)算機(jī)病毒查殺,本章學(xué)習(xí)目標(biāo),掌握計(jì)算機(jī)病毒診斷知識(shí)掌握殺毒引擎掃描算法了解病毒診斷實(shí)驗(yàn)理解計(jì)算機(jī)病毒清除知識(shí),本章內(nèi)容：計(jì)算機(jī)病毒的診斷原理方法源碼分析計(jì)算機(jī)病毒的清除典型病毒的查殺,1計(jì)算機(jī)病毒的診斷,內(nèi)容：計(jì)算機(jī)病毒的診斷原理計(jì)算機(jī)病毒的診斷方法高速模式匹配自動(dòng)診斷的源碼分析,計(jì)算機(jī)病毒的診斷原理,用什么來(lái)判斷？染毒后的特征常用方法：比較法校驗(yàn)和掃描法行為監(jiān)測(cè)法行為感染試驗(yàn)法虛擬執(zhí)行法陷阱技術(shù)先知掃描分析法等等,比較法,比較法是用原始或正常的對(duì)象與被檢測(cè)的對(duì)象進(jìn)行比較。手工比較法是發(fā)現(xiàn)新病毒的必要方法。比較法又包括：注冊(cè)表比較法工具RegMon弱點(diǎn):正常程序也操作注冊(cè)表文件比較法通常比較文件的長(zhǎng)度和內(nèi)容兩個(gè)方面工具FileMon弱點(diǎn)：長(zhǎng)度和內(nèi)容的變化有時(shí)是合法的病毒可以模糊這種變化,內(nèi)存比較法主要針對(duì)駐留內(nèi)存病毒判斷駐留特征中斷比較法將正常系統(tǒng)的中斷向量與有毒系統(tǒng)的中斷向量進(jìn)行比較比較法的好處：簡(jiǎn)單比較法的缺點(diǎn)：無(wú)法確認(rèn)病毒，依賴備份,校驗(yàn)和法,首先，計(jì)算正常文件內(nèi)容的校驗(yàn)和并且將該校驗(yàn)和寫(xiě)入某個(gè)位置保存。然后，在每次使用文件前或文件使用過(guò)程中，定期地檢查文件現(xiàn)在內(nèi)容算出的校驗(yàn)和與原來(lái)保存的校驗(yàn)和是否一致，從而可以發(fā)現(xiàn)文件是否感染，這種方法叫校驗(yàn)和法，它既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒。,優(yōu)點(diǎn)：方法簡(jiǎn)單能發(fā)現(xiàn)未知病毒被查文件的細(xì)微變化也能發(fā)現(xiàn)缺點(diǎn)：必須預(yù)先記錄正常態(tài)的校驗(yàn)和會(huì)誤報(bào)警不能識(shí)別病毒名稱程序執(zhí)行附加延遲不對(duì)付隱蔽性病毒。,掃描法,掃描法是用每一種病毒體含有的特定字符串（Signature）對(duì)被檢測(cè)的對(duì)象進(jìn)行掃描。如果在被檢測(cè)對(duì)象內(nèi)部發(fā)現(xiàn)了某一種特定字符串，就表明發(fā)現(xiàn)了該字符串所代表的病毒。掃描器由兩部分組成：特征串（Signature）和掃描算法（Scanner）,選擇代碼串的規(guī)則是：代碼串不應(yīng)含有病毒的數(shù)據(jù)區(qū)，數(shù)據(jù)區(qū)是會(huì)經(jīng)常變化的。在保持唯一性的前提下，應(yīng)盡量使特征代碼長(zhǎng)度短些，以減少時(shí)間和空間開(kāi)銷(xiāo)。代碼串一定要在仔細(xì)分析了程序之后才能選出最具代表性的，足以將該病毒區(qū)別于其他病毒和該病毒的其他變種的代碼串。特征串必須能將病毒與正常的非病毒程序區(qū)分開(kāi)。例如:給定特征串為“E97C0010?37CB”，則“E97C00102737CB”和“E97C00109C37CB”都能被識(shí)別出來(lái).,其優(yōu)點(diǎn)包括：（1）當(dāng)特征串選擇得很好時(shí)，病毒檢測(cè)軟件讓計(jì)算機(jī)用戶使用起來(lái)方便快速，對(duì)病毒了解不多的人也能用它來(lái)發(fā)現(xiàn)病毒。（2）不用專門(mén)軟件，用編輯軟件也能用特征串掃描法去檢測(cè)特定病毒。（3）可識(shí)別病毒的名稱。（4）誤報(bào)警率低。（5）依據(jù)檢測(cè)結(jié)果，可做殺毒處理。,缺點(diǎn)：（1）當(dāng)被掃描的文件很長(zhǎng)時(shí)，掃描所花時(shí)間也較多。（2）不容易選出合適的特征串，有時(shí)會(huì)發(fā)出假警報(bào)。（3）新病毒的特征串未加入病毒代碼庫(kù)時(shí)，老版本的掃毒程序無(wú)法識(shí)別出新病毒。（4）懷有惡意的計(jì)算機(jī)病毒制造者得到代碼庫(kù)后，會(huì)很容易地改變病毒體內(nèi)的代碼，生成一個(gè)新的變種，使掃描程序失去檢測(cè)它的能力。（5）容易產(chǎn)生誤警報(bào)。只要正常程序內(nèi)帶有某種病毒的特征串，即使該代碼段已不可能被執(zhí)行，而只是被殺死的病毒體殘余，掃描程序仍會(huì)報(bào)警。（6）不易識(shí)別變異類(lèi)病毒。（7）搜集已知病毒的特征代碼，費(fèi)用開(kāi)銷(xiāo)大。（8）在網(wǎng)絡(luò)上使用效率低。,行為監(jiān)測(cè)法,利用病毒的特有行為特性來(lái)監(jiān)測(cè)病毒的方法稱為行為監(jiān)測(cè)法。常用行為：占用INT13H修改DOS系統(tǒng)數(shù)據(jù)區(qū)的內(nèi)存總量對(duì)COM和EXE文件做寫(xiě)入動(dòng)作寫(xiě)注冊(cè)表自動(dòng)聯(lián)網(wǎng)請(qǐng)求優(yōu)點(diǎn)：發(fā)現(xiàn)未知病毒缺點(diǎn)：難度大、誤報(bào)警,感染實(shí)驗(yàn)法,這種方法的原理是利用了病毒的最重要的基本特征：感染特性。觀察正常程序和可疑程序的表現(xiàn)是非不同。,1檢測(cè)未知引導(dǎo)型病毒的感染實(shí)驗(yàn)法a.先用一張軟盤(pán)，做一個(gè)清潔無(wú)毒的系統(tǒng)盤(pán)，用DEBUG程序，讀該盤(pán)的BOOT扇區(qū)進(jìn)入內(nèi)存，計(jì)算其校驗(yàn)和，并記住此值。同時(shí)把正常的BOOT扇區(qū)保存到一個(gè)文件中。上述操作必須保證系統(tǒng)環(huán)境是清潔無(wú)毒的b.在這張實(shí)驗(yàn)盤(pán)上拷貝一些無(wú)毒的系統(tǒng)應(yīng)用程序。c.啟動(dòng)可疑系統(tǒng)，將實(shí)驗(yàn)盤(pán)插入可疑系統(tǒng)，運(yùn)行實(shí)驗(yàn)盤(pán)上的程序，重復(fù)一定次數(shù)。d.再在干凈無(wú)毒機(jī)器上，檢查實(shí)驗(yàn)盤(pán)的BOOT扇區(qū)，可與原BOOT扇區(qū)內(nèi)容比較，如果實(shí)驗(yàn)盤(pán)BOOT扇區(qū)內(nèi)容已改變，可以斷定可疑系統(tǒng)中有引導(dǎo)型病毒。,2檢測(cè)未知文件型病毒的感染實(shí)驗(yàn)法a.在干凈系統(tǒng)中制作一張實(shí)驗(yàn)盤(pán)，上面存放一些應(yīng)用程序，這些程序應(yīng)保證無(wú)毒，應(yīng)選擇長(zhǎng)度不同，類(lèi)型不同的文件（既有COM型又有EXE型）。記住這些文件正常狀態(tài)的長(zhǎng)度和校驗(yàn)和。b.在實(shí)驗(yàn)盤(pán)上制作一個(gè)批處理文件，使盤(pán)中程序在循環(huán)中輪流被執(zhí)行數(shù)次c.將實(shí)驗(yàn)盤(pán)插入可疑系統(tǒng)，執(zhí)行批處理文件，多次執(zhí)行盤(pán)中程序。d.將實(shí)驗(yàn)盤(pán)放人干凈系統(tǒng)，檢查盤(pán)中文件的長(zhǎng)度和校驗(yàn)和，如果文件長(zhǎng)度增加，或者校驗(yàn)和變化，則可斷定系統(tǒng)中有病毒。,對(duì)于Windows中的病毒，感染實(shí)驗(yàn)法檢測(cè)內(nèi)容會(huì)更多一些，例如，當(dāng)使用感染實(shí)驗(yàn)法檢測(cè)“廣外女生”木馬病毒時(shí)，可以采用如下步驟：首先打開(kāi)RegSnap，從file菜單選new，然后單擊OK按鈕，對(duì)當(dāng)前干凈的注冊(cè)表以及系統(tǒng)文件做一個(gè)記錄。如果木馬修改了其中某項(xiàng)，就可以分析出來(lái)了。備份完成之后把它存為Regsnp1.rgs。在計(jì)算機(jī)上運(yùn)行感染了“廣外女生”病毒的文件，例如雙擊gdufs.exe，然后等一小會(huì)兒。如果此時(shí)發(fā)現(xiàn)正在運(yùn)行著的“天網(wǎng)防火墻”或“金山毒霸”自動(dòng)退出，就很可能木馬已經(jīng)駐留在系統(tǒng)中了。,重新打開(kāi)RegSnap，從file菜單選new,然后單擊OK按鈕，把這次的snap結(jié)果存為Regsnp2.rgs。從RegSnap的file菜單選擇Compare，在Firstsnapshot中選擇打開(kāi)Regsnp1.rgs，在Secondsnapshot中選擇打開(kāi)Regsnp2.rgs，并在下面的單選框中選中Showmodifiedkeynamesandkeyvalues，然后單擊OK按鈕。這樣RegSnap就開(kāi)始比較兩次記錄有什么區(qū)別了，當(dāng)比較完成時(shí)會(huì)自動(dòng)打開(kāi)分析結(jié)果文件Regsnp1-Regsnp2.htm。為找出木馬的駐留位置以及在注冊(cè)表中的啟動(dòng)項(xiàng)，看Regsnp1-Regsnp2.htm，若顯示如下信息：,Summaryinfo:Deletedkeys:0Modifiedkeys:15Newkeys:1FilelistinC:WINNTSystem32*.*Summaryinfo:Deletedfiles:0Modifiedfiles:0Newfiles:1Newfilesdiagcfg.exeSize:97792,Date/Time:2001年07月01日23:00:12Totalpositions:1,則表明兩次記錄中，沒(méi)有刪除注冊(cè)表鍵，修改了15處注冊(cè)表，新增加了一處注冊(cè)表鍵值，在C:WINNTSystem32目錄下面新增加了一個(gè)文件diagcfg.exe。這個(gè)文件非常可疑，因?yàn)樵诒容^兩次系統(tǒng)信息之間只運(yùn)行了“廣外女生”這個(gè)木馬，所以有理由相信diagcfg.exe就是木馬留在系統(tǒng)中的后門(mén)程序。這時(shí)打開(kāi)任務(wù)管理器，可以發(fā)現(xiàn)其中有一個(gè)diagcfg.exe的進(jìn)程，這就是木馬的原身。但這個(gè)時(shí)候千萬(wàn)不要?jiǎng)h除diagcfg.exe，否則系統(tǒng)就無(wú)法正常運(yùn)行了。,木馬一般都會(huì)在注冊(cè)表中設(shè)置一些鍵值以便以后在系統(tǒng)每次重新啟動(dòng)時(shí)能夠自動(dòng)運(yùn)行。從Regsnp1-Regsnp2.htm中可以看到哪些注冊(cè)表項(xiàng)發(fā)生了變化，此時(shí)若看到：HKEY_LOCAL_MACHINESOFTWAREClassesexefileshellopencommandOldvalue:String:%1%*Newvalue:String:C:WINNTSystem32diagcfg.exe%1%*,則說(shuō)明這個(gè)鍵值由原來(lái)的%1%*被修改成了C:WINNTSystem32DIAGCFG.EXE%1%*，這就使得以后每次運(yùn)行任何可執(zhí)行文件時(shí)都要先運(yùn)行C:WINNTSystem32diagcfg.exe這個(gè)程序。找出木馬監(jiān)聽(tīng)的端口。使用fport可以輕松的實(shí)現(xiàn)這一點(diǎn)。在命令行中運(yùn)行fport.exe，可以看到：,C:toolfport>fportFPortv1.33TCP/IPProcesstoPortMapperCopyright2000byFoundstone,Inc.PidProcessPortProtoPath584tcpsvcs->7TCPC:WINNTSystem32tcpsvcs.exe584tcpsvcs->9TCPC:WINNTSystem32tcpsvcs.exe584tcpsvcs->13TCPC:WINNTSystem32tcpsvcs.exe584tcpsvcs->17TCPC:WINNTSystem32tcpsvcs.exe584tcpsvcs->19TCPC:WINNTSystem32tcpsvcs.exe836inetinfo->80TCPC:WINNTSystem32inetsrvinetinfo.exe408svchost->135TCPC:WINNTsystem32svchost.exe,836inetinfo->443TCPC:WINNTSystem32inetsrvinetinfo.exe8System->445TCP464msdtc->1025TCPC:WINNTSystem32msdtc.exe684MSTask->1026TCPC:WINNTsystem32MSTask.exe584tcpsvcs->1028TCPC:WINNTSystem32tcpsvcs.exe836inetinfo->1029TCPC:WINNTSystem32inetsrvinetinfo.exe8System->1030TCP464msdtc->3372TCPC:WINNTSystem32msdtc.exe1176DIAGCFG->6267TCPC:WINNTSystem32DIAGCFG.EXE/*注意這行！*/,836inetinfo->7075TCPC:WINNTSystem32inetsrvinetinfo.exe584tcpsvcs->7UDPC:WINNTSystem32tcpsvcs.exe584tcpsvcs->9UDPC:WINNTSystem32tcpsvcs.exe584tcpsvcs->13UDPC:WINNTSystem32tcpsvcs.exe584tcpsvcs->17UDPC:WINNTSystem32tcpsvcs.exe584tcpsvcs->19UDPC:WINNTSystem32tcpsvcs.exe584tcpsvcs->68UDPC:WINNTSystem32tcpsvcs.exe408svchost->135UDPC:WINNTsystem32svchost.exe8System->445UDP228services->1027UDPC:WINNTsystem32services.exe836inetinfo->3456UDPC:WINNTSystem32inetsrvinetinfo.exe,虛擬執(zhí)行法,為了檢測(cè)多態(tài)性病毒，提出了虛擬執(zhí)行法。它是一種軟件分析器，用軟件方法來(lái)模擬和分析程序的運(yùn)行。如果發(fā)現(xiàn)隱蔽性病毒或多態(tài)性病毒嫌疑時(shí)，啟動(dòng)虛擬執(zhí)行模塊，監(jiān)視病毒的運(yùn)行，待病毒自身的密碼譯碼以后，再運(yùn)用特征代碼法來(lái)識(shí)別病毒的種類(lèi)。,分析法,分析法的目的在于：1確認(rèn)被觀察的磁盤(pán)引導(dǎo)區(qū)和程序中是否含有2確認(rèn)病毒的類(lèi)型和種類(lèi)，判定其是否是一種新病毒。3搞清楚病毒體的大致結(jié)構(gòu)，提取特征識(shí)別用的字符串或特征字，用于增添到病毒代碼庫(kù)供掃描和識(shí)別程序用。4詳細(xì)分析病毒代碼，為制定相應(yīng)的反病毒措施制定方案。,人工智能陷阱技術(shù)和宏病毒陷阱技術(shù),人工智能陷阱是一種監(jiān)測(cè)計(jì)算機(jī)行為的常駐式掃描技術(shù)。它將所有計(jì)算機(jī)病毒所產(chǎn)生的行為歸納起來(lái)，一旦發(fā)現(xiàn)內(nèi)存中的程序有任何不當(dāng)?shù)男袨?，系統(tǒng)就會(huì)有所警覺(jué)，并告知使用者。這種技術(shù)的優(yōu)點(diǎn)是執(zhí)行速度快、操作簡(jiǎn)便，且可以偵測(cè)到各式計(jì)算機(jī)病毒。其缺點(diǎn)就是程序設(shè)計(jì)難度大，且不容易考慮周全。在這千變?nèi)f化的計(jì)算機(jī)病毒世界中，人工智能陷阱掃描技術(shù)是一個(gè)具有主動(dòng)保護(hù)功能的技術(shù)。宏病毒陷阱技術(shù)結(jié)合了搜索法和人工智能陷阱技術(shù)，依行為模式來(lái)偵測(cè)已知及未知的宏病毒。其中，配合OLE2技術(shù)，可將宏與文件分開(kāi)，加快掃描速度，而且可以有效地將宏病毒徹底清除。,先知掃描法,先知掃描技術(shù)將專業(yè)人員用來(lái)判斷程序是否存在計(jì)算機(jī)病毒代碼的方法，分析歸納成專家系統(tǒng)和知識(shí)庫(kù)，再利用軟件模擬技術(shù)（SoftwareEmulation）偽執(zhí)行新的計(jì)算機(jī)病毒，超前分析出新計(jì)算機(jī)病毒代碼，對(duì)付未知的計(jì)算機(jī)病毒。,利用原始備份和被檢測(cè)程序相比較的方法適合于不需專用軟件，可以發(fā)現(xiàn)異常情況的場(chǎng)合，是一種簡(jiǎn)單的基本的病毒檢測(cè)方法；掃描特征串和識(shí)別特征字的方法適用于制作成查病毒軟件的方式供廣大PC機(jī)用戶使用，方便而又迅速，但對(duì)新出現(xiàn)的病毒會(huì)出現(xiàn)漏檢的情況，需要與分析和比較法相結(jié)合；分析病毒的方法主要是由專業(yè)人員識(shí)別病毒，研制反病毒系統(tǒng)時(shí)使用，要求較多的專業(yè)知識(shí)，是反病毒研究不可缺少的方法。,計(jì)算機(jī)病毒的診斷方法,手工檢測(cè)工具軟件（Debug、UltraEdit、EditPlus、SoftICE、TRW、Ollydbg等）優(yōu)點(diǎn)：Aver發(fā)現(xiàn)并分析新病毒缺點(diǎn)：不可能普及自動(dòng)檢測(cè)自動(dòng)檢測(cè)是指通過(guò)一些自動(dòng)診斷軟件來(lái)判斷系統(tǒng)是否有毒的方法。優(yōu)點(diǎn)：易于普及缺點(diǎn)：滯后性,高速模式匹配,查找的速度是評(píng)價(jià)一個(gè)查毒引擎的關(guān)鍵因素之一。算法種類(lèi)：?jiǎn)文Ｊ狡ヅ渌惴ǎ篕MPQSBM等多模式匹配算法：DFSA基于二叉樹(shù)的算法問(wèn)題描述設(shè)待處理（動(dòng)態(tài)）文本為單模式匹配是從文本中查找一個(gè)模式串多模式匹配就是通過(guò)一次查找從文本中發(fā)現(xiàn)多個(gè)P1,P2,.,Pq,最簡(jiǎn)單的查找算法BF算法,Brute-Force算法匹配過(guò)程,單模式匹配BM算法,bad-character位移，字符a在P中出現(xiàn),bad-character位移，字符a在P中不出現(xiàn),計(jì)算公式,good-suffix位移，只有u的前綴v在P中重現(xiàn),good-suffix位移，u的一次重現(xiàn)且其前一個(gè)字符與b不同,首先定義兩個(gè)條件：cond1(j,s):對(duì)每個(gè)k,j<k<m,sk或者Pk-s=Pkcond2(j,s):如果sstate2模式集合he，she，his，hers,(2)失效函數(shù)f當(dāng)發(fā)生字符失配時(shí)，失效函數(shù)指明下一個(gè)應(yīng)處理的狀態(tài)。規(guī)定：所有第一層狀態(tài)的失效函數(shù)；對(duì)于非第一層的狀態(tài)s，若其父狀態(tài)為r（存在某個(gè)字符a,g(r,a)=s），其失效函數(shù)為，狀態(tài)為追溯狀態(tài)s的祖先狀態(tài)所得到的最近一個(gè)使存在的狀態(tài)。,(3)輸出函數(shù)outputOutput(s)=根節(jié)點(diǎn)到葉子節(jié)點(diǎn)路徑上字符組成的字符串當(dāng)f(s)=s時(shí)，output(s)U=output(s),2.DFSA算法的查找過(guò)程（1）從有限自動(dòng)機(jī)的0狀態(tài)出發(fā)，逐個(gè)取出P中模式Pk中的字符c，并按轉(zhuǎn)向函數(shù)g(s,c)或失效函數(shù)f(s)進(jìn)入下一狀態(tài)。（2）當(dāng)輸出函數(shù)output(s)不為空時(shí)，輸出output(s)。用有限自動(dòng)機(jī)掃描文本串“ushers”的過(guò)程：開(kāi)始為0狀態(tài)，因g(0,u)=0，g(0,s)=3，g(3,h)=4，g(4,e)=5，而output(5)=he，she，故輸出he，she；因f(5)=g(f(4),e)=2，g(2,r)=8，g(8,s)=9，output(9)=hers，故輸出hers。即文本串“ushers”中含有he，she，hers這三個(gè)模式串。,掃描引擎的結(jié)構(gòu),自動(dòng)診斷的源碼分析,討論自動(dòng)診斷病毒（查毒）的最簡(jiǎn)單方法特征碼掃描法自動(dòng)診斷程序至少要包括兩個(gè)部分：病毒特征碼（VirusPatternVirusSignature）庫(kù)掃描引擎（ScanEngine）。病毒特征碼意義重大獲得方法手工自動(dòng),掃描引擎是殺毒軟件的精華部分考慮殺毒速度待殺毒文件的類(lèi)型支持的硬盤(pán)格式其他特殊技術(shù)虛擬執(zhí)行行為識(shí)別等等,簡(jiǎn)單的查毒程序,VirScan是一個(gè)簡(jiǎn)單的示例程序，其功能：根據(jù)病毒特征碼發(fā)現(xiàn)特定病毒（CIH和Klez）。VirScan從程序入口點(diǎn)開(kāi)始查找病毒特征碼。對(duì)抗Klez病毒會(huì)卸載殺毒引擎的功能。CIH病毒不會(huì)動(dòng)態(tài)地改變程序入口點(diǎn)處的標(biāo)記，我們可以自接從入口點(diǎn)處開(kāi)始。Klez病毒會(huì)動(dòng)態(tài)的改變程序入口點(diǎn)處的前16個(gè)字節(jié)，所以，VirScan跳過(guò)了前16個(gè)字節(jié)。,構(gòu)造病毒庫(kù)virus.pattern,病毒庫(kù)virus.pattern的結(jié)構(gòu)如下：Klez=A1,00,00,00,00,50,64,89,25,00,00,00,00,83,EC,58,53,56,57,89;Cih=55,8D,44,24,F8,33,DB,64,87,03;,初始化病毒庫(kù),轉(zhuǎn)化函數(shù)：字符-55；數(shù)字-30經(jīng)過(guò)轉(zhuǎn)換后的格式為：unsignedcharKlezSignature=0 xA1,0 x00,0 x00,0 x00,0 x00,0 x50,0 x64,0 x89,0 x25,0 x00,0 x00,0 x00,0 x00,0 x83,0 xEC,0 x58,0 x53,0 x56,0 x57,0 x89;unsignedcharCihSignature=0 x55,0 x8D,0 x44,0 x24,0 xF8,0 x33,0 xDB,0 x64,0 x87,0 x03;,保護(hù)VirScan程序,首先，編寫(xiě)一個(gè)普通的DLL，該DLL將導(dǎo)出一個(gè)名字為DontAllowForDeletion的函數(shù)。BOOLWINAPIDontAllowForDeletion(LPSTRStr)HANDLEhFile;if(hFile=CreateFile(Str,GENERIC_READ,FILE_SHARE_READ,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_READONLY,NULL)=INVALID_HANDLE_VALUE)returnFALSE;returnTRUE;然后，在VirScan的啟動(dòng)時(shí)，調(diào)用DLL的導(dǎo)出函數(shù)，實(shí)現(xiàn)對(duì)VirScan程序的保護(hù)。DontAllowDeletion=(DLLFUNC*)GetProcAddress(hLib,"DontAllowForDeletion");DontAllowDeletion(TmpPath);/TmpPath為VirScan在系統(tǒng)中的物理位置,病毒查找模塊,查找前需要定位文件、定位PE入口/查找KlezSetFilePointer(hFile,pCodeBytes+16,NULL,FILE_BEGIN);ReadFile(hFile,pBytes,sizeof(KlezSignature),/查找CIH病毒SetFilePointer(hFile,pCodeBytes,NULL,FILE_BEGIN);ReadFile(hFile,pBytes,sizeof(CihSignature),演示程序,2計(jì)算機(jī)病毒的清除,清除病毒：將感染病毒的文件中的病毒模塊摘除，并使之恢復(fù)為可以正常使用的文件的過(guò)程稱為病毒清除.殺毒的不安全因素：清除過(guò)程可能破壞文件有的需要格式化才能清除清除的方法分類(lèi)引導(dǎo)型病毒的清除原理文件型病毒的清除原理特殊病毒的清除原理,引導(dǎo)型病毒的清除原理,引導(dǎo)型病毒感染時(shí)的破壞行為有：（1）硬盤(pán)主引導(dǎo)扇區(qū)。（2）硬盤(pán)或軟盤(pán)的BOOT扇區(qū)。（3）為保存原主引導(dǎo)扇區(qū)、BOOT扇區(qū)，病毒可能隨意地將它們寫(xiě)入其他扇區(qū)，而毀壞這些扇區(qū)。（4）引導(dǎo)型病毒發(fā)做，執(zhí)行破壞行為造成種種損壞。根據(jù)感染和破壞部位的不同，可以分以下方法進(jìn)行修復(fù)：,第一種：硬盤(pán)主引導(dǎo)扇區(qū)染毒，是可以修復(fù)的。（1）用無(wú)毒軟盤(pán)啟動(dòng)系統(tǒng)。（2）尋找一臺(tái)同類(lèi)型、硬盤(pán)分區(qū)相同的無(wú)毒機(jī)器，將其硬盤(pán)主引導(dǎo)扇區(qū)寫(xiě)入一張軟盤(pán)中。將此軟盤(pán)插入染毒機(jī)器，將其中采集的主引導(dǎo)扇區(qū)數(shù)據(jù)寫(xiě)入染毒硬盤(pán)，即可修復(fù)。第二種：硬盤(pán)、軟盤(pán)BOOT扇區(qū)染毒也可以修復(fù)。尋找與染毒盤(pán)相同版本的無(wú)毒系統(tǒng)軟盤(pán)，執(zhí)行SYS命令，即可修復(fù)。,第三種：引導(dǎo)型病毒如果將原主引導(dǎo)扇區(qū)或BOOT扇區(qū)覆蓋式寫(xiě)入根目錄區(qū)，被覆蓋的根目錄區(qū)完全損壞，不可能修復(fù)。第四種：如果引導(dǎo)型病毒將原主引導(dǎo)扇區(qū)或BOOT扇區(qū)覆蓋式寫(xiě)入第一FAT表時(shí)，第二FAT表未破壞，則可以修復(fù)?？蓪⒌诙﨔AT表復(fù)制到第一FAT表中。第五種：引導(dǎo)型病毒占用的其他部分存儲(chǔ)空間，一般都采用“壞簇”技術(shù)和“文件結(jié)束簇”技術(shù)占用。這些被空間也是可以收回的。,文件型病毒的消毒原理,覆蓋型文件病毒清除該型病毒是一種破壞型病毒，由于該病毒硬性地覆蓋掉了一部分宿主程序，使宿主程序被破壞，即使把病毒殺掉，程序也已經(jīng)不能修復(fù)。覆蓋型外的文件病毒原則上都可以被清除干凈根據(jù)感染的逆過(guò)程來(lái)清除,清除交叉感染病毒,交叉感染：有時(shí)一臺(tái)計(jì)算機(jī)內(nèi)同時(shí)潛伏著幾種病毒，當(dāng)一個(gè)健康程序在這個(gè)計(jì)算機(jī)上運(yùn)行時(shí)，會(huì)感染多種病毒，引起交叉感染。清除的關(guān)鍵：搞清楚多種病毒的感染順序按感染先后次序的逆序清楚,感染順序：病毒1-病毒2-病毒3在殺毒時(shí)：病毒3-病毒2-病毒1,計(jì)算機(jī)病毒的清除方法,手工清除病毒的方法使用Debug、Regedit、SoftICE和反匯編語(yǔ)言等簡(jiǎn)單工具進(jìn)行跟蹤，清除的方法。優(yōu)點(diǎn)：可以處理新病毒或疑難病毒（Worm等）缺點(diǎn)：需要高技術(shù)，復(fù)雜自動(dòng)清除病毒方法使用殺毒軟件自動(dòng)清除染毒文件中的病毒代碼，使之復(fù)原。優(yōu)點(diǎn)：方便，易于普及缺點(diǎn)：滯后、不能完全奏效,針對(duì)典型病毒的查殺方法,Outlook漏洞病毒的查殺惡意代碼查殺方法宏病毒查殺方法清除W32.Spybot.Worm蠕蟲(chóng)病毒,Outlook漏洞病毒的查殺,Outlook漏洞病毒的查殺原理很簡(jiǎn)單，只要在附件或郵件體中搜索特定代碼就可以。但郵件病毒查殺的關(guān)鍵是時(shí)效性，即實(shí)時(shí)攔截郵件并處理。病毒引擎的位置：服務(wù)器端（SMTPServer）反垃圾郵件系統(tǒng)客戶端（Outlook,FoxMail）綁定Add-in客戶端獨(dú)立程序各種殺毒軟件、其他客戶端反垃圾軟件(郵件狗),服務(wù)器端技術(shù),客戶端綁定技術(shù)（Outlook為例）,1.引入三個(gè)對(duì)象#import"C:ProgramFilesCommonFilesDesignermsaddndr.dll"#import"D:MicrosoftOfficeOfficeMso9.dll"#import"D:MicrosoftOfficeOfficeMsoutl9.olb“連接到Outlook,監(jiān)視一些事件,if(m_outlook.CreateInstance(_uuidof(Outlook:Application)=S_OK)Outlook:_InspectorsPtrinspectors;/獲得inspectorsif(m_outlook->get_Inspectors(,當(dāng)郵件在一個(gè)獨(dú)立的窗口打開(kāi)時(shí)，觸發(fā)下列事件voidCOutlooksampleDlg:NewInspector(IDispatch*disp)/給該郵件一個(gè)事件newCEventSink(*this,disp);,/當(dāng)郵件顯示在預(yù)覽窗口時(shí)voidCEventSink:SelectionChange()longcount=0;if(m_explorer!=0)Outlook:SelectionPtr,WEB惡意代碼查殺方法,惡意代碼經(jīng)常通過(guò)修改注冊(cè)表和系統(tǒng)配置來(lái)破壞系統(tǒng)的正常操作，影響用戶的正常使用。被這種病毒感染后，要設(shè)法修復(fù)被修改和禁用各個(gè)注冊(cè)表項(xiàng)。檢查位置：網(wǎng)關(guān)客戶端（魔法兔子等）修復(fù)方法是：首先新建一個(gè)文本文件，接著把擴(kuò)展名改為reg；然后，把恢復(fù)腳本填入該文件中；最后，運(yùn)行該文件就可以了。,網(wǎng)關(guān)技術(shù),客戶端技術(shù),實(shí)時(shí)文件監(jiān)控（殺毒軟件）禁止功能例如，禁止3721REGEDIT5#B83FC273-3522-4CC6-92EC-75CC86678DA43721sCLSIDHKEY_LOCAL_MACHINESOFTWAREMicrosoftInternetExplorerActiveXCompatibilityB83FC273-3522-4CC6-92EC-75CC86678DA4"CompatibilityFlags"=dword:00000400,修復(fù)腳本,REGEDIT4/修復(fù)RUN按鈕HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoRun"=dword:00000000/修復(fù)關(guān)閉按鈕HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoClose"=dword:00000000/修復(fù)注銷(xiāo)按鈕HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoLogOff"=dword:00000000,/取消隱藏盤(pán)符HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoDrives"=dword:00000000/取消禁止注冊(cè)表HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"DisableRegistryTools"=dword:00000000/取消禁止運(yùn)行DOS程序HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesWinOldApp"Disabled"=dword:00000001,/取消禁止進(jìn)入DOS模式HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesWinOldApp"NoRealMode"=dword:00000001/取消開(kāi)機(jī)提示窗口標(biāo)題HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon"LegalNoticeCaption"=""/取消開(kāi)機(jī)提示窗口信息HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon"LegalNoticeText"="",/重設(shè)IE標(biāo)題HKEY_LOCAL_MACHINESoftwareMicrosoftInternetExplorerMain"WindowTitle"="MicrosoftInternetExplorer"HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerMain"WindowTitle"="MicrosoftInternetExplorer"/重置IE起始頁(yè)HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerMain"StartPage"="",宏病毒查殺方法,方法1：用WordBasic語(yǔ)言以Word模板方式編制殺毒工具，在Word環(huán)境中殺毒。優(yōu)點(diǎn)：殺毒準(zhǔn)確，兼容性好缺點(diǎn)：適合手工，不宜商品化方法2：根據(jù)WordBFF格式，在Word環(huán)境外解剖病毒文檔（模板），去掉病毒宏。缺點(diǎn)：第一，容易將原文檔破壞；第二，很容易漏殺病毒；第三，要不斷地隨著Word版本升級(jí)和病毒變化而改變程序。易于商品化,殺毒和病毒入侵的原理完全相同查找感染標(biāo)記-用新宏代替舊宏病毒：壞-好殺毒：好-壞以Maker病毒為例在Normal.dot的“ThisDocument”中加入以下代碼：,PrivateSubDocument_Open()DimSaveDocument,DocumentInfectedAsBooleanDimadAsObjectDimstrVirusNameAsStringDimintVBComponentNoAsInteger病毒感染標(biāo)記(如果要掃描自己，用"&"連接字符串可以避免誤判自己)代碼重用時(shí)，針對(duì)不同的病毒可修改以下兩句ConstMarker="-thisisanother"&"marker!"strVirusName="Marker"將病毒所作的安全修改回來(lái)Options.VirusProtection=True可能存在的宏代碼數(shù)目intVBComponentNo=ActiveDocument.VBProject.VBComponents.Count,Fori=1TointVBComponentNo獲取當(dāng)前激活文檔的宏代碼Setad=ActiveDocument.VBProject.VBComponents.Item(i)是否包含特征字符串DocumentInfected=ad.CodeModule.Find(Marker,1,1,10000,10000)如果包含病毒特征字符串IfDocumentInfected=TrueThenSaveDocument=ActiveDocument.Saved如果病毒為追加感染，請(qǐng)修改這一句。注意這里為全刪除宏ad.CodeModule.DeleteLines1,ad.CodeModule.CountOfLinesActiveDocument.VBProject.VBComponents.Remove(ad)MsgBoxActiveDocument.FullName&"被"&strVirusName&_"宏病毒感染.已去除!",vbInformation,"By:Ray.Deng"EndIfNexti,IfDocumentInfected=True&SaveDocument=TrueThenActiveDocument.Save如果是成批消毒，建議加上這一句，自動(dòng)關(guān)閉打開(kāi)的文件ActiveDocument.CloseEndIfEndSub編好后存盤(pán)，然后查找所有doc和dot文件并執(zhí)行打開(kāi)操作。,清除W32.Spybot.Worm蠕蟲(chóng)病毒,Win32.Spybot.Worm是一種在線網(wǎng)絡(luò)聊天系統(tǒng)機(jī)器人（BOT）的開(kāi)放性源代碼蠕蟲(chóng)病毒，由于它的開(kāi)放性和管理方式都來(lái)源于這些分布的機(jī)器人，所以這些廣泛的機(jī)器人病毒都有一些很微小的不同。威脅：搜集本地計(jì)算機(jī)的配置信息（包括連接的類(lèi)型、CPU速度和本地驅(qū)動(dòng)的信息）；在本地計(jì)算機(jī)安裝和刪除的文件；在本地計(jì)算機(jī)執(zhí)行各色各樣的命令；鍵盤(pán)操作記錄；毀掉防火墻和殺毒軟件程序避免被察覺(jué)等等。,利用的漏洞：使用TCPport135的DCOMRPC弱點(diǎn)；微軟本機(jī)安全性認(rèn)證服務(wù)遠(yuǎn)程緩沖區(qū)弱點(diǎn)；使用UDPport1434（MSSQL2000或MSDE2000）驗(yàn)證弱點(diǎn)；使用TCPport80的WebDAV弱點(diǎn)；UPnP通知緩沖區(qū)弱點(diǎn)；使用TCPport445的工作站服務(wù)緩沖區(qū)溢位弱點(diǎn)。,清除方法,感染了Win32.Spybot.Worm病毒后，清除過(guò)程比較繁瑣。商業(yè)殺毒軟件和專殺工具都不能自接清除，而是需要手工干預(yù)。其清除步驟如下：隔離計(jì)算機(jī)清除病毒（1）關(guān)閉操作系統(tǒng)的“系統(tǒng)還原”功能。右鍵點(diǎn)擊“我的電腦”屬性系統(tǒng)還原關(guān)閉所有盤(pán)上的系統(tǒng)還原功能（2）更新殺毒軟件（例如Symantec）為最新的病毒定義碼。,（3）重新啟動(dòng)計(jì)算機(jī)到安全模式。（4）手工啟動(dòng)殺毒程序，對(duì)計(jì)算機(jī)做完全掃描。（5）記錄被感染的文件名，并刪除受感染的文件。（6）備份注冊(cè)表。（7）檢查注冊(cè)表中的一下各項(xiàng)Run、RunOnce、RunServices、Run刪除剛才記錄的文件名鍵值（8）針對(duì)不同的操作系統(tǒng)，安裝相應(yīng)的補(bǔ)丁。（9）增強(qiáng)管理員賬號(hào)的密碼強(qiáng)度。,謝謝Q&A,