计算机病毒及其防范技术 教学课件 作者 978 7 302 16923 9 第十一章 OAV代码分析与使用配置.pptVIP

第十一章 OAV代码分析与使用配置 上海交通大学信息安全工程学院 本章学习目标 了解杀毒引擎的框架 掌握OAV使用方法 OAV简介 OAV（OpenAntiVirus）项目（）是在2000年8月30日由德国开源爱好者发起，旨在为开源社区的反病毒开发者提供一个交流和项目管理的资源平台。 该项目具有明确的路线图： 为网络 邮件服务器、internet网关、文件服务器等 终端用户和企业客户提供病毒防护的开源解决方案。 为网络终端用户和企业客户提供计算机和网络安全的开源解决方案。 研发开源的扫描引擎，从而使未来的安全需求不再依赖于商业提供商。 通过开源系统和软件产品，为系统管理员提供系统恢复能力。 建立网站，提供最新的病毒和安全信息。 建立How-To项目提供相关信息和白皮书，用户和系统管理员可以通过该项目提供的信息，利用开源安全解决方案，从而确定反病毒策略。 项目组成： ScannerDaemon，VirusHammer和PatternFinder是符合GPL规范的病毒扫描器的一个简单而基础的实现，用Java语言写成。 squid-vscan可以利用Squid Http-Proxy扫描网络流量，从而侦测病毒。 samba-vsan利用samba服务器提供on-access病毒扫描。最新的SUSE Linux已经包含了该工具。 此外，很多开源爱好者还开发了很多小工具，详细情况参见/projects.php ScannerDaemon架构 ScannerDaemon基本上可以分为如下几个模块： 扫描引擎模块 扫描配置模块 病毒签名文件解析模块 文件系统支持模块（扫描目标文件/文件夹时所需要） Main-class类 主要包括两个重要的类： RequestHandler ScannerDaemon 扫描配置模块 该模块（源代码的组织结构看，可归入到扫描引擎模块中，这里单独拿出来分析）。 该模块主要包括两个类： WriteableScanConfiguration 这个类放了一些扫描引擎的属性名。 DefaultScanConfiguration 该类是默认的属性配置类，其构造函数就是对扫描引擎的属性赋以默认值。 病毒签名模块 这个模块中涉及到的类/接口包括CredoFile类、CredoEntry类、PositionFoundEvent类、PositionFoundListener接口、StringFoundListener类、StringsParser类、WildcardPattern类、StringFinder类等，其中StringsParser类、WildcardPattern类和StringFinder类尤为重要。 病毒签名文件 首先看看病毒签名文件到底是什么形式。下载VirusSignatures-latest.zip，然后解压缩，可以看到里面包括clamav.strings和clamav2.strings两个子文件，这两个子文件可以用notepad文本工具打开。 摘取clamav2.strings文件中的一段内容如下 一行 ： Oror-fam Clam [1*0*3*0*3] 495243*座机电话号码*座机电话号码330F5455*4B617A61*536E座机电话号码6F 摘取clamav.strings文件中的一段内容如下（一行）： Eicar-Test-Signature[32] 58354F座机电话号码41505B345C505A座机电话号码505E座机电话号码29377D座机电话号码41522D座机电话号码E4441 从这段代码大致可以认为，Oror-fam Clam 、VBS.Kristen等为病毒名称，[1*0*3*0*3] 495243*座机电话号码*座机电话号码330F5455*4B617A61*536E座机电话号码6F等字串为该病毒的一段特征模式串。 CredoFile类 该类只是把普通文件包装成jar格式输入流 CredoEntry类 根据（病毒签名文件）的介绍，病毒签名文件.credo文件是一个jar package，这个package里的每一个文件就用一个credoEntry类实例来表示。这个类十分简单，此处不做进一步分析。 CredoParser类 这个类的作用是：在指定的目录下查找.credo文件，供StringsParser类解析.credo文件的具体内容。 StringsParser类 这个类具体完成对.strings文件的解析。 WildcardPattern类 这个类是用来处理不包含“*”字符的模式串，即模式串具有统一的形式，无须用“*”字符分隔开，例如（5.StringsParser类）节中文本行2和3中“ ”后面的模式串。该类是病毒签名模块中的一个重要类。