全套课件-计算机病毒及其防范技术_完整.ppt

构造病毒库virus.pattern 病毒库virus.pattern的结构如下： Klez = {A1, 00, 00, 00, 00, 50, 64, 89, 25, 00, 00, 00, 00, 83, EC, 58, 53, 56, 57, 89}; Cih = {55, 8D, 44, 24, F8, 33, DB, 64, 87, 03}; 初始化病毒库 转化函数： 字符-55； 数字-30 经过转换后的格式为： unsigned char KlezSignature[]={0xA1, 0x00, 0x00, 0x00, 0x00, 0x50, 0x64, 0x89, 0x25, 0x00, 0x00, 0x00, 0x00, 0x83, 0xEC, 0x58, 0x53, 0x56, 0x57, 0x89}; unsigned char CihSignature[]={0x55, 0x8D, 0x44, 0x24, 0xF8, 0x33, 0xDB, 0x64, 0x87, 0x03}; 保护VirScan程序 首先，编写一个普通的DLL，该DLL将导出一个名字为DontAllowForDeletion的函数。 BOOL WINAPI DontAllowForDeletion(LPSTR Str) { HANDLE hFile; if((hFile=CreateFile(Str, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_READONLY, NULL)) ==INVALID_HANDLE_VALUE){ return FALSE; } return TRUE; } 然后，在VirScan的启动时，调用DLL的导出函数，实现对VirScan程序的保护。 DontAllowDeletion = (DLLFUNC *)GetProcAddress(hLib, DontAllowForDeletion); DontAllowDeletion(TmpPath)); //TmpPath为VirScan在系统中的物理位置 病毒查找模块 查找前需要定位文件、定位PE入口 //查找Klez SetFilePointer(hFile, pCodeBytes+16, NULL, FILE_BEGIN); ReadFile(hFile, pBytes, sizeof(KlezSignature), ReadBytes, NULL); for(i=0; isizeof(KlezSignature); i++){ if(KlezSignature[i]!=pBytes[i]) break; } 放在病毒库里较好 //查找CIH病毒 SetFilePointer(hFile, pCodeBytes, NULL, FILE_BEGIN); ReadFile(hFile, pBytes, sizeof(CihSignature), ReadBytes, NULL); for(i=0; isizeof(CihSignature); i++){ if(CihSignature[i]!=pBytes[i]) break; } 演示程序 2．检测未知文件型病毒的感染实验法 a.在干净系统中制作一张实验盘，上面存放一些应用程序，这些程序应保证无毒，应选择长度不同，类型不同的文件（既有COM型又有EXE型）。记住这些文件正常状态的长度和校验和。 b.在实验盘上制作一个批处理文件，使盘中程序在循环中轮流被执行数次 c.将实验盘插入可疑系统，执行批处理文件，多次执行盘中程序。 d.将实验盘放人干净系统，检查盘中文件的长度和校验和，如果文件长度增加，或者校验和变化，则可断定系统中有病毒。 对于Windows中的病毒，感染实验法检测内容会更多一些，例如，当使用感染实验法检测“广外女生”木马病毒时，可以采用如下步骤： ① 首先打开RegSnap，从file菜单选new，然后单击OK按钮，对当前干净的注册表以及系统文件做一个记录。如果木马修改了其中某项，就可以分析出来了。备份完成之后把它存为Regsnp1.rgs。 ② 在计算机上运行感染了“广外女生”病毒的文件，例如双击gdufs.exe，然后等一小会儿。如果此时发现正在运行着的“天网防火墙”或“金山毒霸”自动退出，就很可能木马已经驻留在系统中了。 ③ 重新打开RegSnap，从file菜单选new,然后单击OK按钮，把这次的snap结果存为Regsnp2.rgs。 ④ 从RegSnap的file菜单选择Compare，在First snapshot中选择打开Regsnp1.rgs，